脆弱性管理の 8 つの重要な取り組みの最適化

相互接続された異種システムと、現在世界中にリモートの従業員がいるため、サイバー犯罪への露出と機会が増加しています。ここオーストラリアのセキュリティチーム、特にオーストラリアの連邦政府と州政府の各省庁は、オーストラリアサイバーセキュリティセンター(ACSC)から ISM Essential Eightという形で提供されたアドバイスと要件を採用し、維持するために、逆風と絶えず戦っています。

セキュリティ衛生のコストと労力の削減について政府機関と最近交わした会話では、オペレーティングシステムやアプリケーションのパッチ適用、およびセキュリティチームがその下から抜け出すのに苦労しているその他の「基本的な」慣行をめぐる継続的な課題が浮き彫りになりました。システムとCOTSアプリケーションを最新の状態に保つ方法を検出してアドバイスする成熟したテクノロジーや、NCCEがEssential Eightの成熟度を向上させるのに役立つように設計されたスプリントプログラムにアクセスできるにもかかわらず、 脆弱性管理 の調査結果の影響が完全に理解されているかどうか、そしてリスク軽減の最大の利益を得るために、すでに逼迫しているリソースの労力をどこに費やすかという疑問が残っています。

もちろん、脆弱性管理はすべてのセキュリティチームの武器庫における重要なプラクティスであり、あらゆる防御戦略の基盤となるべきであり、それは2011年から最初のトップ4に含まれ、拡張されたエッセンシャル8での継続的な関連性によって明らかです。しかし、インフラストラクチャ、アプリケーションアーキテクチャ、ソフトウェアの脆弱性が複雑化しているため、政府機関は、概説された期間内にすべての脆弱性にパッチを適用することができないか、ますます困難になっていると感じており、多くの場合、アプリケーションの破損や生産性の低下を恐れてパッチの展開が妨げられています。

オーストラリア政府の プロアクティブ・セキュリティ・ポリシー・フレームワーク(PSPF)コンプライアンス・レポート ( サイバーセキュリティ・インシデントを軽減するための戦略を含むサイバーおよびICTシステムのセキュリティに関連する)に記載されているINFOSEC-4コンプライアンスのレベルは、36の必須要件すべての中で最も低く、過去数年間でほとんど改善されていないため、「連邦政府は、サイバーセキュリティの成熟度が向上しました。」

政府機関との最近の議論から得られた共通のテーマは次のとおりです。

• ソフトウェアとシステムの量、必要なパッチの頻度の有無 (特に社内で作成されたソフトウェアの場合)
• すべてが常にパッチが適用されるわけではないという認識による優先順位付け
• 脆弱性の影響を十分に認識せずに脆弱性を受け入れるリスクの必然性

ここでは、注力すべき3つの重要な領域と、統合ソリューションが役立つ分野を紹介します。

1. 重要度だけでなく、露出に基づいて優先順位を再設定する

伝統と自然は、私たちが「最も重要」と認識するものを最初に目指すように私たちに告げています。既知の脆弱性の重大度を反映する優れた検出ツールとスコアリング システムがあるにもかかわらず、環境内の他のワークロードと比較したワークロードの接続性は考慮されません。ボリュームが少なかったり、重要度だけで見落とされた脆弱性のランクが低い可能性があり、アクセスしやすく、接続性が高いシステムでは、政府機関が攻撃にさらされる可能性があります。脆弱性管理に対してボリューム主導の最新のアプローチを採用し、特定された問題の数とランクが等しいように見えるシステムを単純に進めるだけでは、最初にエクスプロイトされる可能性が最も高いことに対処することはできません。どちらかといえば、それは進歩と成功の錯覚を生み出すだけで、政府機関を重大なリスクにさらしたままになります。

攻撃対象領域を最小限に抑え、パッチ適用の取り組みから利益を得る方法は、「露出」に基づいて優先順位リストを並べ替えることです。脆弱性の到達可能性とシステムの接続性が、脆弱性が最初に確認されるかどうかに重要な役割を果たす、より広いコンテキストで脆弱性を表示します。選択した脆弱性スキャンツールをデータセンター内のリアルタイムのトラフィックフローにリンクすることで、セキュリティチームとIT運用チームは、 セキュリティとパッチ適用の決定に優先順位を付けることができます。

