업데이트 : 2022 년 1 월 5 일
2페이지의 몸으로 이동4 개의 irt (*) 조직 조직 모델을 사용하여 취약성/사고 대응로 진행 중입니다.
4 개의 IRTS는 IRTS 간의 조정 작업, 정보 시스템 개발 측면 및 제어 시스템 관련 제품 (제품 공급 업체 IRT), 제품 구축 및 해당 제품을 사용하여 서비스를 제공하는 측면 (SI Vendor IRT)의 측면 (Internet User and Internet User) (IRT)로 구성된 측면을 수행하는 HIRT 센터로 구성된 모델입니다.
HIRT-PUB10008은 정보 시스템 개발 및 제어 시스템 관련 제품 (제품 공급 업체 IRT)의 측면에 중점을두고 Hitachi Group의 제품 취약성 정보를 공개하는 프로세스를 소개합니다.
* IRT (사고 응답/준비 팀)
이것은 사이버 보안 문제를 감지하고, 관련 조직에 연락하고, 손상의 확산을 방지하며, 재발을 방지하기위한 원인을 조사하고 개선하는 조직의 일반적인 용어입니다. CSIRT (사이버/컴퓨터 보안 사고 대응/준비 팀)라고도합니다.
그림 1은 Hitachi Group이 홍보 한 제품 취약성 정보 공개 프로세스를 보여줍니다. 제품 취약성 정보를 공개하는 프로세스는 세 단계로 광범위하게 나눌 수 있습니다.
1 단계 : 취약성 정보 얻기 ... (1)1제품 개발 부서에 배치 된 취약성 관련 코난카지노는 취약성의 영향에 대한 조사와 함께 대책 버전에 대비할 것입니다. 취약성 정보 공개
2 단계 : 조사 및 대책 ... (2)1제품 개발 부서가 적절한 대책 버전을 준비 할 때 반응 코난카지노를 게시 할 보안 코난카지노를 작성해야합니다. 취약성 응답 절차
3 단계 : 정보 공개 ... (3) (4)1제품 개발 부서에 배치 된 취약성 관련 코난카지노는 취약성의 영향에 대한 조사와 함께 대책 버전에 대비할 것입니다. 취약성 정보 공개
우리는 지금부터 세 단계에 대한 개요를 제공 할 것입니다.
그림 1 : 제품 취약성 정보 공개 프로세스
취약성 자체, 검증 방법에 대한 정보 및 공격 방법에 대한 정보를 얻는 방법에는 여러 가지가 있습니다 (이하 취약성 관련 정보라고 함). 사용 가능한 사례 수의 순서대로 일반적인 획득 경로를 정렬합니다.
제품 보안을 개선하기위한 HIRT 및 제품 개발 활동의 일환으로 부서는 취약점을 발견하고 제거하기 위해 적극적으로 노력하고 있습니다. 결과적으로 설계, 개발 및 검사와 같은 제품 개발 프로세스 (예 : 설계 검토 및 테스트)에서 취약성을 발견 할 수 있습니다. 또한 발견 된 영향을받는 취약점이 다른 회사의 제품에 영향을 미치는 Hitachi Group 제품에 영향을 줄뿐만 아니라 정보 보안 조기 경고 파트너십이 필요합니다.취약성 관련 정보에 대한 알림 창에보고함으로써 우리는 조정 된 취약성 대응책을 시작할 것입니다. 다른 회사의 제품에 영향을 미치는 것으로 밝혀진 정보 보안 조기 경고 파트너십에 어떻게보고되었는지에 대한 예로JVN#79314822 : Tomcat에서 취약성을 요청합니다등.
취약성 관련 정보는 Bugtraq, 보안 공급 업체 및 제품 개발 공급 업체 웹 사이트와 같은 메일 링리스트를 포함한 공개 정보로 게시됩니다. HIRT는 제품 개발 부서와 협력하여 취약성 관련 정보를 수집합니다. 여기에는 유사한 취약점이 있는지 조사하기 위해 정보 수집이 포함됩니다.
Hitachi Group은 2004 년 7 월부터 정보 보안 조기 경고 파트너십을 체결했습니다제품 개발 공급 업체로 참여하고 있습니다 제품 취약성 대응 물질을 홍보하고 있습니다. HIRT는 Hitachi 그룹이 제품 개발 부서에 통보 된 취약성 관련 정보를 배포하는 연락처입니다.
HIRT는 2005 년부터 CERT/CC로부터 취약성 관련 정보를 직접 수신하는 카운터를 열었습니다.이 카운터에 통보 된 취약성 관련 정보는 관련 제품 개발 부서에 배포됩니다.
