Tenable Specialists: 「すべての脆弱性が脅威であるとは限りません。組織は主要な脆弱性に焦点を当てる必要があります」.
組織のコンピューター ネットワークは常に拡大しています。IT、クラウド、IoT、および OT は、現代の攻撃対象領域を表す複雑なコンピューティング環境を形成しています。 この攻撃対象領域は、新しいデバイス、接続、またはアプリケーションごとに増加します。 この複雑さに加えて、毎日発見される無数の脆弱性があり、多くの場合、課題は克服できないように見えます. ただし、ソリューションは比較的単純です。セキュリティ チームは、リスクを理解するために可視性が必要です。
絶滅の危機に瀕している弱点にもっと焦点を当てる
組織の規模に関係なく、大規模な IT チームと多額の投資を行ったとしても、各脆弱性の修正には長い時間がかかります。 組織は、攻撃の対象ではない脆弱性にこだわるのではなく、何千もの脆弱性を脇に置いて、真の脅威をもたらす脆弱性に焦点を当てることができます。
脆弱性の過負荷
脆弱性管理に関しては、次のような質問がよく寄せられます。XNUMX 人のセキュリティ専門家が XNUMX 日に修正できる脆弱性の数は? 週あたり? 毎月? タイマーは、CVE (Common Vulnerabilities and Exposures) が脆弱性を公開した後、セキュリティ マネージャーがそれについて知ると開始します。 この限られた情報を基に、修復を開始する前に、ネットワーク内に脆弱性が存在するかどうか、影響を受けるシステム、デバイス、またはアプリケーションを特定する競争が始まります。
CVE ID は、脆弱性が存在することをセキュリティ研究者に知らせるだけです。それだけです。 実際のリスクを判断するには、多数の公的情報源でさらに広範な調査を行う必要があります。 これらは、脆弱性の特徴と、現在および過去の蔓延で機能する機能を詳細に説明しています。 このプロセスには、ソーシャル メディアの投稿、ブログ、さらにはダーク Web フォーラムなどの補足的な情報源を含める必要があります。
組織に対する攻撃の大部分は、政府が後援するものでも、特に巧妙なものでもありません。 問題は、既知であるがまだパッチが適用されていない脆弱性です。 すべての脆弱性を修正することは不可能であるため、実際のリスクと理論上のリスクを把握することが課題となります。
リスクを修正する
Tenable Research によると (永続的な脆弱性: 原因と展望) 脆弱性の 20% しか悪用されておらず、ハッカーはそれらのほんの一部しか悪用していません。 セキュリティ チームはこれを有利に利用できます。 また、Tenable の調査では、脆弱性を効果的に修正している組織は 6% 未満であることがわかりました。 多くの組織は、セキュリティ プロセスの最新情報を把握しておらず、決して悪用されない可能性のある欠陥や、実際のリスクをもたらさない領域の欠陥を修正しようとしています。
リスクベースの脆弱性管理 (RBVM) は、Common Vulnerability Scoring System (CVSS) の基本的な評価を超えています。 これにより、セキュリティ チームは、影響を受けるシステムやデバイスの重要度などのコンテキスト要素を、継続的に更新される脅威インテリジェンスと予測テクノロジと組み合わせて考慮することができます。 これにより、組織は近い将来に悪用される可能性が最も高い脆弱性を効率的に特定できます。
ビジネスリスクをより迅速に軽減
積極的に悪用されている脆弱性を見つけて修復することは、ビジネス リスクを軽減する上で最も重要です。 リスクベースの脆弱性管理プログラムにより、セキュリティ チームは最も複雑な IT ランドスケープでもセキュリティを確保できます。 RBVM の詳細については、Tenable の無料ホワイト ペーパー (ガイダンスを含む): Implementing Risk-Based Vulnerability Management を参照してください。
詳細については Tenable.com をご覧ください
テナブルについて Tenable は Cyber Exposure の会社です。 世界中の 24.000 を超える企業が Tenable を信頼してサイバーリスクを理解し、軽減しています。 Nessus の発明者は脆弱性の専門知識を Tenable.io に結集し、あらゆるコンピューティング プラットフォーム上のあらゆる資産をリアルタイムで可視化し、保護する業界初のプラットフォームを提供します。 Tenable の顧客ベースには、Fortune 53 の 500%、Global 29 の 2000%、および大規模な政府機関が含まれます。