2. 脆弱性への経路の可視化

脆弱性がどのように到達するか、または環境内の他の機密システムにアクセスするために利用される可能性があるかを理解したり視覚化したりしなければ、セキュリティチームとアプリケーションチームは、ほとんどの場合、サイロでパッチを適用する必要性やスケジュールを評価することになります。彼らは盲目的に飛行しているため、自分の決定が上流と下流に及ぼす影響を理解できません。これは、他のアプリケーションとインターフェースするアプリケーションでリスクを受け入れることを選択した場合に特に影響します。

より広い文脈や採用された統制の有効性を認識していないことが、PSPFコンプライアンスレポートに示されたデータに寄与した可能性が高く、INFOSEC-3への準拠「情報資産のセキュリティ分類と保護管理のためのポリシーと手順の実装」は、この分野の欠陥が認識されたことで5%以上減少しました。

攻撃者が使用する可能性のある経路をマッピングできる視覚化により、セキュリティチームは、相互接続されたシステムを考慮せずに意思決定が行われないようにするために必要な洞察を得ることができます。脆弱性がより広範なエコシステムに与える影響を正確に評価し、そのような休眠中の脆弱性の悪用に対する「エクスポージャー」のレベルを事前に評価し、最も影響力のある修復が最初に行われるようにすることに集中できます。

3. パッチにすぐにアクセスせずに軽減するオプション

パッチは、必要なときに必ずしも利用できるとは限りません。本番環境の変更が凍結されると、すぐに導入できなくなったり、よくあることですが、プロジェクトチームはカスタム制作されたソフトウェアの再加工を再委託できなくなります。実際、ビジネスサービスの可用性に悪影響を及ぼさないようにパッチの準備とテストに費やすサイクルは、実際の導入そのものではなく、拡張されたセキュリティチームにとって真の阻害要因になります。チームは、パッチを適用できるまで脆弱なままになるリスクがあり、脆弱なサービスへのトラフィックが検出された場合に警告するセンサーがありません。

最新の ACSC 成熟度レベルで は、特に極度のリスク システムに対するパッチ展開期間の目標が規定されています。政府機関はレベル3と48時間のパッチ目標を目指すべきですが、多くのパッチはレベル1の1か月の目標にさえ達しない可能性があり、リスクの低いシステムは同じレベルの精査下にありません。そのため、成熟度スケールのどこにいても、露出の窓があります。パッチが適用されていないシステムによる曝露のリスクにより、基本的なことに行き詰まっていると感じるかもしれませんが、侵害されたものの背後にウサギの穴がどこまで、どこまで広がるかを制御することで、このリスクを最小限に抑えることができます。

マイクロセグメンテーション がうまく行われれば、すぐに動員して補正制御の基盤として機能し、貴重な時間を稼ぐことができます。トラフィックが既知の脆弱性のあるポートに接続している場合、セキュリティオペレーションセンター(SOC)に通知するアラートにより対応プロセスが迅速化され、セグメンテーションポリシーを適用することで、アプリケーションを壊すことなくアクセスを排除または制限することができます。脆弱なサービスをネットワークの他の部分から分離することで、脅威が横方向に移動するのを防ぎ、パッチが適用されるまでコンプライアンス要件を満たします。

現在の世界的な出来事や侵害インシデントが示しているように、脅威の範囲を追跡して理解し、先制的な隔離を行い、データセンターの既存の脆弱性を悪用するインシデントの拡散や影響を「防止」するための制御が確実に実施されていることを確認することが不可欠です。特に、「治療法」の代替案をタイムリーにテストして適用することが難しい場合にはなおさらです。

イルミオの詳細については、 脆弱性管理体制を最適化 し、セキュリティチームがファンダメンタルズの重荷から抜け出せるようにする方法をご覧ください。