.png)
スコアを知ろう:脆弱性暴露の説明
この投稿では、Illumio脆弱性エクスポージャースコア(VES)を計算する際のさまざまな要因について説明します。これにより、組織は次のことが可能になります。 業界標準の脆弱性スコアリング測定値を組み合わせる 独自の環境からのコンテキストを使用して。また、VESは、セキュリティ専門家がセキュリティコントロールに優先順位を付け、攻撃対象領域への露出や脆弱性の潜在的な影響を最小限に抑えるのにも役立ちます。
露出とは何ですか?
サイバーセキュリティにおけるリスクは通常、「攻撃対象領域」によって定義されます。以下がその定義です。 オワスプ 使用:
アタックサーフェスは、攻撃者がシステムに侵入し、データを取得できるさまざまなポイントをすべて表します。
イルミオVESはその定義と直接一致しています。簡単に言えば、エクスポージャーとは、攻撃者がネットワークを介してシステムに侵入しようと試みる可能性のある「ホール」またはさまざまなポイントの合計を定量化する試みです。
たとえば、パートナーポータル (ポート 443 で Web アプリケーションを実行するワークロード) があるとします。次は 最小権限の原則、その Web アプリケーションへのアクセスは、3 つの外部パートナーのみに制限されている場合があります。この例では、そのアプリケーションの露出スコアは 3 です。これは当たり前のように思えますが、多くの場合、組織はこのレベルの認知度を持っていない場合や 可視性 これらの曝露の総量が環境全体にもたらす影響は言うまでもなく、アプリケーションごとに東西への露出量を調べます。
脆弱性スコアとは
Illumio VESは、もともとIllumio VESによって開拓された、オープンな業界標準でコミュニティが受け入れている共通脆弱性スコアリングシステム(CVSS)を採用しています。 国家インフラ諮問委員会 (ナイアック)。業界標準を採用することで、以下を含む多くの既存のセキュリティソリューションと相互運用できます。 脆弱性管理 ベンダーだけでなく、幅広いセキュリティ担当者に受け入れられるスコアも提供しています。
脆弱性スコアはほとんどの脆弱性管理ソリューションで一般的であり、通常はワークロードごとに評価および割り当てられます。たとえば、ワークロード A には 5 つの脆弱性があります。脆弱性スコアは、これら 5 つの CVSS スコアの合計平均である可能性があります。これは、1 つのワークロードの潜在的な脆弱性を分離して理解するうえで貴重な指標ですが、実際の環境でそのワークロードが実際にどれほど脆弱であるかを理解するうえで重要な詳細がいくつか見落とされています。
脆弱性に関連するリスクを軽減するためのマイクロセグメンテーションの実装
何かがどれほど脆弱であるかを理解するには、複数の要因を検討する必要があります。脆弱性が真のリスクとなるのは、その脆弱性が環境内で公開され、悪用される可能性がある場合だけです。
簡単な例として、1 つのワークロードに重大な脆弱性が 1 つある場合を考えてみましょう。重大度は「重大」なので、悪用されやすい可能性があります。セキュリティチームの一般的な推奨は、「パッチを当てないと!」というものでしょう。しかし、そのワークロードに接続して、その脆弱性を悪用する可能性のあるワークロードが他にどれだけあるかを考えてみましょう。また、その脆弱性の一部として公開されているネットワークポートについても調べてみましょう。フラットネットワークではよくあることですが、ワークロードは他の多くのワークロードと適切に接続されています。
パッチがまだ存在していないか、本番稼働時間、変更ウィンドウ、SLAに関する要件や制限により、特定の脆弱性にパッチを適用できない場合があります。このような場合、マイクロセグメンテーションを使用して、その脆弱なワークロードや特定の脆弱なポートに接続できるワークロードの数を減らすことができます。
マイクロセグメンテーション 以下によってリスク軽減コントロールになります。
- ワークロードへの攻撃ベクトルを減らします。
- ワークロードの「露出」を減らします。
- そのワークロードの脆弱性が「重大」であり、現在パッチを適用できない場合でも、そのワークロードの脆弱性が実際に悪用されるリスクを軽減します。
脆弱性とは 露出 スコア?
Illumio VESは、脆弱性の「悪用可能性」(通常はCVSSスコアで表される)と、環境内の攻撃ベクトルによる脆弱なワークロードの実際の「到達可能性」(これを「露出」と呼んでいます)の両方を把握する手段です。
さて、実際の数学です。VES は、特定のサービスのスケーリングされた脆弱性スコア (CVSS) にスケーリングされたエクスポージャーの測定値を掛けて計算されます。 s そして p これらの測定値を対数でスケーリングするのに役立つスケーリング係数です。これは、値の範囲が広い場合によく使われる数学的手法です。
VES = s (CVSS) * p (露出測定値)
私が言ったように フォーブス記事 NBA MVP の Steph Curry 氏から得たエンタープライズセキュリティの教訓に基づき、この測定は、セキュリティ専門家が細分化された環境における脆弱性と関連する脅威情報を理解する手段となります。
具体的には、従来の脆弱性管理ソリューションでは、「緊急」、「高」、「中」、「低」、「情報」の評価を使用して脆弱性を分類し、緩和活動の優先順位付けに役立てています。クリティカルとハイは、本来あるべきことですが、すぐに注意が払われます。ただし、優先順位付けされていない中程度の脆弱性は多数あり、最終的にはマルウェア作成者が気付かないうちに積み重なって大きなバックログになります。
重大な脆弱性は悪用されやすい(攻撃者にとって低コスト)ことが多いですが、セキュリティチームが迅速にパッチを適用したり、リスクを排除する他の方法を見つけたりするため、その影響は短期間です。常に新しい視点を模索している攻撃者は、ノイズに埋もれて長期間パッチが適用されないことが多い中程度の脆弱性を標的にするようになっています。この脆弱性は、はるかに効果的な侵害対象です。悪用するには少し「コストがかかる」と考えられるかもしれませんが(そうであれば参入障壁が高い)、重大で高い脆弱性よりも長く利用可能になるという事実から、攻撃者が投資に対するROIを計算する際に、攻撃者が攻撃対象とする方がはるかに魅力的になります。
目的と報い
VESにより、組織は業界のベストプラクティスであるCVSSスコアリングと、各顧客の環境に固有の要素を組み合わせることがはるかに簡単になります。セキュリティチームは、それぞれの環境における脆弱性の露出度に基づいて、緩和戦略の優先順位を決めることができます。たとえば、重大度の高い脆弱性は、その危険性が大幅に高まっているため、優先度が下がる可能性があります。 マイクロセグメンテーション制御による削減。あるいは、中程度の脆弱性であっても、その脆弱なサービスへの潜在的な攻撃経路が膨大に存在することを考えると、リストの一番上に優先すべきかもしれません。
VESができるのは、私たちだけだからこそ可能です マップを理解する —環境がどのように接続され、通信されているか—そして マップの上に脆弱性情報を重ねて表示 セキュリティチームが環境内の脆弱性のリスクの軽減を視覚化し、優先順位を付けるのに役立ちます。これは、セキュリティチームだけでなく、そのリスクを理解し、より広範なビジネスリスクの観点からリスクを軽減または受け入れる必要があるアプリケーションオーナーや経営幹部などにとっても、非常に強力なツールになります。