보안 연구원과 다른 사람들의 통지 (첫 번째 보고서)가 반드시 hirt에 빠지는 것은 아닙니다. HIRT는 통지를받은 부서와 협력하여 (첫 번째 보고서) 취약성과 관련된 알림 정보를 따르고 관련 제품 개발 부서에 배포합니다. 보안 연구원과 다른 사람의 알림을 통해 이루어진 응답의 예로JVNVU#472363 : IPv6 구현의 전달 정보 기반 업데이트와 관련된 문제자세한 내용은취약성 취급에 대한 승인를 참조하십시오.
제품 개발 부서에 배치 된 취약성 관련 정보는 취약성의 영향에 대한 조사와 함께 대책 버전에 대비할 것입니다.
조사 및 복용 조치를위한 두 가지 기본 개념은 다음과 같습니다. "출판일에 동시에 대책 정보를 공개한다"란 취약성이 공개 될 때 관련 제품의 대책 버전을 준비하는 것을 의미합니다. 또한 "출판 날짜를 준수하는 원칙에 따라"는 여러 제품 개발 공급 업체의 제품에 영향을 미치는 취약점이 이해 관계자간에 특정 방식으로 게시 될 것임을 의미합니다. 이러한 이유로, 정보 보안 조기 경고 파트너십 및 보안 연구원은 타임 라인을 출판 날짜까지 조정하여 필요에 따라 진행할 것입니다.
취약점에는 구현 의존적 취약점과 프로토콜과 같은 사양 의존적 취약점이 포함됩니다. 후자의 사양에 의존하는 취약성의 경우 상호 연결성과 같은 측정과 관련된 영향을 고려해야합니다. 이러한 경우, CERT/CC 및 JPCERT/CC의 협력과 함께 취약성 대책을위한 조정 기관인 우리는 제품 개발자가 조치와 관련된 영향에 대한 의견을 교환 할 수있는 장소를 통한 조치를 고려할 수 있습니다. 의견 교환 장소를 통해 고려해야 할 조치의 예로는 2008 년에보고 된 IPv6 취약점 인 VU#472363이 포함됩니다. VU#472363이 지원되는 방법에 대한 자세한 내용은 "Internet Week 2008 : 2008 년에 우리를 괴롭히는 취약점 : IPv6 취약점 vu#472363 호환 가능".
제품 개발 부서가 적절한 대책 버전을 준비 할 때 반응 정보를 게시 할 보안 정보를 작성해야합니다.
보안 정보를 게시 할 때, 위에서 언급 한 조치를 "출판 날짜에 동시에 공개하는"및 "출판 날짜와 일치하는 원칙에 따라"를 고려해야합니다. 이는 조사 및 대책 중에 취약성 관련 정보가 공개되거나 악의적 인 제 3 자에게 유출되는 경우 악의적 인 코드 (공격 코드)가 개발 및 배포 될 수 있으며, 반대 모임이 없을 때 시스템 취약성에 대한 공격이 시작될 수 있기 때문입니다. 이러한 상황은 제품 사용자의 정보 및 제어 시스템에 대한 활동을 침해하는 위협을 증가시키기 때문에 모든 비용으로 피해야합니다. 여러 조직의 정보 시스템 및 제어 시스템에서 사용하는 제품에 영향을 미치는 취약점의 경우, 특히 여러 제품 개발 공급 업체의 제품에 영향을 미치는 취약점의 경우 이해 관계자 간의 조정 된 일반 간행물 날짜를 기다리지 않고 정보 만 공개하면 다른 제품 사용자의 정보 및 제어 시스템이 위험에 처하게됩니다. 따라서 정보 보안 조기 경고 파트너십 또는 CERT/CC가 통지 한 취약점이 여러 제품 개발 공급 업체의 제품에 영향을 미치는 취약점 인 경우 "게시 날짜에 대한 합의 원칙"에 따라 당사자간에 공개 날짜가 조정될 때까지 정보가 공개됩니다 (그림 2).
또한 과거에 제 3자는 공개 메일 링리스트 ([정식 공개] SUNRPC 유래 XDR 라이브러리에서 오버플로)로 인해이 시간 동안 취약성 관련 정보 및 보안 정보를 올바르게 관리하기 위해서는 이와 관련하여 참가자의 수가 필요합니다.
그림 2 : 출판 날짜와 일치하는 원칙
(= 침해 활동의 위협으로부터 정보 시스템 및 제어 시스템을 보호하는 메커니즘 중 하나)
출판 날짜에, 우리는 제품 개발 부서의 지원 데스크에서 이메일을 통해 대책 정보를 사용자에게 알리는 활동을 시작하고 제품 개발 부서 웹 사이트 등에 게시 된 보안 정보
HIRT는 각 비즈니스 부서 및 그룹 회사의 웹 사이트에서 보낸 보안 정보를 통합하여 Hitachi Group의 제품/서비스와 관련된 보안 문제에 대한 정보를 통합 방식으로 제공하기위한 카운터 페이지를 설정했습니다.
