Submit Search
Upload
Future vuls introduction
•
0 likes
•
3,861 views
C
csig-info
Follow
FutureVuls( https://vuls.biz )の紹介資料です
Read less
Read more
Technology
Report
Share
Report
Share
1 of 20
Download now
Download to read offline
Recommended
FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介
csig-info
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
Shinichiro Kawano
2020 0727 f-secure night webinar #1 remote work
2020 0727 f-secure night webinar #1 remote work
Shinichiro Kawano
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
Shinichiro Kawano
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security
Shinichiro Kawano
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
Shinichiro Kawano
2020 0328 jawsdays2020_online
2020 0328 jawsdays2020_online
Shinichiro Kawano
Ccsk 160927
Ccsk 160927
Masahiro Morozumi
Recommended
FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介
csig-info
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
Shinichiro Kawano
2020 0727 f-secure night webinar #1 remote work
2020 0727 f-secure night webinar #1 remote work
Shinichiro Kawano
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
Shinichiro Kawano
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security
Shinichiro Kawano
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
Shinichiro Kawano
2020 0328 jawsdays2020_online
2020 0328 jawsdays2020_online
Shinichiro Kawano
Ccsk 160927
Ccsk 160927
Masahiro Morozumi
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
Shinichiro Kawano
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
Shinichiro Kawano
コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform
コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform
Creationline,inc.
2019 1214 io_t_sec_jp_06_kawano_slideshare
2019 1214 io_t_sec_jp_06_kawano_slideshare
Shinichiro Kawano
CCSK (Certificate of Cloud Security Knowledgebase)概要
CCSK (Certificate of Cloud Security Knowledgebase)概要
Masahiro Morozumi
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
Shinichiro Kawano
2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure
Shinichiro Kawano
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
Shinichiro Kawano
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
Tomohiro Nakashima
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
Shinichiro Kawano
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
私がなぜZscalerに?
私がなぜZscalerに?
Takayoshi Takaoka
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
Masanori KAMAYAMA
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
シンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust Network
Ryuki Yoshimatsu
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
ストレージ層で行うランサムウェア対策_20210401
ストレージ層で行うランサムウェア対策_20210401
Kan Itani
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
Amazon Web Services Japan
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
日本ヒューレット・パッカード株式会社
More Related Content
What's hot
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
Shinichiro Kawano
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
Shinichiro Kawano
コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform
コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform
Creationline,inc.
2019 1214 io_t_sec_jp_06_kawano_slideshare
2019 1214 io_t_sec_jp_06_kawano_slideshare
Shinichiro Kawano
CCSK (Certificate of Cloud Security Knowledgebase)概要
CCSK (Certificate of Cloud Security Knowledgebase)概要
Masahiro Morozumi
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
Shinichiro Kawano
2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure
Shinichiro Kawano
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
Shinichiro Kawano
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
Tomohiro Nakashima
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
Shinichiro Kawano
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
私がなぜZscalerに?
私がなぜZscalerに?
Takayoshi Takaoka
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
Masanori KAMAYAMA
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
シンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust Network
Ryuki Yoshimatsu
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
ストレージ層で行うランサムウェア対策_20210401
ストレージ層で行うランサムウェア対策_20210401
Kan Itani
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
What's hot
(20)
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform
コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform
2019 1214 io_t_sec_jp_06_kawano_slideshare
2019 1214 io_t_sec_jp_06_kawano_slideshare
CCSK (Certificate of Cloud Security Knowledgebase)概要
CCSK (Certificate of Cloud Security Knowledgebase)概要
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
私がなぜZscalerに?
私がなぜZscalerに?
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
シンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust Network
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
ストレージ層で行うランサムウェア対策_20210401
ストレージ層で行うランサムウェア対策_20210401
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
Similar to Future vuls introduction
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
Amazon Web Services Japan
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
日本ヒューレット・パッカード株式会社
【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御
【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御
シスコシステムズ合同会社
サイバーセキュリティ経営ガイドライン
サイバーセキュリティ経営ガイドライン
jpmemarketing_zoho
サイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒント
サイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒント
jpmemarketing_zoho
【Securify】Partner program.pdf
【Securify】Partner program.pdf
mihokawagoe
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
Shinichiro Kawano
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
mkoda
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare
Shinichiro Kawano
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
itforum-roundtable
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
satoru koyama
2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?
itforum-roundtable
5 moriya security-seminar2005_05
5 moriya security-seminar2005_05
Eiichi Moriya
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
appliedelectronics
改ざん検知の分類資料
改ざん検知の分類資料
Kouji Uchiyama
2019 1107 fin-jaws_5min
2019 1107 fin-jaws_5min
Shinichiro Kawano
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
Noriaki Hayashi
Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1
Takayoshi Takaoka
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprint
satoru koyama
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA
Similar to Future vuls introduction
(20)
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御
【Interop tokyo 2014】 AMP Everywhere ネットワークに統合された高度なマルウェア防御
サイバーセキュリティ経営ガイドライン
サイバーセキュリティ経営ガイドライン
サイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒント
サイバーセキュリティ経営ガイドライン Ver2.0 実践のためのヒント
【Securify】Partner program.pdf
【Securify】Partner program.pdf
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?
