きりたぬ (Kiri)
@skiritan
「ネットワーク構成も加味して脆弱性のリスク評価したい」=CVSS v4 Subsequent System(SC, SI, SA) をさらに踏み込んだ感じ?うまく連携できると面白そう #vulsjp
2024-02-16 21:13:13
キタジー
@kitaji0306
SSVCを採用した:筋の良い脆弱性対応がスピーディーに始められる →リスク内訳(脅威・脆弱性・資産)を含んでいるから #vulsjp
2024-02-16 21:21:20
hiro0kach1
@hiro0kach1
SSVCとやるにあたって、決めておくこと/やらなかったこと、の説明はありがたい。優先度や対応基準が典型だけど、組織や環境でポリシーを考えないといけないのはわかりみ。そこにexposureの基準を入れているのも興味深い #vulsjp
2024-02-16 21:25:04
hiro0kach1
@hiro0kach1
SSVCを使っても、リスク評価が外部リソースに依存しがちというのは、わかりみ。情報が刻一刻と変わることを前提に構えないといけないんですよね(ストレスw) #vulsjp
2024-02-16 21:27:59
たきこ@おべんきょ用
@taki62an
大規模組織の脆弱性管理、やっぱり一担当だけで全システム見るのは無理あるよな...。ある程度の分業管理が望ましい、まさにその通り。人いないけどorz #vulsjp
2024-02-16 22:18:01