狠狠撸

狠狠撸Share a Scribd company logo

JANOG39 脆弱性ハンドリングを楽にするBoF頭出し資料

?Download as PPTX, PDF?
?
Tomohiro Nakashima
Tomohiro Nakashima

JANOG39 脆弱性ハンドリングを楽にするBoF https://www.janog.gr.jp/meeting/janog39/program/vulne

1 of 11
Download to read offline
はじめに)JANOG39 脆弱性ハンドリングを楽にするBoF頭出し 運用者目線の脆弱性ハンドリング、トリアージ 今すぐ緊急対応 1ヶ月程度で対応 定期メンテで対応 機会があれば対応 対応しない 対応の緊急度を下げるための判断材料探しが重要 振り分け 脆弱性情報 (セキュリティアドバイザリ) ①極力右下↘?の分類に振り分けたい 「迅速に」「効率よく」「精度よく」 ② こ の ど ち ら に 分 類 す る か は 特 に 重 要
?運用者にとって大事なこと ?(できるだけ)攻撃の被害が生じる前に対処 ?(できるだけ)攻撃の被害が生じても極小化 ?(できるだけ)低工数、低コストで対応 ?従業員のQOL(生活の質)を守る(=事業は従業員の幸福実現の手段である) ?求める情報と世の中で流通する情報とのギャップ、温度感の差 ?「危ない!」「対策はパッチ適用」だけ言って騒がれても困る 確率は?難易度は?想定される被害は?Workaroundは? ?タイムラインが盛り上がってると、「それ、本当に危ないの?」 はなかなか言えない、言っても理解を得られにくい ?全ての組織にセキュリティに精通した人がいるわけではない はじめに)JANOG39 脆弱性ハンドリングを楽にするBoF頭出し 問題意識①
?重要なのは解釈ではないか ?一次情報入手のタイミングの格差はほとんどない ?どのように解釈し対処するかが分かれ道 ?みんな解釈に困ってないか? ?自分はこう考えるが正しいのだろうか? ?(自分の英語力では)このように書いてあるように見えるが間違ってないか? ?冷静に考えれば考えるほど世の中が危ないと騒いでいる理由がわからない はじめに)JANOG39 脆弱性ハンドリングを楽にするBoF頭出し 問題意識② 脆弱性ハンドリングの流れ 情報収集 解釈 対処
?ひとつひとつのツールや方法論にきちんと広く共通認識はあるだろうか? ?情報や知見の差によって無駄な苦労や非効率性が生まれていないだろうか? はじめに)JANOG39 脆弱性ハンドリングを楽にするBoF頭出し BoF主催のモチベーション 一次振り分け 二次振り分け 三次振り分け 脆弱性の特性から 明らかに対応不要なも のを定型的に排除 脆弱性情報を精査し、 自社環境と影響を 吟味して振り分け 第三者情報も含めた最 終確認、判断の妥当性 確認の意味も兼ねる CVSS Score 脆弱性情報中の キーワード、表現 CVSS Caliculator CVSS Vector Web/SNS巡回 外部との情報交換 考 え 方 ツ ー ル ?方 法 論 みんなで議論して共有して共通ノウハウを底上げしたい! 例) 例) 例)
はじめに)JANOG39 脆弱性ハンドリングを楽にするBoF頭出し 本BoFの議論テーマ 運用者のためのイマドキの情報共有 実践!脆弱性ハンドリングの効率化手法 脆弱性のハンドリングの効率化手法全般について議論しま す。その一環として脆弱性の評価手法であるCVSSを取り 上げます。脆弱性情報には数値(Score)と中身(Vector)が 記されており、数値の大小だけでなく、意味と仕組みを理解 することで効率が格段に向上します。このような方法論や観 点について紹介や議論を行いノウハウの共有を行います。 脆弱性情報の収集や解釈は各組織の自助努力に依存して います。また、外部から情報を得ようとしても運用者にとっ て有用な情報を得にくい方向に向かっています。外況認識 をふまえながら、問題意識の共有と運用者にとって有益な 方法論の議論を行い、具体的な施策につなげます。
テーマ1)実践!脆弱性ハンドリングの効率化手法 脆弱性情報ちゃんと読めてますか? Affected Version:対象 Description:解説 Impact:影響 Workaround:回避策 Mitigation:軽減策 Solution:解決策 特にココとか
?ミニチュートリアル ?CVSSの解説とCaliculatorのハンズオン ?参加者全員がCVSSを活用した効率化ができるようになる ?共有?議論 ?脆弱性情報のこんなところみてこんな風に考えるよ ?こんなところから情報収集してるよ、こんなことに困ってるよ ?その他効率化手法 テーマ1)実践!脆弱性ハンドリングの効率化手法 やりたいこと、共有したいこと、議論したいこと
?不文律のネチケットに基づくオープンな情報共有は限界 ?janog@janogに脆弱性ネタを投げるのは相当に気を遣う ?「個人の見解」と前置かないと発言しにくい ?謎のクレームのようなものもしばしば ?ISAC※ってあるんだけど ※Information Shareing and Analysis Center ?上手くいっているところもある、敷居(お金の壁、業種の壁)はちょっとある ?早めに一次情報が来ることはあるらしい、でもパッチ提供が早いわけではない ?会社は加入してても現場担当者まで情報降りてこなかったり(組織内の問題) ?本来の情報共有の場、頑張ってほしいところ?(^?^)?フレーフレー テーマ2)運用者のためのイマドキの情報共有 情報共有の課題 既存の枠組みだと現場の本音での解釈論議は難しそうだな
テーマ2)運用者のためのイマドキの情報共有 目指すところ お金で解決 ? メーカーのプレミアムサポート ? スレットインテリジェンスサービス 運用者の助け合いによる情報と解釈の共有 - of the Ops, by the Ops, for the Ops - 組織に閉じた自助努力(我流解釈)
?前提 ?各々の事業者で同じことをやるのは本当に無駄 ? 組織に閉じた自助努力は限界 ? 孤軍奮闘は寂しい ?共通のコンテキストがなければ議論は難しい ? 運用に疎い人たちに混ざって運用の議論ができるか? ? 運用に関しては、運用に理解ある間柄に閉じるのが基本ではないか? ?論点 テーマ2)運用者のためのイマドキの情報共有 議論にあたって 運用者の助け合いによる情報と解釈の共有 - of the Ops, by the Ops, for the Ops - これをどのように実現するか
?CVSSミニチュートリアル ?Exploitablity(攻撃される可能性)をどう考えるか? ?BoF(バッファオーバーフロー)脆弱性は直ちに危険か? ?MITM前提脆弱性への対応温度感 ?Internet Unreachableな脆弱性は放置できるか? ?セキュリティ原理主義とどう向き合うか~情報共有のすゝめ~ Agenda

More Related Content

JANOG39 脆弱性ハンドリングを楽にするBoF頭出し資料