5 moriya security-seminar2005_05
5 moriya security-seminar2005_05
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき5つのこと」 講師:山口 亮介 氏(ニフティ株式会社 エバンジェリスト)
改ざん検知の分類資料
改ざん検知の分類資料
2019 1107 fin-jaws_5min
2019 1107 fin-jaws_5min
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprint
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Recently uploaded
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
sugiuralab
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
Recently uploaded
(8)
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Future vuls introduction
1.
Copyright ©2019 by
Future Corporation フューチャー株式会社 脆弱性対応サービス FutureVulsのご紹介
2.
- 2 - 2.技術対策の方法と効果 技術対策としては、「監視、証跡」、「緩和対策」、「根本対策」の3つが考えられますが、最も効果が 高い対策は根本対策になります。 悪意のある ハッカー Data 機密情報、システム 根本対策を実施するのが 最も効果が高い 監視、証跡
パケット監視 サーバー監視 ログ収集 SIEM etc 緩和対策 IPS/IDS ウィルス対策ソフト WAF etc 根本対策 脆弱性に対するパッチ適用 セキュアコーディング etc 完全には防げない Copyright ©2019 by Future Corporation
3.
3.1 攻撃開始までの期間が短縮化 CVE-2018-2628(リモートコード実行)は脆弱性情報が公開され、攻撃コードが公開されるまで2日 攻撃コードが公開されるということは誰でも攻撃可能になるということ 攻撃コード公開と同時に攻撃の予兆であるポートスキャンが急増している Copyright ©2019
by Future Corporation - 3 - 4/17 Oracle社から脆弱性情報と 修正パッチを公開 4/18 Liao Xinxi氏が詳細を解説 したブログを公開し中国の SNSに投稿 4/19 Brianwrf氏がブログを参考に GItHubにPoCを公開。対象 ポートである7001へのポート スキャンが急増する 出展: SANS ISC https://isc.sans.edu/port.html?port=7001
4.
ネットワーク系スキャナとの比較 FutureVulsのスキャンはシステムに影響を及ぼしません。 サーバにログインする、クレデンシャルスキャンであり、軽いコマンドのみを発行する データを破壊しない FutureVulsは日々スキャンを実施出来ます。 ネットワーク系スキャナは疑似攻撃するので、データ破壊、ログ膨大、システム停止リスクあり 別途テスト環境の準備が必要であり、この準備のため毎日回すことは現実的ではありません 前のページで紹介したように、脆弱性によっては脆弱性情報公開から攻撃コード公開、攻撃開始まで数 日のケースがあります。 日々スキャンしないとこのような脆弱性は気づくことができず対応が遅れます。 Copyright ©2019 by
Future Corporation - 4 - 毎日スキャンをかけて、早期に脆弱性を検知し、 対応していくことが重要です
5.
9.オープンソースと有償版の違い 有償版では検知後の影響調査、対策検討などの運用部分をサポートするサービスです。 - 5 - 脆弱性情報 収集 Vuls
FutureVuls 対象抽出 影響調査 パッチ検証、 本番適用 対策検討 脆弱性の自動検知 自動検知範囲の拡張 業務カバー範囲の拡張 脆 弱 性 管 理 業 務 Copyright ©2019 by Future Corporation Vuls
6.
10.FutureVuls提供イメージ - 6 - 脆弱性管理サービスをクラウドサービス型で提供です。クラウドサービスでは、脆弱性の可視化だけでなく 、運用のより広い範囲をサポートする機能を提供します。 ユーザー企業 ソフトウェア 情報の収集 脆弱性情報 の取得 脆弱性データベース、 攻撃コード情報、 CERT注意喚起、 オプションデータベース ・ ・ ・ Deep
Security 連携 集計、タスク化、 優先度付 セキュリティ専門家の 情報配信 FutureVuls IPS/IDSルール最適化 検知した脆弱性が防御され ているか表示 運用者は専門家情報 参照、対応ステータス 入力、アップデート Copyright ©2019 by Future Corporation 連携 アプリケーション・ライブ ラリ脆弱性検知 CSIRTは高リスクな脆 弱性の対応指示と対 応状況の追跡
7.
CSIRT Option FutureVulsとCSIRT option FutureVuls 単一システム/グループの脆弱性管理機能を持ち、1ヶ月/1台から契約可能です。CSIRT
optionの機能は使えません。 CSIRT option 大規模環境向けであり複数システム/グループを効率よく管理する機能を有しています。FutureVulsの機能はすべて使えます。最 低100台から契約可能ですが、1台あたりの価格は安価です。 Copyright ©2019 by Future Corporation - 7 - FutureVuls
8.
