第9回 脆弱性対応勉強会(脆弱性管理製品を知る) まとめ

camper @it_sec_news

AWSのようなクラウドもOK? #vulnstudy

竹内格 @kakutakeuchi

#vulnstudy F-Secure Radar は４つのスキャンが統合されたソリューション ディスカバリースキャン＝管理がもれている機器のスキャン システムスキャン＝ＳＳＨでログインしてスキャン。PCI DSS の認定スキャンの要件を満たす pic.twitter.com/4IwM2GTKd0

拡大

nuwaa🇯🇵🏳️‍🌈🇹🇼努瓦 @nuwaa

RASとかVPN回線とかを用意する必要はないわけですね! #vulnstudy

竹内格 @kakutakeuchi

#vulnstudy なるほど、自環境にスキャンノードを入れればいいのですね！ pic.twitter.com/d3wOpetiQU

拡大

かんべ @KanbeWorks

Subdomain Takeoverでやられそうな、未使用のサブドメインとかも見つけられたらいいなー #vulnstudy

はるきち🐴 サイボーグ @halkichisec

これ回答いただき助かりました😊 (頑張ればいけるけど、そもそも持ち込み厳しくない?とのこと) #vulnstudy

ゆうのかんや＠へっぽこ @yunokanya

脆弱性スキャンでのゼロデイ脆弱性の検出は、さすがに難しいでしょうからね。気持ちはわかります。 #vulnstudy

nuwaa🇯🇵🏳️‍🌈🇹🇼努瓦 @nuwaa

勝手にルーティング情報等も調べてくれて、勝手に接続されているネットワークを見付けたりしてその先のサーバの脆弱性とかも調べてくれますか? #vulnstudy

camper @it_sec_news

F-secureのエンジニアさんが見つけた脆弱性も対応してるのは良いな。 #vulnstudy

かんべ @KanbeWorks

レポートはATT&CKやCWEとかと紐付けられたりするのかな。 #vulnstudy

竹内格 @kakutakeuchi

#vulnstudy F-Secure Radar における脆弱性管理の課題と解決策 pic.twitter.com/9mHgyR2Qvd

拡大

hidema @hidema01

ファジングの文字がちらっと見えたけど、どんなところを叩いてみるんだろう？#vulnstudy

がみさん @gami_san

#vulnstudy　マシン１台当たりのスキャン時間は、どのくらいでしょうか？

ゆうのかんや＠へっぽこ @yunokanya

プラットフォームとWebアプリの両方の脆弱性スキャンを、1つの製品でカバーできるのか。便利そう。 #vulnstudy

nuwaa🇯🇵🏳️‍🌈🇹🇼努瓦 @nuwaa

APIが使えるということは、脆弱性診断結果をJIRAとかに連携させるのもラクそうですね! #vulnstudy

camper @it_sec_news

開発段階から脆弱性診断をできるのはいいね。出来上がってから診断して、手戻りするのを防げるのは、コスト的にも嬉しい。 #vulnstudy

セキュリ茶 @securicha

API連携できるのはいいなぁ #vulnstudy

Katayama @Katayam56415238

拠点でフィルタリングできるのでしょうか 海外拠点で対応できない国とかあるのでしょうか #vulnstudy

竹内格 @kakutakeuchi

#vulnstudy F-Secure Radar スキャンした結果、必要なパッチを取捨選択し、優先順位こみで提案して、パッチに関する回帰テストをしやすくして頂けるといいですね。

かんべ @KanbeWorks

「みんな大好き管理レポート」 #vulnstudy

まつおか@AWS SOA勉強中 @tama_katsura

診断数（IP）とかの制限はあるんですか？ #Vulnstudy

showkoba @showkoba

スキャンでサーバやネットワーク機器やWeb対してどの程度の負荷がかかりますか？ #vulnstudy

camper @it_sec_news

cvssはv2とv3選べるのかな。 #vulnstudy

かんべ @KanbeWorks

CVSSスコアはv2とv3併記されればいいなー。 #vulnstudy

セキュリ茶 @securicha

各TCP／UDPポート毎に検出した脆弱性を並び替えることはできますか？ #vulnstudy