スコアを知る: 脆弱性の露出の説明

この記事では、Illumio 脆弱性露出スコア (VES) を計算する際のさまざまな要素について説明します。これにより、組織は業界標準の脆弱性スコア測定と独自の環境からのコンテキストを組み合わせることができます。VES は、セキュリティ専門家がセキュリティ制御の優先順位を決定し、攻撃対象領域の露出と脆弱性の潜在的な影響を最小限に抑えるのにも役立ちます。

露出とは何ですか?

サイバーセキュリティの文脈における露出は、通常、「攻撃対象領域」によって定義されます。OWASP が使用する定義は次のとおりです。

攻撃対象領域は、攻撃者がシステムに侵入し、データを取得できる可能性のあるさまざまなポイントをすべて表します。

イルミオVESは、その定義に直接合致しています。簡単に言えば、エクスポージャーとは、攻撃者がネットワークを介してシステムに侵入しようとする「穴」またはさまざまなポイントの合計を定量化する試みです。

たとえば、ポート 443 で Web アプリケーションを実行するワークロードであるパートナー ポータルがあるとします。最小権限の原則に従って、その Web アプリケーションへのアクセスを 3 つの外部パートナーのみに制限することができます。この例では、そのアプリケーションの露出スコアは 3 です。これは明らかなように思えますが、多くの場合、組織は、環境全体にわたるこれらの露出の総計の影響は言うまでもなく、アプリケーションごとに東西の露出についてこのレベルの認識や可視性を持っていません。

脆弱性スコアとは何ですか?

Illumio VES は、もともとNational Infrastructure Advisory Council (NIAC) によって開発された、オープンな業界標準でコミュニティに受け入れられている Common Vulnerability Scoring System (CVSS) を採用しています。業界標準を採用することで、 脆弱性管理ベンダーを含む多くの既存のセキュリティ ソリューションと相互運用できるようになり、幅広いセキュリティ専門家に受け入れられるスコアを提供できるようになります。

脆弱性スコアは、ほとんどの脆弱性管理ソリューションで一般的であり、通常はワークロードごとに評価および割り当てられます。たとえば、ワークロード A には 5 つの脆弱性があります。脆弱性スコアは、これら 5 つの CVSS スコアの合計平均である可能性があります。これは、単一のワークロードの潜在的な脆弱性を単独で理解するための貴重な指標ですが、そのワークロードがライブ環境でどれほど脆弱であるかを理解するためのいくつかの重要な詳細が欠けています。

マイクロセグメンテーションを実装して脆弱性に関連するリスクを軽減する

何かがどれほど脆弱であるかを理解するには、複数の要因を調べる必要があります。脆弱性は、環境内で公開され、悪用される可能性がある場合にのみ、真のリスクとなります。

簡単な例として、1 つの重大な脆弱性を持つ 1 つのワークロードを考えてみましょう。重大度は「重大」としてスコア付けされるため、非常に悪用される可能性があります。セキュリティチームの典型的な推奨事項は、「パッチを適用しなければなりません!」かもしれません。ただし、そのワークロードに接続し、その脆弱性を悪用する可能性のある他のワークロードの数を考えてみましょう。また、その脆弱性の一部として公開されているネットワークポートについても調べてみましょう。フラット ネットワークではよくあることですが、ワークロードは他の多くのワークロードと適切に接続されます。

パッチがまだ存在しない場合、または本番稼働時間、変更ウィンドウ、SLA に関する要件と制限により、その特定の脆弱性にパッチを適用することは実現できない可能性があります。このような場合、マイクロセグメンテーションを使用して、その脆弱なワークロードと特定の脆弱なポートに接続できるワークロードの数を減らすことができます。

マイクロセグメンテーションは、次の方法でリスクを軽減する制御になります。

• ワークロードへの攻撃ベクトルの削減。
• ワークロードの「エクスポージャー」を減らします。
• そのワークロードの脆弱性が「重大」であり、現在パッチを適用できない場合でも、実際に悪用される可能性があるリスクを軽減します。
  

脆弱性 エクスポージャー スコアとは何ですか?

イルミオVESは、脆弱性の「悪用可能性」(通常はCVSSスコアで表される)と、環境内の攻撃ベクトルを介した脆弱なワークロードの実際の「到達可能性」、つまり「露出」と呼ばれるものの両方を把握する手段です。

さて、実際の計算です。VES は、スケーリングされた脆弱性スコア (CVSS) に、特定のサービスのスケーリングされたエクスポージャー測定値を乗算することによって計算されます。ここで、 s と p は、これらの測定値を対数スケーリングするのに役立つスケーリング係数であり、これは値の範囲が広い場合の一般的な数学的手法です。

VES = s(CVSS) * p(露光測定)

NBA MVP ステフィン・カリーから学んだエンタープライズ セキュリティの教訓に関するフォーブスの記事で述べたように、この測定により、セキュリティ専門家はセグメント化された環境のコンテキストで脆弱性と関連する脅威情報を理解することができます。

具体的には、従来の脆弱性管理ソリューションでは、重大、高、中、低、情報の評価を使用して脆弱性を分類し、緩和策の優先順位付けに役立てていました。批判的でハイな人は、当然のことながら、すぐに注意を向けられます。しかし、優先順位が付けられず、最終的にはマルウェア作成者が気づかない重大なバックログに蓄積される中程度の脆弱性が多数存在します。  

重大な脆弱性は、多くの場合、悪用されやすい(攻撃者にとって低コスト)が、セキュリティチームは迅速にパッチを適用するか、露出を取り除く他の方法を見つけるため、短期間にすぎません。常に新しい角度を模索している攻撃者は、ノイズの中で失われ、長期間パッチが適用されないことが多い中程度の脆弱性を標的にすることが増えており、侵害のターゲットとしてはるかに効果的になります。悪用するには少し「高価」であると考えられるかもしれませんが(参入障壁が高い)、重大で高い脆弱性よりも長く利用可能であるという事実は、攻撃者が投資に対するROIを計算する際に、標的にするのにはるかに魅力的です。

目的と見返り

VES を使用すると、組織は業界のベスト プラクティス CVSS スコアリングと各顧客の環境に固有の要素を簡単に組み合わせることができます。セキュリティ チームは、独自の環境における脆弱性の露出に基づいて、軽減戦略の優先順位をより適切に設定できます。たとえば、重大度の高い脆弱性は、マイクロセグメンテーション制御によって露出が大幅に減少したため、優先順位が下げられる可能性があります。あるいは、その脆弱なサービスへの攻撃経路が大量に存在することを考慮すると、中程度の脆弱性であっても、リストの最上位に優先させる必要がある場合があります。

VES が実現可能なのは、環境がどのように接続され、通信しているかを示すマップを当社が独自に理解し、 そのマップの上に脆弱性情報を重ね合わせることで、セキュリティ チームが環境内の脆弱性リスクを視覚化し、軽減策の優先順位を決定できるように支援するためです。これは、セキュリティ チームだけでなく、そのリスクを理解し、より広範なビジネス リスクの観点からリスクを軽減または受け入れる必要があるアプリケーション所有者や経営幹部などの他の人にとって、非常に強力なツールになります。