보안 정보 통합 사이트
일본어벳위즈 사고 대응
영어http : //www.hitachi.com/hirt/
10554_10662cert/cc 취약성 노트 데이터베이스에 응답 상태를 게시함으로써 이러한 조치를 구현하기위한 조치를 계속 구현하고 있습니다.
2009 년 7 월 이후, 우리는 또한 일본의 취약성 반응 정보를 효율적으로 활용하기위한 토대를 개발하기위한 활동을 진행하고 있습니다.
2013 년 이래로, 우리는 HIRT를 제어 시스템 제품에 대한 취약성 처리를위한 응답 시스템으로 외부 접촉 지점의 기반으로 사용하는 시스템을 설정하기 위해 노력하고 있습니다 (그림 3).
그림 3 : 외부 접촉의 기본 지점으로 HIRT를 사용하여 취약성 처리를위한 프레임 워크
Hitachi 제품 및 EOL (수명 끝)의 버전 수명주기에 대해 각 제품 페이지를 확인하십시오.
취약성 관련 정보가 발견되면 어떻게 처리 해야하는지 보여주는 취급 표준. 이 프로젝트의 목적은 컴퓨터 바이러스로 인한 손상, 컴퓨터에 대한 무단 액세스 및 취약성 관련 정보 및 측정의 적절한 배포를 촉진하여 고급 정보 및 통신 네트워크의 안전을 보장하는 것입니다.
이것은 소프트웨어 및 기타 제품 및 웹 사이트에서 발견 된 취약점에 대한 정보를 수락하고 제품 개발자 및 웹 사이트 운영자에게 조치를 취하고 조치를 알리도록 촉구하는 프레임 워크입니다 (그림 4). "소프트웨어 취약점과 관련된 정보를 처리하기위한 표준"을 기반으로 한 공공-민간 파트너십 시스템으로 설립되었으며 2004 년 7 월 8 일에 운영을 시작했습니다. 대책이 취해지기 전에 취약성에 대한 정보는 공개적으로 공개되어 컴퓨터 바이러스 및 무단 액세스에 의해 오용되지 않으며, 개인 정보의 누출 및 중요한 시스템의 유인 손상을 방지합니다. IPA는 발견 된 소프트웨어와 같은 제품에 대한 취약성 관련 정보를 수용하고 JPCert/CC는 소프트웨어와 같은 영향을받는 제품을 식별하고 제품 개발자에게 콘텐츠를 알리고 취약성에 대한 응답을 논의하고 조정합니다. JVN은 이러한 방식으로 해결 된 취약점에 대한 자세한 내용을 만들고 제품 개발자의 응답 상태를 공개하여 사용자에게 대책을 알려줍니다.
정보 보안의 취약성 관련 정보에 대한 정보는 조기 경고 파트너십을 참조하십시오http : //www.ipa.go.jp/security/vuln/report/index.html참조.
또한, 취약점에 대한 정보가 공개적으로 게시되고 해결되기 전에 이용 된 경우 Windows 도움말 및 지원 센터의 취약성 (MS10-042)과 Oracle Sun Java 배포 툴킷 (VU#86582)의 취약성이 포함 된 경우. 아직 대책을 확립하지 않은 취약점 (해결 방법 및 완화 조치 제외) 또는 아직 대책을 확립하지 않은 위반의 발생에 대해서는HIRT-PUB10004 : Zerody에 응답하는 방법 (2010),hirt-pub11001 : Zerody에 응답하는 방법 (2011)참조.
그림 4 : 정보 보안 조기 경보 파트너십
이것은 정보 보안 조기 경고 파트너십이 처리하는 취약점의 세부 정보와 제품 개발자의 응답 상태를 게시하고 사용자에게 반대 의견을 알려주는 것을 목표로하는 국내 취약성 대책 정보를위한 포털 사이트입니다. Hirt는 2002 년 6 월부터 JVN의 활동을 지원해 왔습니다.
취약성 정보를 수신 할 때 공급 업체 (제품 개발 공급 업체, 온라인 서비스 제공 업체 등) 및 취약성 정보에 관한 정보를 공개 할 때 공급 업체에 대한 지침 (그림 5)과 같이 운영 중에 고려해야 할 사항을 설명합니다 (그림 5).
공급 업체 (제품 개발 공급 업체, 온라인 서비스 제공 업체 등)가 조치 완료에 대한 취약성 정보를받을 때의 단계에 중점을 둔 고려해야 할 사항을 설명합니다 (그림 5).
그림 5 : 29147 : 취약성 정보 공개와 30111 : 취약성 응답 절차
책임 : Terada, Onishi
글로벌 사인 :
중요한 전자 문서의 디지털 서명. 홍보에도 유용합니다
