今こそ、組織が PCI DSS v4.x の将来的な要件を採用すべき時です Now is the Time for Organizations to Adopt the Future-Dated Requirements of PCI DSS v4.x #PCISSC (Aug 20) #PCI_DSS #支払いセキュリティ #脆弱性管理 #コンプライアンス #データ保護 blog.pcisecuritystandards.org/now-is-the-tim…

サイバー犯罪者は人気のソフトウェア検索を悪用してFakeBatマルウェアを拡散 Cybercriminals Exploit Popular Software Searches to Spread FakeBat Malware #HackerNews (Aug 19) #ソフトウェア脆弱性 #サイバー犯罪 #セキュリティ対策 #脆弱性管理 #システム更新 thehackernews.com/2024/08/cyberc…

学術資産の保護: 高等教育機関がサイバーセキュリティを強化する方法 Protecting academic assets: How higher education can enhance cybersecurity #HelpNetSecurity (Aug 19) #高等教育 #サイバー攻撃対策 #エンドポイントセキュリティ #脆弱性管理 #リスク軽減 helpnetsecurity.com/2024/08/19/how…

サイバーレジリエンスにおける「予測力」の強化で、継続的な脆弱性対策を実現 #サイバーレジリエンス #予防的対策 #リスク管理 #脆弱性管理 #予測分析 #AI活用 #継続的改善 news.mynavi.jp/techplus/kikak…

ランサムウェアの急増はM&Aによるサイバーセキュリティの欠陥を悪用 Ransomware Surge Exploits Cybersecurity Gaps Caused by M&A #SecurityBoulevard (Aug 16) #ランサムウェア #M&A #セキュリティギャップ #統合リスク #脆弱性管理 securityboulevard.com/2024/08/ransom…

インドの決済システムへのランサムウェア攻撃はJenkinsのバグに起因する Ransomware attack on Indian payment system traced back to Jenkins bug #TheRecord (Aug 16) #ランサムウェア攻撃 #Jenkins脆弱性 #金融インフラ #NPCI #脆弱性管理 therecord.media/jenkins-vulner…

CVE-2024-38063: 重大なリモートコード実行の脆弱性の詳細 CVE-2024-38063: An In-Depth Look at the Critical Remote Code Execution Vulnerability #SecurityBoulevard (Aug 16) #CVE2024 #リモートコード実行 #脆弱性管理 #セキュリティパッチ #システム監視 securityboulevard.com/2024/08/cve-20…

「FortiOS」などセキュリティアドバイザリ6件を公開 - Fortinet #サイバー攻撃 #セキュリティアドバイザリ #脆弱性管理 #自動更新 #サイバーセキュリティ #Fortinet #インシデント対応 security-next.com/160783

ランサムウェアの運営者は革新を続ける Ransomware operators continue to innovate #HelpNetSecurity (Aug 8) #ランサムウェア対策 #フィッシング防御 #暗号化対策 #セキュリティ強化 #脆弱性管理 helpnetsecurity.com/2024/08/08/ran…

IPA Channel「体験して学ぼう、脆弱性体験学習ツール『AppGoat(アップゴート)』利用の手引き」公開 #脆弱性 #AppGoat #サイバーセキュリティ #セキュリティ #脆弱性管理 #アップデート #体験学習 news.yahoo.co.jp/articles/a330a…

強化すべきは 1位診断定期実施 2位教育 3位可視化 ～ スリーシェイク セキュリティ担当者 1,000人アンケート #セキュリティ診断 #脆弱性管理 #AI活用 news.yahoo.co.jp/articles/a8448…

サイバー攻撃対策セミナーで学ぶ「脆弱性管理」の重要性と実践方法 #東京都 #港区 #脆弱性管理 #マジセミ #サイバーセキュリティ ift.tt/sAxgj2v

NISC、横断的アタックサーフェスマネジメント事業開始 各府省庁や独立行政法人等の情報システムが対象 #ScanNetSecurity (Aug 2) #脆弱性管理 #国家安全保障 #政府システム #セキュリティ対策 #ASM事業 scan.netsecurity.ne.jp/article/2024/0…

「Inspectorスコア：環境評価基準に近い。CVSSを元にAWS上での環境を加味して再計算」 #cm_odyssey #脆弱性管理

「対応の酒類：軽減、回避、転嫁、受容(リスク受入、対応しない)。これらを組合せて最適な対応を行うことが重要」 #cm_odyssey #脆弱性管理

「SSVC：NW環境、業務影響、脆弱性の攻撃情報、攻撃者目線の利用価値から対応レベルを導くフレームワーク。対応ツール少ない」 #cm_odyssey #脆弱性管理

「トリアージ：優先順位付け。全てを対応するのは現実的ではない。リスク＝脆弱性の深刻度×脅威(攻撃の普及度)×資産重要度」 #cm_odyssey #脆弱性管理

「理想的な脆弱性管理：開発フローに脆弱性スキャンを組み込む、定期的にパッチ適用、深刻度／リスクに応じて対応」 #cm_odyssey #脆弱性管理

「Inspectorのメリット：低コスト、セットアップが容易、AWSサービスとの連携が容易」 #cm_odyssey #脆弱性管理

「ECRスキャン：拡張スキャン(Inspectorによるスキャン)で言語パッケージの脆弱性検知が可能に」 #cm_odyssey #脆弱性管理

「ワークアラウンド：暫定対応。修正パッチ適用がすぐには難しい場合に有効」 #cm_odyssey #脆弱性管理

「脆弱性管理：情報収集→リスク評価→対応。これらのステップを継続的に回していく」 #cm_odyssey #脆弱性管理

「パッチ公開から2日以内に5%, 1ヶ月以内に45%の攻撃が観測されているというデータも」 #cm_odyssey #脆弱性管理

「頻出ワード：CVE(共通脆弱性識別子), CVSS(共通脆弱性評価システム), NVDとJVN(脆弱性情報DB)」 #cm_odyssey #脆弱性管理

ソフトウェアサプライチェーンのリスクが蔓延するネットワーク機器 Networking Equipment Riddled With Software Supply Chain Risks #SecurityBoulevard (July 26) #ネットワーク機器 #サプライチェーンリスク #脆弱性管理 #ソフトウェアアップデート #セキュリティ監査 securityboulevard.com/2024/07/networ…

オープンソースの脆弱性データベースを理解する: NVD、OSV など Making Sense of Open-Source Vulnerability Databases: NVD, OSV, and more #SecurityBoulevard (July 26) #オープンソース #脆弱性データベース #NVD #OSV #脆弱性管理 securityboulevard.com/2024/07/making…