14.料金(2/3):サブスクリプション サブスクリプションについては、2種類を用意しています。 - 8 - サブスクリプション 初期導入 スキャン範囲 モジュール提供 管理サーバ 機能 Linux コンテナ ネットワーク機器 Windows スキャン、管理画面 環境に合わせた危険度算出 ステータス管理、対応履歴保存 機能・サービス 他サービスとの連携 グループ横断・脆弱性管理機能 グループ横断・ソフトウェア検索機能 FutureVuls
CSIRT option ◯ ◯ ◯ ◯ ◯ ○ ◯ ◯ ◯ ◯ × × Copyright ©2019 by Future Corporation ◯ ◯ ◯ ◯ ◯ ○ ◯ ◯ ◯ ◯ ○ ○ 月額 4,000円/OS・コンテナ 年額 300万円/100 OS・コ ンテナ(最低100サーバ以上) (Option) (Option) (Option) (Option) 専門家アドバイス 有償脆弱性データ・ベース取り込み
9.
FutureVuls機能紹介 グループごとに重要フィルタを設定可能 検知した脆弱性のうち、設定済みの重要フィルタに該当するものは「重要な未対応」に振り分け、それ以 外は「その他の未対応」に振り分けられる 未対応から右側の、対応中、対応済みに移動させていくイメージ Copyright ©2019 by
Future Corporation - 9 - 重要フィルタ CVE CVE CVE CVE ・CVSSスコア ・CSVS基本評価基準 (攻撃元区分、複雑さ…) ・JPCERT/CC, US-CERT注意喚起
10.
FutureVuls機能紹介 画面上にトリアージ(優先順位付け判断)で重要な情報を表示し、柔軟にフィルタ、ソート可能 攻撃コード有無、CVSSスコア、Base Metrics, JPCERT/CC,
US-CERT注意喚起情報、プロセス 起動、NWポートリスン情報など Copyright ©2019 by Future Corporation - 10 -
11.
FutureVuls機能紹介 詳細画面には、以下の情報が表示される 各データソースのCVSSスコア 緩和策 CVSS BaseMetrics 攻撃コードのリンク JPCERT/CC, US-CERT注意喚起情報リンク CVSS
Base Scoreは画面上で現状、環境に即した 値に再計算が可能 攻撃コード公開有無などの現状に応じて(現状評価基準) サーバが置かれる環境に応じて(環境評価基準) Copyright ©2019 by Future Corporation - 11 -
12.
FutureVuls機能紹介 タスク x サーバには、以下の情報が表示される どのサーバで検知されたか プロセスの起動状況(停止、起動、NWをListenしている) タスクステータスを表示 Copyright
©2019 by Future Corporation - 12 -
13.
FutureVuls機能紹介 該当パッケージのプロセス起動情報、NWポートをListenしているかなどを詳細エリアに表示 Copyright ©2019 by
Future Corporation - 13 - NWから攻撃可能な脆弱性を含むパッケージから、 NWポートをListenしているプロセスが起動中 の場合は注意、といった判断が可能
14.
FutureVuls機能紹介 リスクの低い脆弱性は一括で非表示することでノイズを減らす フィルタ条件を指定して該当したものを一括選択して非表示に たとえば、パッチが出ない and Red
HatのCVSS score 7未満 and NW攻撃可能ではないものを必勝削除 非表示の条件を指定可能(攻撃コードが見つかったらもう一度表示する、など) Copyright ©2019 by Future Corporation - 14 -
15.
FutureVuls機能紹介 AWS上のスキャン対象サーバはSSMの設定をすることでFutureVuls画面上からアップデート可能 Copyright ©2019 by
Future Corporation - 15 -
16.
FutureVuls機能紹介 検知された脆弱性がDeep Security as
a Serviceで防御されているかを表示可能 防御されている場合はネットワークからは攻撃不可能になったとみなすことができる タスクステータスを自動で「ワークアラウンド済み」に変更する Copyright ©2019 by Future Corporation - 16 -
17.
FutureVuls機能紹介 GitHub Seciruty Alertsと連携可能 GitHubの機能である、アプリケーションライブラリの脆弱性検知機能で検知されたものを取り込むことが可能です。 FutureVulsでOSパッケージ、NW機器、自分でビルドしたもの、に加えて、アプリケーションライブラリも管理することが可能です。 Copyright
©2019 by Future Corporation - 17 -
18.
CSIRT option機能紹介 複数グループを横断的に管理可能な機能 CSIRTが要注意の脆弱性にDangerフラグを付けることで、Opsが認識し対応する。 CSIRTは対応状況を画面上で確認できる CSIRTがリスクの低い脆弱性を一括非表示することでOpsに大量の脆弱性を見せなくする Opsは大量の脆弱性に溺れることなく、主要業務であるサービス安定稼働に注力できる Copyright ©2019
by Future Corporation - 18 -
19.
CSIRT option機能紹介 ソフトウェアを部分一致で検索可能 まだCVEが割り当てられていない脆弱性がネットで話題となっている どのサーバにどのバージョンが入っているのかを検索したいときに便利な機能 Copyright ©2019
by Future Corporation - 19 -
20.
CSIRT option機能紹介 自動トリアージ機能 CVSSスコア、CVSS Base
Metrics, JPCERT/CC, US-CERT の注意喚起情報の組み合わせを事前に設定し、一致したものを Dangerや非表示変更する機能。 Copyright ©2019 by Future Corporation - 20 -
Download now