More Related Content
Similar to 脆弱性ハンドリングと耐える設計 -Vulnerability Response- (20)
More from Tomohiro Nakashima (12)
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
- 38. 38
ISAC(Information Sharing and Analysis Center)
脅威に関する情報を収集し、情報の双方向共有を提供する
ための非営利団体
業界業種ごとの組織が多い
(=近しい立場同士で共有できるネットワーク)
たとえば、
金融、ICT(旧Telecom)、交通、Automotiveなど
- 44. 44
トリアージのすすめ
減 減
Step 1 Step 2 Step 3
対応不要なものを
定性的特性から除外
情報を精査し、
自社への影響を吟味
第三者情報も含めた
最終確認
CVSS Score
脆弱性情報中の
キーワード、表現
CVSS CalculatorCVSS Vector
Web/SNS巡回
外部との情報交換
考
え
方
ツ
ー
ル
・方
法
論 定型的対応 属人的対応
イ
ン
プ
ッ
ト
- 46. 46
CVSS:共通脆弱性評価システム
Common Vulunerability Scoring System:脆弱性の定性的な
評価を組み合わせ、深刻度を計算式で定量化する仕組み
専門家の知見を誰でも使えるフレームワークに集約したもの
CVSSv2 Score:7.8
CVSS Vector:
(AV:N/AC:L/Au:N/C:N/I:N/A:C)
CVSSv3 Score:7.5
CVSS Vector:
(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
- 49. 49
ケーススタディ:Jenkins Remote Code Execution
CVSS v3 内容
PR:Privileges Required
(必要な特権レベル)
不要(N) 特別な権限を有する必要はない。
低(L)
コンポーネントに対する基本的な権限を有していれば良い。
例えば、秘密情報以外にアクセスできるなど
高(H)
コンポーネントに対する管理者権限相当を有する必要がある。
例えば、秘密情報にアクセスできるなど
悪用するためには、
認証済みユーザであることが前提
- 55. 55
CVSSのバージョン
歴史
• バージョン1:2005年2月リリース
• バージョン2:2007年6月リリース
• バージョン3:2015年6月リリース
現在
• 現在はv2/v3併記が多い
• v3はv2の評価基準を見直し、さらに細分化、再整理したもの、
より脅威の実態に即したに評価ができるようになった一方、少
し複雑化している
[参考]
共通脆弱性評価システムCVSS概説
https://www.ipa.go.jp/security/vuln/CVSS.html
共通脆弱性評価システムCVSS v3概説
https://www.ipa.go.jp/security/vuln/CVSSv3.html
- 60. 60
緊急性を考える判断指標
• 昔
• 大学でコンピュータサイエンスを嗜んだ学生
であれば攻撃および攻撃コードの作成が可能
• 現在
• OSの保護機能によりそんなに簡単ではない
メモリ保護 Stack Smash Protection
RELRO(RELocation ReadOnly)
メモリ
ランダマイズ
ASLR(Address Space Layout Randomization)
PIE(Position Independent Executable)
データ実行防止 NXbit(No eXecute bit)
DEP(Data Execution Prevention)
その他 Control Flow Guard
RCE
DoSなど
PoC
GOAL
RCE: Remote Code Execution
Buffer over Flow脆弱性とメモリ保護機能