Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

從 VulReport 談漏洞揭露與企業資安漏洞管理

Avatar for Sylphid Sylphid
April 02, 2015
Technology
1
190

從 VulReport 談漏洞揭露與企業資安漏洞管理

Avatar for Sylphid

Sylphid

April 02, 2015
Tweet

Other Decks in Technology

See All in Technology
AI/MLのマルチテナント基盤を支えるコンテナ技術
Avatar for Preferred Networks pfn
PRO
5
720
mablでリグレッションテストをデイリー実行するまで #mablExperience
Avatar for 弁護士ドットコム bengo4com
0
470
Security Diaries of an Open Source IAM
Avatar for Alexander Schwartz ahus1
0
110
安いGPUレンタルサービスについて
Avatar for Aratako aratako
1
1.7k
生成AI・AIエージェント時代、データサイエンティストは何をする人なのか?そして、今学生であるあなたは何を学ぶべきか?
Avatar for kuri8ive kuri8ive
2
1.8k
日本Rubyの会の構造と実行とあと何か / hokurikurk01
Avatar for Masayoshi Takahashi takahashim
2
410
32のキーワードで学ぶ はじめての耐量子暗号(PQC) / Getting Started with Post-Quantum Cryptography in 32 keywords
Avatar for quiver quiver
0
200
ML PM Talk #1 - ML PMの分類に関する考察
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
1
490
法人支出管理領域におけるソフトウェアアーキテクチャに基づいたテスト戦略の実践
Avatar for ogugu ogugu9
1
110
Oracle Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
0
640
翻訳・対話・越境で強いチームワークを作ろう! / Building Strong Teamwork through Interpretation, Dialogue, and Border-Crossing
Avatar for ar_tama ar_tama
4
1.6k
ECMAScript仕様の最新動向: プロセスの変化と仕様のトレンド
Avatar for uhyo uhyo
2
490

Featured

See All Featured
Designing for humans not robots
Avatar for Tammie Lister tammielis
254
26k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
231
22k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
56
14k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.6k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
76
5.2k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
52
3.5k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.9k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
180
10k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
273
21k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
697
190k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
331
21k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
120k

Transcript

  1. 從 VulReport 談漏洞揭露 與企業資安漏洞管理 Sylphid@VulReport

  2. About Me • 蘇展志 Sylphid • 重要資歷 – Defcon 9

    speaker – HITCON 2012 speaker – 國家資通安全技術服務與防護管理計畫 – Web 應用程式安全參考指引 – 審查委員召集人

  3. Security in SDLC Define Design Develop/Test Deploy Maintain Security requirements

    Risk analysis Code Review Dynamic testing Design review Continuous monitoring

  4. Google VRP - 1

  5. Google VRP - 2

  6. Google Project Zero

  7. None

  8. From: “The Legitimate Vulnerability Market Inside the Secretive World of

    0-day Exploit Sales” - 2007

  9. Shopping For Zero-Days: A Price List For Hackers' Secret Software

    Exploits - 2012

  10. 『在 6 個月前悄然起步之後,這項服務已經向企業和政府 “ ” 客戶售出了不少 高端的 零日漏洞和黑客工具。 由於暫無補丁,因此客戶可在這段時間裡佔據先機。 Mitnick

    表示,其產品由內部研製和外部黑客合作兩部分組 成,保證獨家且單價不低於 10 萬美元。』
  11. None

  12. 中國資安團隊 - 360 和 盤古 (keen Team)

  13. None
  14. None

  15. " ” 高超的電腦技術,卻沒有用在正途

  16. None

  17. 通報案例 - 寬宏售票

  18. 通報案例 - 宏碁雲端售票

  19. 資安揭露政策  漏洞或資安事件的接收態度  通報窗口  給予提交回報者鼓勵

  20. 內部如何進行  依環境狀況制定並公告可受測範圍、提交及 獎勵方式、回應及修補時程、免責條款等  內部應有緊急應變處理小組,依制定的標準 流程作處理  根據接收漏洞型態 調整漏洞管理流程

     若無資源可尋求 VulReport 協助
  21. None

  22. www.facebook.com/whitehat l 漏洞披露責任政策 l 如果您能給我們一段合理的時間,足以讓我們先對 您的檢舉內容作出回應後,再行公佈任何資訊,而 且您在調查期間能秉持善意,盡力避免侵犯隱私、 造成資料毀損或導致我們的服務中斷或品質下降, 我們將不會對您提出任何訴訟,或要求執法機關對 您進行調查。

    l 為了向安全研究人員致謝,如舉報的安全漏洞符合 資格,將頒發獎金。

  23. www.dropbox.com/help/4399

  24. www.uber.com/security

  25. 阿里巴巴

  26. github

  27. Security Response Center

  28. Alibaba

  29. VulReport 未來規劃

  30. Happy Hackers 

  31. VulReport WEB: https://vulreport.net/ FB: facebook.com/vulreport

  32. None