重要な 8 つの脆弱性管理の取り組みの最適化

さまざまなシステムが相互に接続され、現在では世界中の従業員が遠隔地にいるため、サイバー犯罪にさらされるリスクと機会が増えています。オーストラリアのセキュリティチーム、特にオーストラリア連邦政府および州政府部門のセキュリティチームは、オーストラリアサイバーセキュリティセンター（ACSC）から次のような形で与えられるアドバイスや要件を採用し、維持するために、常に逆風と戦っています。 ISM エッセンシャルエイト。

最近、セキュリティ衛生のコストと労力の削減について政府機関と話し合った結果、オペレーティングシステムやアプリケーションのパッチ適用など、セキュリティチームが抜け出すのに苦労しているその他の「基本的な」慣行に関する継続的な課題が浮き彫りになりました。システムとCOTSアプリケーションを最新の状態に保つ方法を検出してアドバイスする成熟したテクノロジーや、NCCEがEssential Eightの成熟度を高めるのに役立つように設計されたスプリントプログラムを利用できるにもかかわらず、その影響があるかどうかについては疑問が残ります 脆弱性管理 調査結果は十分に理解されており、リスク軽減から最大限の利益を得るには、すでに不足しているリソースの労力をどこに費やすべきかがわかります。

脆弱性管理は、もちろんすべてのセキュリティチームにとって重要なプラクティスであり、あらゆる防御戦略の基盤となるべきです。これは、2011年の最初のトップ4に含まれ、拡張されたEssential 8でも引き続き関連性があることからも明らかです。しかし、インフラストラクチャ、アプリケーションアーキテクチャ、およびソフトウェアの脆弱性がますます複雑になっているため、政府機関は、概説された時間枠ですべての脆弱性にパッチを適用することができず、ますます困難になっています。多くの場合、アプリケーションを壊したり、生産性を低下させたりすることを恐れて、パッチの展開に苦労しています。

オーストラリア政府の INFOSEC-4 コンプライアンスのレベルが文書化されています プロアクティブ・セキュリティ・ポリシー・フレームワーク (PSPF) コンプライアンスレポート （以下を含むサイバーおよびICTシステムのセキュリティに関する サイバーセキュリティインシデントを軽減するための戦略）は36の必須要件すべての中で最も低い水準にとどまっており、過去数年間に比べるとほとんど改善されていません。「連邦政府は、サイバーセキュリティの成熟度が高まったときにのみ、エッセンシャルエイトを義務付けることを検討する」のは幸運だと考える人もいるでしょう。

代理店との最近の話し合いから共通するテーマは以下のとおりです。

• ソフトウェアとシステムの量、および必要なパッチの頻度の有無（特に社内で作成されたソフトウェアの場合）
• すべてに常にパッチが適用されるわけではないことを認識した上での優先順位付け
• 脆弱性の影響を十分に把握せずにリスクを受け入れることは避けられない

ここでは、重点的に取り組むべき3つの主要分野と、統合ソリューションが役立つ分野を紹介します。

1。重要度だけでなく、露出度にもとづいて優先順位を付け直す

伝統と自然は、私たちが「最も重要な」と感じるものをまず目指すように教えてくれます。既知の脆弱性の重要度を反映した優れた検出ツールとスコアリングシステムがあるにもかかわらず、環境内の他のワークロードとの比較ではワークロードの接続性を考慮していません。重要度だけを見落としていたり、脆弱性のレベルが低かったりする可能性のある、アクセスしやすく、接続性が高いシステムでは、機関が攻撃を受けやすくなる可能性があります。ボリューム主導型の最新優先型の脆弱性管理アプローチを採用し、特定された問題の数とランクが同じと思われるシステムを順を追って進めるだけでは、悪用の可能性が最も高いものを最初に扱うことはできません。どちらかといえば、それは進歩と成功という幻想を生み出し、政府機関を重大なリスクにさらすだけです。

