脆弱性調査 VURE
新規または未知のセキュリティの脆弱性と弱点を発見、評価、軽減するための応用研究を行います。
ガイダンスノート
セキュリティの脆弱性は、セキュリティシステム内に見られる弱点、欠陥、またはエラーであり、外部エージェントによって悪用されて安全なシステムを危険にさらす可能性があります。
アクティビティには次のものが含まれますが、これらに限定されません。
- 新しい脅威、攻撃経路、リスク、および潜在的な解決策の調査
- ハードウェアまたはソフトウェアのリバースエンジニアリング
- 逆アセンブラ、デバッガ、ファザーなどのツールを適用する。
- 組み込みデバイスの分析
- 脆弱性を分析して明らかにするための技術とツールの開発
- 新しい脆弱性発見手法の設計
- 関連するステークホルダと関連技術を共有する。
このスキルに対する責任レベル
3 | 4 | 5 | 6 |
脆弱性調査: レベル 1-2
このスキルは、通常、これらのレベルの責任と説明責任では観察または実践されません。
脆弱性調査: レベル 3
脆弱性の調査に標準的な手法とツールを適用します。 利用可能なリソースを使用して、関連する専門分野の知識を更新します。 研究コミュニティに参加します。 活動と結果に関する分析と報告をします。
脆弱性調査: レベル 4
複雑な脆弱性調査活動を設計および実行します。 アセスメントを実行するための環境、データ、リソース、およびツールの要件を指定します。 テスト結果を確認し、必要に応じてテストを変更します。 方法論、調査結果、結論を伝えるためのレポートを作成します。 識別されたパターンを悪用することにより、欺瞞方法(deception method)についてアドバイスします。 研究コミュニティに積極的に貢献します。
脆弱性調査: レベル 5
脆弱性調査活動を計画および管理します。 脆弱性調査の分野で強力な外部ネットワークを維持します。 新たに出現する脅威と脆弱性に関する情報を収集します。 組織への影響と脅威をアセスして文書化します。 レポートを作成し、知識と洞察をステークホルダと共有します。 脆弱性調査のためのツールと手法の採用をサポートするための専門家のアドバイスとガイダンスを提供します。 脆弱性の調査とアセスメントのための組織のポリシー、標準、およびガイドラインの開発に貢献します。
脆弱性調査: レベル 6
脆弱性調査に対する組織のアプローチを計画し、主導します。 新たに出現する脅威と脆弱性を特定します。 強力な外部ネットワークを維持します。 情報収集を促進し、研究作業の範囲を設定するために、外部向けの専門的活動で主導的な役割を果たします。 関連するステークホルダと関わり、影響を与えて、調査結果と必要な対応を伝えます。 新たな脅威と脆弱性を監視するための組織的なポリシーとガイドラインを作成します。
脆弱性調査: レベル 7
このスキルは、通常、このレベルの責任と説明責任で観察または実践されることはありません。