スコアを知る: 脆弱性の露出の説明

この投稿では、組織が 業界標準の脆弱性スコアリング測定値を 独自の環境からのコンテキストと組み合わせることができるイルミオ脆弱性エクスポージャースコア(VES)を計算する際のさまざまな要素について説明します。VES は、セキュリティ専門家がセキュリティ制御に優先順位を付けて、攻撃対象領域の露出と脆弱性の潜在的な影響を最小限に抑えるのにも役立ちます。

露出とは何ですか?

サイバーセキュリティの文脈における露出は、通常、「攻撃対象領域」によって定義されます。OWASP が使用する定義は次のとおりです。

攻撃対象領域は、攻撃者がシステムに侵入し、データを取得できる可能性のあるさまざまなポイントをすべて表します。

イルミオVESは、その定義に直接合致しています。簡単に言えば、エクスポージャーとは、攻撃者がネットワークを介してシステムに侵入しようとする「穴」またはさまざまなポイントの合計を定量化する試みです。

たとえば、パートナーポータル(ポート443でWebアプリケーションを実行するワークロード)があるとします。最小特権の原則に従って、その Web アプリケーションへのアクセスは 3 つの外部パートナーのみに制限される場合があります。この例では、そのアプリケーションの露出スコアは 3 です。これは当たり前のことのように思えますが、多くの場合、組織はアプリケーションごとに東西のエクスポージャーについて、環境全体でのこれらのエクスポージャーの集合的な影響について、このレベルの認識や 可視 性を持っていません。

脆弱性スコアとは何ですか?

イルミオVESは、もともと 国家インフラ諮問委員会 (NIAC)によって開拓された、オープンな業界標準でコミュニティに受け入れられた共通脆弱性スコアリングシステム(CVSS)を採用しています。業界標準を採用することで、 脆弱性管理 ベンダーを含む多くの既存のセキュリティソリューションと相互運用できるだけでなく、最も幅広いセキュリティ担当者に受け入れられるスコアを提供できます。

脆弱性スコアは、ほとんどの脆弱性管理ソリューションで一般的であり、通常はワークロードごとに評価および割り当てられます。たとえば、ワークロード A には 5 つの脆弱性があります。脆弱性スコアは、これら 5 つの CVSS スコアの合計平均である可能性があります。これは、単一のワークロードの潜在的な脆弱性を単独で理解するための貴重な指標ですが、そのワークロードがライブ環境でどれほど脆弱であるかを理解するためのいくつかの重要な詳細が欠けています。

マイクロセグメンテーションを実装して脆弱性に関連するリスクを軽減する

何かがどれほど脆弱であるかを理解するには、複数の要因を調べる必要があります。脆弱性は、環境内で公開され、悪用される可能性がある場合にのみ、真のリスクとなります。

簡単な例として、1 つの重大な脆弱性を持つ 1 つのワークロードを考えてみましょう。重大度は「重大」としてスコア付けされるため、非常に悪用される可能性があります。セキュリティチームの典型的な推奨事項は、「パッチを適用しなければなりません!」かもしれません。ただし、そのワークロードに接続し、その脆弱性を悪用する可能性のある他のワークロードの数を考えてみましょう。また、その脆弱性の一部として公開されているネットワークポートについても調べてみましょう。フラット ネットワークではよくあることですが、ワークロードは他の多くのワークロードと適切に接続されます。

パッチがまだ存在しない場合、または本番稼働時間、変更ウィンドウ、SLA に関する要件と制限により、その特定の脆弱性にパッチを適用することは実現できない可能性があります。このような場合、マイクロセグメンテーションを使用して、その脆弱なワークロードと特定の脆弱なポートに接続できるワークロードの数を減らすことができます。

マイクロセグメンテーション は、次の方法でリスクを軽減するコントロールになります。

• ワークロードへの攻撃ベクトルの削減。
• ワークロードの「エクスポージャー」を減らします。
• そのワークロードの脆弱性が「重大」であり、現在パッチを適用できない場合でも、実際に悪用される可能性があるリスクを軽減します。
  

脆弱性 エクスポージャー スコアとは何ですか?

イルミオVESは、脆弱性の「悪用可能性」(通常はCVSSスコアで表される)と、環境内の攻撃ベクトルを介した脆弱なワークロードの実際の「到達可能性」、つまり「露出」と呼ばれるものの両方を把握する手段です。

さて、実際の計算です。VES は、スケーリングされた脆弱性スコア (CVSS) に、特定のサービスのスケーリングされたエクスポージャー測定値を乗算することによって計算されます。ここで、 s と p は、これらの測定値を対数スケーリングするのに役立つスケーリング係数であり、これは値の範囲が広い場合の一般的な数学的手法です。

VES = s(CVSS) * p(露光測定)

NBA MVPのステフィン・カリー氏から得たエンタープライズセキュリティの教訓に関する フォーブスの記事 で述べたように、この測定は、セキュリティ専門家がセグメント化された環境のコンテキストで脆弱性と関連する脅威情報を理解する方法を提供します。

具体的には、従来の脆弱性管理ソリューションでは、重大、高、中、低、情報の評価を使用して脆弱性を分類し、緩和策の優先順位付けに役立てていました。批判的でハイな人は、当然のことながら、すぐに注意を向けられます。しかし、優先順位が付けられず、最終的にはマルウェア作成者が気づかない重大なバックログに蓄積される中程度の脆弱性が多数存在します。  

重大な脆弱性は、多くの場合、悪用されやすい(攻撃者にとって低コスト)が、セキュリティチームは迅速にパッチを適用するか、露出を取り除く他の方法を見つけるため、短期間にすぎません。常に新しい角度を模索している攻撃者は、ノイズの中で失われ、長期間パッチが適用されないことが多い中程度の脆弱性を標的にすることが増えており、侵害のターゲットとしてはるかに効果的になります。悪用するには少し「高価」であると考えられるかもしれませんが(参入障壁が高い)、重大で高い脆弱性よりも長く利用可能であるという事実は、攻撃者が投資に対するROIを計算する際に、標的にするのにはるかに魅力的です。

目的と見返り

VES を使用すると、組織は業界のベスト プラクティスである CVSS スコアリングと、各顧客の環境に固有の要素を組み合わせることがはるかに簡単になります。セキュリティチームは、独自の環境での脆弱性の露出に基づいて、緩和戦略の優先順位を付けることができます。たとえば、重大度の高い脆弱性は、 マイクロセグメンテーション制御によって露出が大幅に減少したため、優先順位が下がる可能性があります。あるいは、その脆弱なサービスへの潜在的な攻撃経路が膨大に多数あることを考えると、リストの一番上に優先順位を付けるべき中程度の脆弱性が存在する可能性があります。

VESが可能になったのは、環境がどのように接続され、通信しているかという マップを 独自に理解し、マップ の上に脆弱性情報を重ね て、セキュリティチームが環境内の脆弱性のリスクを軽減して視覚化し、優先順位を付けるのに役立つからです。これは、セキュリティチームだけでなく、アプリケーション所有者や経営幹部など、そのリスクを理解し、より広範なビジネスリスクのコンテキストでリスクを軽減または受け入れる必要がある他の人にとっても、非常に強力なツールになります。