サイバー犯罪者は、企業が脆弱性にパッチを適用するのを待ちません。 通常、攻撃はすぐに成功し、その後は予想されます。 リスクベースのパッチ管理をお勧めします。これにより、時間要素の重みがいくらか軽減されます。
脆弱性が公開された瞬間から、有効なエクスプロイトが開発されるまで平均わずか 22 日しかかかりません。 ただし、企業側では、利用可能なパッチが実装されるまで平均で 100 日から 120 日かかります。 この不一致の理由の XNUMX つは、企業が長い間、膨大な数の新しい脆弱性に対して無力であったことです。
脆弱性: エクスプロイトは 22 日以内に利用可能になります
NVD (National Vulnerability Database) は、22.000 年に約 2021 件の新しい脆弱性を数えました。これは、前年より 10% 増加し、20 年よりおそらく 2022% 減少しています。コンプライアンス指向のパッチ管理は、もはやこのペースについていくことができません。 ただし、リスクベースのパッチ管理は、根本的に異なるアプローチを提供します。 基本的な考え方: すべての弱点を (無駄に) 埋めようとするのではなく、個々の企業に実際のリスクをもたらすセキュリティ ギャップを最初に検討します。
当たり前のように思えることは、実装に関して IT 組織に非常に特別な課題をもたらします。 セキュリティ プロバイダの Ivanti は、5 つのベスト プラクティスを使用して、それらを解決し、セキュリティを強化する方法を示しています。
1:状況を見る
知らないものは守れない。 したがって、リスクベースのパッチ管理は常にインベントリから始まります。 企業ネットワークにはどのようなリソースがありますか? これらのアセットを使用するエンド ユーザー プロファイルは? コロナ禍の前は、資産管理はそれほど複雑ではなく、オフィスを見回すだけで十分でした。 リスクベースのパッチ管理が機能するのは、すべての資産を任意の場所で (オフラインであっても) 検出、割り当て、保護、および維持できる場合のみです。
2: 一方的に全員を巻き込む
今日の多くの組織では、XNUMX つのチームが脆弱性スキャンと侵入テストを担当し、セキュリティ チームが優先順位の設定を担当し、IT チームが是正措置の実行を担当しています。 その結果、セキュリティから得た知識と、IT 部門が講じた是正措置との間に深刻なギャップが生じることがあります。
リスクベースのパッチ管理により、部門間のつながりが生まれます。 外部の脅威と内部のセキュリティ環境が一緒に表示されることを前提としています。 基本は、両方の部門が受け入れることができるリスク分析です。 これにより、セキュリティ チームが最も重大な脆弱性のみを優先する方法が開かれます。 一方、IT 運用部門の同僚は、適切なタイミングで重要なパッチに集中できます。 このように、リスクベースのパッチ管理により、誰もが一息つく余地が増えます。
3: SLA でパッチ管理をサポートする
XNUMX つは、セキュリティ チームと IT 運用チームが協力して、リスクベースのパッチ管理ソリューションを開発する必要があることです。 もうXNUMXつは、彼らに力を与え、やる気を起こさせることです。 IT 運用と IT セキュリティの間のパッチ管理のサービス レベル アグリーメント (SLA) は、パッチ管理のプロセスを標準化することで、やり取りを終わらせます。 パッチ管理の部門および企業全体の目標を設定し、ベスト プラクティスとプロセスを確立し、すべての利害関係者が受け入れることができるメンテナンス日を確立します。
4: パイロット グループでパッチ管理を整理する
リスクベースのパッチ管理戦略を適切に実施することで、IT 運用チームとセキュリティ チームは迅速に作業し、重大な脆弱性をリアルタイムで特定して、可能な限り迅速にパッチを適用できます。 スピードを重視するにもかかわらず、次のことは依然として当てはまります。急いでパッチを適用すると、ビジネスに不可欠なソフトウェアがクラッシュしたり、その他の問題が発生したりするリスクがあります。
したがって、可能な限り多様な企業の断面からなるパイロット グループは、脆弱性パッチが完全に展開される前に、実際の環境でテストする必要があります。 パイロット グループがバグを発見した場合、ビジネスへの影響を最小限に抑えて修正できます。 このプロセスがパッチの進行を妨げないように、パイロット グループを事前に確立してトレーニングする必要があります。
5: 自動化を使用する
リスクベースのパッチ管理の目的は、スタッフの負担を軽減しながら、脆弱性を効率的かつ効果的に修正することです。 これは、多くの企業で IT スタッフの数が少ないことを考えると、特に当てはまります。 自動化により、XNUMX 時間 XNUMX 日、必要な速度で脆弱性を分析、コンテキスト化、および優先順位付けすることで、リスクベースのパッチ管理が劇的に加速されます。 同様に、自動化されたパッチ管理では、パッチのロールアウトをセグメント化して、有効性とダウンストリームへの影響をテストし、パイロット グループの作業を補完することもできます。
不適切なターゲット: インストールされたパッチの数
サイバー リスクの管理は、主にインストールされたパッチの数に関するものでしたが、このアプローチは現在では時代遅れになっています。 過剰な手動介入を必要とせずに、脆弱性を自動的に特定し、優先順位を付け、さらには修正する機能は、今日のサイバーセキュリティ環境における重要な利点です。
インテリジェントな脅威と脆弱性の管理 (TVM) ソリューションは、IT およびセキュリティ チームが企業の取締役会に至るまで理解できる結果を表示する機能も提供する必要があります。 次に、サイバーセキュリティ スコアにより、組織のリスクベースのアプローチの有効性を測定できます。 これにより、計画が簡素化され、脆弱性を修正するための純粋にアクティビティ ベースのメトリックが不要になります。
詳細は Sophos.com をご覧ください