回避とは、リスクが高すぎるか許容できないと思われる活動に参加しない、またはリスクを受け入れないという決定や行動を表すリスク管理原則です。リスクを回避すると、リスクの可能性や影響を排除でき、さらなるリスク管理措置の必要性も排除できます。この場合、CISO はリスク スコアが高すぎると判断し、ソフトウェアのリクエストを拒否しました。これは、CISO がリスク管理に回避原則を選択したことを示しています。

ハクティビストは、環境保護、人権、民主主義などの社会的または政治的大義を促進するためにサイバー攻撃を使用する脅威アクターです。彼らは、自社の価値観に違反している、または公共の利益を損なっていると認識する企業を標的にする可能性があります。ハクティビストは、ターゲットを暴露したり当惑させたりするために、Web サイトの改ざん、サービス拒否攻撃の開始、機密データの漏洩などの手法をよく使用します12。参照: サイバー脅威環境の概要、3 ページ。脅威アクターとは何ですか? サイバー脅威アクターの種類と例、セクション 2。

出力には、サポートされている SSL/TLS 暗号スイートについて Web サーバーをスキャンできるツールである Nmap を使用して ssl-enum-ciphers スクリプトを実行した結果が表示されます。暗号スイートは、クライアントとサーバー間の安全な通信を確立するために使用される暗号化アルゴリズムの組み合わせです。出力には、サーバーでサポートされている暗号スイートと、接続の強度を示す文字グレード (A ～ F) が表示されます。出力には、サーバーが提供する最も弱い暗号の強度である最小強度も示されます。この場合、最小の強度は F です。これは、攻撃に対して脆弱であるか、廃止された安全でない暗号スイートをサーバーが許可していることを意味します。たとえば、出力は、サーバーが SSLv3 をサポートしていることを示しています。SSLv3 は、POODLE 攻撃の影響を受けやすい、時代遅れで安全でないプロトコルです。この出力には、サーバーが RC4 をサポートしていることも示されています。RC4 は、脆弱で壊れているストリーム暗号であり、使用すべきではありません。
したがって、出力の最も適切な説明は、ホストが安全でない暗号スイートを許可しているということです。他の説明は、出力に示される内容を反映していないため、正確ではありません。ホストが起動していてスキャンに応答していることが出力に明確に示されているため、ホストが起動していないか、応答が正しくありません。出力には、ホストが実行している暗号スイートの数は示されず、ホストがサポートする暗号スイートのみが示されるため、「ホストが過剰な暗号スイートを実行しています」は正しくありません。このホストの Secure Shell ポートが閉じられているという設定は正しくありません。出力には、Secure Shell (SSH) のデフォルト ポートであるポート 22 に関するものが何も表示されません。出力には、HTTPS のデフォルト ポートであるポート 443 に関する情報のみが表示されます。

nessie.explosion は、CVSSv3.1 悪用可能性スコアが最も高いため、修復を優先する必要があります。
8.6. 悪用可能性スコアは、CVSSv3.1 基本スコアのサブスコアであり、脆弱性が悪用される容易さと技術的手段を反映しています。悪用可能性スコアは、攻撃ベクトル、攻撃の複雑さ、必要な権限、ユーザー インタラクションの 4 つの指標に基づいて計算されます。悪用可能性スコアが高いほど、その脆弱性が攻撃者によって悪用される可能性が高く、実行可能性が高くなります12。
nessie.explosion は、4 つの指標すべての値が最も低いため、悪用可能性スコアが最も高くなります。
ネットワーク (AV:N)、低 (AC:L)、なし (PR:N)、およびなし (UI:N)。これは、ユーザーの操作や権限を必要とせず、複雑性も低いまま、ネットワーク経由でリモートから脆弱性を悪用できることを意味します。したがって、nessie.explosion はエンドユーザーのワークステーションにとって最大の脅威となるため、最初に修正する必要があります。vote.4p、sweet.bike、great.skills は、隣接ネットワーク (AV:A)、高 (AC:H)、低 (PR:L) などの一部のメトリクスの値が高いため、悪用可能性スコアが低くなります。 、または必須 (UI:R)。これは、物理的な近接、ユーザーの関与、または何らかの特権を必要とするため、脆弱性が悪用される可能性がより困難であるか、または低くなるということを意味します34。参考資料: CVSS v3.1 仕様ドキュメント - FIRST、NVD - CVSS v3 計算機、CVSS v3.1 ユーザー ガイド - FIRST、CVSS v3.1 の例 - FIRST

説明
OWASP Web セキュリティ テスト ガイド (WSTG) には、アプリケーションに関連するセキュリティ リスクを特定、定量化し、対処するための構造化されたアプローチである脅威モデリングに関するセクションが含まれています。脅威モデリング プロセスの最初のステップは、アプリケーションの分解です。これには、ユース ケースの作成、アプリケーションのエントリ ポイント、資産、信頼レベル、およびデータ フロー図の特定が含まれます。これは、アプリケーションとアプリケーションが外部エンティティとどのようにやり取りするかを理解し、潜在的な脅威や脆弱性を特定するのに役立ちます1。他のオプションは、OWASP WSTG 脅威モデリング プロセスの一部ではありません。