論文の概要: Closing the Chain: How to reduce your risk of being SolarWinds, Log4j, or XZ Utils

• arxiv url: http://arxiv.org/abs/2503.12192v1
• Date: Sat, 15 Mar 2025 16:22:09 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-03-18 16:00:20.774091
• Title: Closing the Chain: How to reduce your risk of being SolarWinds, Log4j, or XZ Utils
• Title（参考訳）: チェーンのクローズ:SolarWinds、Log4j、XZ Utilsのリスクを減らす方法
• Authors: Sivana Hamer, Jacob Bowen, Md Nazmul Haque, Robert Hines, Chris Madden, Laurie Williams,
• Abstract要約: SolarWinds、Log4j、XZ Utils攻撃で使用される攻撃テクニックをフレームワークタスクの緩和にマップする。 最も高いスコアを持つ3つの緩和タスクは、ロールベースのアクセス制御、システム監視、バウンダリ保護である。
• 参考スコア（独自算出の注目度）: 0.8111409409504281
• License:
• Abstract: Software supply chain frameworks, such as the US NIST Secure Software Development Framework (SSDF), detail what tasks software development organizations should adopt to reduce security risk. However, to further reduce the risk of similar attacks occurring, framework adopters (i.e., software organizations) would benefit from knowing what tasks mitigate attack techniques the attackers are currently using to help organizations prioritize and to indicate current framework task gaps that leave organizations vulnerable to attacks. The goal of this study is to aid software supply chain framework adopters in reducing the risk of attacks by systematically mapping the attack techniques used in the SolarWinds, Log4j, and XZ Utils attacks to mitigating framework tasks. We qualitatively analyzed 106 Cyber Threat Intelligence (CTI) reports of the 3 attacks to gather the attack techniques. We then systematically constructed a mapping between attack techniques and the 73 tasks enumerated in 10 software supply chain frameworks. Afterward, we established and ranked priority tasks that mitigate attack techniques. The three mitigation tasks with the highest scores are role-based access control, system monitoring, and boundary protection. Additionally, three mitigation tasks were missing from all ten frameworks, including sustainable open-source software and environmental scanning tools. Thus, software products would still be vulnerable to software supply chain attacks even if organizations adopted all recommended tasks.
• Abstract（参考訳）: US NIST Secure Software Development Framework (SSDF)のようなソフトウェアサプライチェーンフレームワークは、セキュリティリスクを低減するためにソフトウェア開発組織が採用すべきタスクを詳述している。 しかし、同様の攻撃が起こるリスクをさらに軽減するために、フレームワークの採用者(すなわちソフトウェア組織)は、攻撃者が現在使用している攻撃テクニックを緩和し、攻撃に脆弱な組織を残している現在のフレームワークタスクギャップを示すのに役立つ。 この研究の目的は、SolarWinds、Log4j、XZ Utilsの攻撃手法をフレームワークタスクの緩和に体系的にマッピングすることで、ソフトウェアサプライチェーンフレームワークの採用者による攻撃のリスク軽減を支援することである。 攻撃技術収集のため,サイバー脅威情報(CTI)106件を質的に分析した。 次に、攻撃手法と10のソフトウェアサプライチェーンフレームワークに列挙された73のタスクのマッピングを体系的に構築した。 その後、攻撃テクニックを緩和する優先度の高いタスクを確立し、ランク付けした。 最も高いスコアを持つ3つの緩和タスクは、ロールベースのアクセス制御、システム監視、バウンダリ保護である。 さらに、持続可能なオープンソースソフトウェアや環境スキャンツールなど、10のフレームワークすべてから3つの緩和タスクが欠落していた。 したがって、ソフトウェア製品は、たとえ組織が推奨タスクをすべて採用しても、ソフトウェアサプライチェーン攻撃に対して脆弱である。