攻撃対象領域を最小限に抑え、パッチ適用から利益を得るには、優先順位リストを「露出度」に基づいて並べ替える方法があります。脆弱性をより広い視野で見てください。脆弱性が最初に認識されるかどうかは、脆弱性の到達可能性とシステムの接続性が重要な役割を果たします。選択した脆弱性スキャンツールをデータセンター内のリアルタイムのトラフィックフローとリンクさせることで、セキュリティチームとIT運用チームは、セキュリティとパッチの優先順位を最も高いシステムに割り当てることができます。 露出スコア。

2。脆弱性への経路を視覚化

脆弱性に到達する方法や、環境内の他の機密システムにアクセスするために悪用される可能性がある方法を理解または視覚化しないと、セキュリティチームとアプリケーションチームは、ほとんどの場合、サイロ化されたパッチの必要性やスケジュールを評価することになります。彼らは盲目的に飛んでいるため、意思決定の上流と下流への影響を理解することができません。これは、他のアプリケーションと連携するアプリケーションについてリスクを受け入れることを選択する場合に特に影響します。

PSPFコンプライアンスレポートのデータには、より広い背景や採用された統制の有効性を認識していなかったことが寄与した可能性があります。このレポートでは、INFOSEC-3の「情報資産のセキュリティ分類と保護管理に関するポリシーと手順の実施」への準拠が、この分野での欠陥が認識されたため、5％以上低下しました。

視覚化 攻撃者が利用する可能性のある経路を突き止めることができれば、相互接続されたシステムを考慮せずに意思決定が行われないようにするために必要な洞察をセキュリティチームに提供できます。攻撃者は、脆弱性がより広範なエコシステムに与える影響を正確に評価することに重点を置き、そのような休眠状態の脆弱性が悪用された場合にどの程度の「危険にさらされる」かを事前に把握し、最も影響の大きい修復策が最初に講じられるようにすることができます。

3。パッチにすぐにアクセスしなくても軽減できるオプション

パッチは必ずしも必要なときに入手できるとは限りません。本番環境での変更が凍結されると、すぐに展開できなくなったり、よくあることですが、プロジェクトチームにカスタムで作成したソフトウェアの再作業を行うよう再委託することもできません。実際、ビジネスサービスの可用性に悪影響を及ぼさないようにパッチの準備とテストに費やされるサイクルが、実際の展開そのものではなく、セキュリティチームの大規模な阻害要因となっています。パッチが適用され、脆弱なサービスへのトラフィックが検出された場合に警告するセンサーがなくなるまで、チームは脆弱なままでいるリスクがあります。

最新の ACSC 成熟度レベル 特に極めてリスクの高いシステム向けのパッチ配布期間の目標を規定する。政府機関はレベル3と48時間のパッチ目標を目指すべきですが、多くのパッチはレベル1の 1 か月目標にも達しない場合があり、リスクの低いシステムも同じレベルの精査の対象にはなりません。そのため、成熟度スケールのどの段階にいても、リスクにさらされる時期はあります。ファンダメンタルズでは、パッチが適用されていないシステムによるエクスポージャーのリスクで行き詰まっていると感じるかもしれませんが、このリスクを最小限に抑えるには、突破されたものの背後にうさぎの穴がどれだけ広がっているかを制御することを効率的に導入できます。

マイクロセグメンテーション うまくできれば、すぐに動員して補償コントロールの基盤として機能できるようになり、貴重な時間を稼ぐことができます。既知の脆弱性があるポートにトラフィックが接続されている場合、セキュリティオペレーションセンター (SOC) に通知するアラートによって対応プロセスが迅速化され、セグメンテーションポリシーを適用したほうがアプリケーションを壊すことなくアクセスを排除または制限できます。脆弱なサービスをネットワークの他の部分から隔離することで、脅威が横方向に移動するのを防ぎ、パッチが適用されるまでのコンプライアンス要件を満たすことができます。

現在の世界的な出来事や侵害インシデントが示すように、脅威の範囲を追跡して理解し、先制的に隔離し、データセンター内の既存の脆弱性を悪用するインシデントの拡散や影響を「防止」するための対策を講じることは不可欠です。特に、「治す」代替案をタイムリーにテストして適用することが難しい場合はなおさらです。

イルミオの詳細については、こちらをご覧ください 脆弱性管理体制の最適化を支援しています セキュリティチームがファンダメンタルズの重荷から抜け出すことができます。