Tag: Rezilion

CVSS と CISA KEV だけに頼らない脆弱性管理:EPSS という新たな指標が登場

Relying on CVSS alone is risky for vulnerability management

2023/07/31 HelpNetSecurity — Rezilion によると、脆弱性の優先順位付けを CVSS のみに依存する管理の手法は、最善ではないことが判明しているようだ。実際のところ、それぞれの脆弱性のリスクを評価するために、CVSS の深刻度スコアのみに依存することは、脆弱性をランダムに選択して修復することに変わりないという。よりスケーラブルで効果的な優先順位の決定戦略を可能にするためには、さらなるコンテキストが必要となる。このコンテキストには、標的環境の内部的な情報源 (資産に関する重要性/緩和策/到達可能性) だけでなく、外部的な情報源も必要になる。

Continue reading “CVSS と CISA KEV だけに頼らない脆弱性管理:EPSS という新たな指標が登場”

SBOM Lifecycle:CISA が分析する発見/アクセス/転送の各フェーズとは?

What to Know About the CISA Software Bill of Materials Sharing Lifecycle Phases

2023/06/20 SecurityBoulevard — Software Bill of Materials (SBOM) を採用するための取り組みが、成熟へ向けて動き出している。先日に Cybersecurity and Infrastructure Security Agency (CISA) が発表した報告書では、SBOM 共有ライフサイクルの各フェーズを実施するための、時間/リソース/専門知識/労力/ツールへのアクセス量をベースにした、適切な SBOM 共有プラットフォームを選択する際の指針が示されている。

Continue reading “SBOM Lifecycle:CISA が分析する発見/アクセス/転送の各フェーズとは?”

SBOM によるセキュリティ強化:Gartner の予測値について考える – Rezilion

Enhance Your Cybersecurity With An SBOM

2023/05/04 SecurityBoulevard — SBOM が提供するサイバー・セキュリティの利点は、ずっと以前からソフトウェア開発のライフサイクルで、使用されていなかったことが不思議なくらいのものだ。現代のソフトウェア開発では、オープンソースがコアとして用いられるため、SBOM を必要とする声が増している。

Continue reading “SBOM によるセキュリティ強化:Gartner の予測値について考える – Rezilion”

CISA KEV に登録された危険な脆弱性:現時点で合計 1,500万件がインターネットに露出している

15 million public-facing services vulnerable to CISA KEV flaws

2023/03/31 BleepingComputer — CISA の KEV (known exploitable vulnerabilities) カタログに記載されている 896件の脆弱性のうち、少なくとも1つの脆弱性の影響を受けている公共性の高いサービスが、1,500万以上も存在することが明らかになった。この膨大な数値は、国家に支援される機関やランサムウェア集団などからの、サイバー攻撃にさらされる脆弱なシステムを特定するために、サイバー・セキュリティ企業である Rezilion が実施した、大規模な調査結果の報告に基づくものである。

Continue reading “CISA KEV に登録された危険な脆弱性:現時点で合計 1,500万件がインターネットに露出している”

Docker コンテナ・イメージに取り込まれる脆弱性:4つの混入シナリオとは?

Researchers find hidden vulnerabilities in hundreds of Docker containers

2023/02/23 HelpNetSecurity — Rezilion が明らかにした、数百の Docker コンテナ・イメージに存在する脆弱性は、ほとんどの標準的な脆弱性スキャナや SCA (Software Composition Analysis) ツールでは検出されないものだという。数十億回もダウンロードされた数百の一般的なコンテナ・イメージ内に、深刻度が Critical/High の脆弱性が数多く隠されていることが、この調査により判明した。それらの脆弱性の中には、悪用方法が公表されている有名なものも含まれている。

Continue reading “Docker コンテナ・イメージに取り込まれる脆弱性:4つの混入シナリオとは?”

研究者たちの助言:Google API Tool の脆弱性から見えてくる可視化の重要性とは?

Researchers Debut Fresh RCE Vector for Common Google API Tool

2022/08/10 DarkReading — Google SLO Generator の脆弱なバージョンを悪用し、リモートコードの実行 (RCE) を容易にするという、新たな攻撃ベクターが発見された。この脆弱性の悪用に成功した攻撃者は、システムにアクセスし、あたかもネットワーク内の信頼できるソースから来たかのように、悪意のコードを展開できるという。

Continue reading “研究者たちの助言:Google API Tool の脆弱性から見えてくる可視化の重要性とは?”

Log4j 問題は収束していない:セキュリティというよりインベントリの問題?

Log4j Attack Surface Remains Massive

2022/04/27 DarkReading — Apache Log4j logging toolの、リモートコード実行の脆弱性が公開されて4ヶ月以上が経ったが、そを悪用しようとする攻撃者は、依然として膨大な数のターゲットを手にしている。検索エンジン Shodan を用いて行った、Rezilion による最新のスキャンでは、このソフトウェアの脆弱なバージョンをインターネット上に公開している、9万台以上ものサーバーが発見されている。ただし、この数字は、オープンソース・ソフトウェアを実行して、一般に公開されているサーバーのみを対象としているため、攻撃者のターゲットの一部に過ぎないと、Rezilion は考えている。

Continue reading “Log4j 問題は収束していない:セキュリティというよりインベントリの問題?”