関連論文リスト

• S3C2 Summit 2023-11: Industry Secure Supply Chain Summit [60.025314516749205]
  本稿は2023年11月16日に開催された産業安全供給チェーンサミットを要約する。 このサミットの目的は、オープンな議論、相互共有を可能にし、ソフトウェアサプライチェーンの確保において、実践経験のある業界実践者が直面する共通の課題に光を当てることだった。
  論文  参考訳（メタデータ） (2024-08-29T13:40:06Z)
• SoK: A Defense-Oriented Evaluation of Software Supply Chain Security [3.165193382160046]
  ソフトウェアサプライチェーンのセキュリティ研究と開発の次の段階は、防衛指向のアプローチから大きな恩恵を受けるだろう、と私たちは主張する。 本稿では,ソフトウェアサプライチェーンの基本的な要素とその因果関係を表現するフレームワークであるAStRAモデルを紹介する。
  論文  参考訳（メタデータ） (2024-05-23T18:53:48Z)
• DevPhish: Exploring Social Engineering in Software Supply Chain Attacks on Developers [0.3754193239793766]
  敵はソフトウェア開発者に特化した社会工学(SocE)技術を利用する。 本稿では、ソフトウェア技術者(SWE)を騙して悪意あるソフトウェアを届けるために、敵が採用している既存のSocE戦術を包括的に探求することを目的とする。
  論文  参考訳（メタデータ） (2024-02-28T15:24:43Z)
• Assessing the Threat Level of Software Supply Chains with the Log Model [4.1920378271058425]
  全ソフトウェアシステムにおけるフリーおよびオープンソースソフトウェア(FOSS)コンポーネントの使用は90%以上と見積もられている。 本研究は、ログモデルを用いてFOSSサプライチェーンの脅威レベルを評価する新しいアプローチを提案する。
  論文  参考訳（メタデータ） (2023-11-20T12:44:37Z)
• Software supply chain: review of attacks, risk assessment strategies and security controls [0.13812010983144798]
  ソフトウェア製品は、ソフトウェアサプライチェーンを配布ベクタとして使用することによって組織を標的とするサイバー攻撃の源泉である。 我々は、分析された攻撃の最新の傾向を提供することで、最も一般的なソフトウェアサプライチェーン攻撃を分析します。 本研究では、分析されたサイバー攻撃やリスクを現実のセキュリティインシデントやアタックと結びつけて軽減するユニークなセキュリティ制御を導入する。
  論文  参考訳（メタデータ） (2023-05-23T15:25:39Z)
• Towards Automated Classification of Attackers' TTPs by combining NLP with ML Techniques [77.34726150561087]
  我々は,NLP(Natural Language Processing)と,研究におけるセキュリティ情報抽出に使用される機械学習技術の評価と比較を行った。 本研究では,攻撃者の戦術や手法に従って非構造化テキストを自動的に分類するデータ処理パイプラインを提案する。
  論文  参考訳（メタデータ） (2022-07-18T09:59:21Z)
• Attack Techniques and Threat Identification for Vulnerabilities [1.1689657956099035]
  優先順位付けと集中は、最高のリスク脆弱性に限られた時間を費やすことが重要になります。 この研究では、機械学習と自然言語処理技術、およびいくつかの公開データセットを使用します。 まず、脆弱性を一般的な弱点の標準セットにマッピングし、次に一般的な弱点を攻撃テクニックにマップします。 このアプローチは平均相反ランク(MRR)が0.95であり、最先端システムで報告されているものと同等の精度である。
  論文  参考訳（メタデータ） (2022-06-22T15:27:49Z)
• A System for Automated Open-Source Threat Intelligence Gathering and Management [53.65687495231605]
  SecurityKGはOSCTIの収集と管理を自動化するシステムである。 AIとNLP技術を組み合わせて、脅威行動に関する高忠実な知識を抽出する。
  論文  参考訳（メタデータ） (2021-01-19T18:31:35Z)
• A System for Efficiently Hunting for Cyber Threats in Computer Systems Using Threat Intelligence [78.23170229258162]
  ThreatRaptorは、OSCTIを使用してコンピュータシステムにおけるサイバー脅威ハンティングを容易にするシステムです。 ThreatRaptorは、(1)構造化OSCTIテキストから構造化された脅威行動を抽出する非監視で軽量で正確なNLPパイプライン、(2)簡潔で表現力のあるドメイン固有クエリ言語であるTBQLを提供し、悪意のあるシステムアクティビティを探し、(3)抽出された脅威行動からTBQLクエリを自動的に合成するクエリ合成メカニズムを提供する。
  論文  参考訳（メタデータ） (2021-01-17T19:44:09Z)
• Enabling Efficient Cyber Threat Hunting With Cyber Threat Intelligence [94.94833077653998]
  ThreatRaptorは、オープンソースのCyber Threat Intelligence(OSCTI)を使用して、コンピュータシステムにおける脅威追跡を容易にするシステムである。 構造化されていないOSCTIテキストから構造化された脅威行動を抽出し、簡潔で表現力豊かなドメイン固有クエリ言語TBQLを使用して悪意のあるシステムアクティビティを探索する。 広範囲にわたる攻撃事例の評価は、現実的な脅威狩りにおけるThreatRaptorの精度と効率を実証している。
  論文  参考訳（メタデータ） (2020-10-26T14:54:01Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。