組織がセキュリティの脆弱性に優先順位を付ける方法

組織は、脆弱性に関する実際のデータをビジネスに対する特定のリスクと常にリンクしているわけではないと、VulcanCyber​​は述べています。

 

“href =” https://www.techrepublic.com/a/hub/i/r/2020/01/29/ d752a223-898b-45ee-bc48-53c183cc886c / resize /770x / 4cad9f6de7a149e3ad2604148f3a9b64 /cybersecurity.jpg “target =” _ blank “>Security breach, system hacked alert with red broken padlock icon showing unsecure data under cyberattack, vulnerable access, compromised password, virus infection, internet network with binary code

画像:ゲッティイメージズ/ iStockphoto

企業を危険にさらすセキュリティの脆弱性、どの企業に取り組むかを決定することは困難な場合があります。すべての脆弱性に焦点を当てることは事実上不可能です。重要なものだけに集中することは、より健全なアプローチです。しかし、最終的には、組織に最大の影響を与えるもの、つまり多くのセキュリティ専門家が必ずしも従うとは限らない戦略に立ち向かう必要があります。

参照:パッチ管理ポリシー
(TechRepublic Premium)

新しいレポート「サイバーセキュリティチームはどうですか?脆弱性リスクを優先しますか?」調査対象のセキュリティベンダーVulcanCyber​​200北米のITセキュリティの意思決定者は、脆弱性のリスクがどのように優先され、管理され、削減されるかを調べます。調査は9月から実施されました23から10月17、2021。

脆弱性を内部でグループ化して、優先する脆弱性を決定する方法を尋ねました64%は、インフラストラクチャによってそれを行うと述べました、 53ビジネス機能別の%、53%アプリケーション別、42利害関係者による%および40%事業部門別。このプロセスで彼らを助けるために、86回答者の%は、脆弱性の重大度に基づいたデータに依存していると述べています70%脅威インテリジェンスに目を向けます59%は資産の関連性を使用し、41%は独自のカスタムリスクスコアリングを使用します。

セキュリティの専門家はさまざまなモデルに目を向けますセキュリティ上の欠陥に優先順位を付けるのに役立つガイドライン。いくつかの 71調査対象者の%は、Common Vulnerability Scoring System(CVSS)に依存していると述べています48%OWASPトップを使用します10、47% による重大度スキャン、38%CWEトップ25 と 22%オーダーメイドスコアモデル。いくつかの 77回答者の%は、脆弱性のスコアリングと優先順位付けにこれらのモデルの少なくとも2つを使用していることを明らかにしました。

利用可能なすべての情報とモデルにもかかわらず、調査対象の専門家のほとんどは、脆弱性を常に適切にランク付けするとは限りません。上位にランク付けされている脆弱性の多くを、特定の環境に対して下位にランク付けする必要があるかどうかを尋ねられました78回答者の%が強くまたはある程度同意しました。そして、彼らが低いと考える脆弱性の多くを組織にとって上位にランク付けする必要があるかどうかを尋ねました64%強くまたはある程度同意しました。

“理想的な世界では、すべての脆弱性がLog4Shellと同じくらいの注目を集めています」とVulcanCyber​​のCEO兼共同創設者のYanivBar-Dayanは述べています。 「しかし、NISTがについて開示および報告しているという事実を考慮すると毎週新しい脆弱性があり、ITセキュリティチームは最も重要なものだけを評価して優先順位を付ける時間がほとんどありません。 “

参照:パスワードの管理方法:ベストプラクティスとセキュリティのヒント(無料のPDF)(TechRepublic)

The回答者はまた、最も脆弱な領域のどれが最大の懸念であったかを尋ねられました。いくつかの 54%は機密データの漏洩を指摘しました、44%引用された認証の失敗、39%はセキュリティの設定ミスについて言及しました、35%は、不十分なロギングとモニタリングを引用し、32%はインジェクション攻撃を指しています。その他の懸念事項には、クロスサイトスクリプティング、既知の脆弱性と壊れたアクセス制御を備えたコンポーネントの使用が含まれます。

そして、どの特定の種類の脆弱性が最も心配しているかを尋ねました62%引用されたMS14-068(Microsoft Kerberos非特権ユーザーアカウント)、40%言及MS08-067(Windows SMB、別名Conficker、Downadup、Kidoなど)、32%がCVEを指している-2019-0708(BlueKeep)、32%引用CVE-2014-0160(OpenSSL、別名Heartbleed)および30 %リストされたMS17-010(EternalBlue)。

その他の懸念されるセキュリティ上の欠陥はMSでした-023(Microsoft IIS、別名Nimda)Spectre / Meltdown(CPUの脆弱性)、CVE-2008-1447(DNS、別名カミンスキー)、CVE-2014-6271(Bash 、別名Shellshock)およびMS02-039(SQL Slammer) 。

ITセキュリティの専門家への推奨事項

脆弱性の優先順位付けは非常に困難であることが判明する可能性があるため、セキュリティの専門家はプロセスを改善するために何ができるでしょうか?

“組織が脆弱である場所を知ることは、効果的な運用を行うために重要ですサイバーリスク管理戦略ですが、サイバーリスク分析を効果的な軽減プロセスに迅速に変換できる必要もあります」とBar-Dayan氏は述べています。 「これには、最初に対処する必要のある脆弱性とリスクに優先順位を付ける方法を深く理解する必要があります。そのための最も効果的な方法は、インフラストラクチャ、アプリケーション、クラウド資産の脆弱性とサイバーリスクのライフサイクル管理を1か所に統合​​することです。すべての部門が協力して、攻撃面全体のリスクを特定して軽減するようにします。」

Bar-Dayanは、特定のビジネスに最大の影響を与える脆弱性のみに焦点を当てるように組織にアドバイスしています。これを実現するには、スキャナー、資産管理、コラボレーション、ITサービス管理、パッチおよび構成管理を通じて、資産に関するデータを収集および集約する必要があります。次に、その情報をセキュリティCVEデータ、脅威インテリジェンス、脆弱性の重大度、資産の悪用可能性とリンクさせる必要があります。 Bar-Dayan氏によると、収集して関連付ける情報が非常に多いため、ほとんどの組織は自動化されたアプローチを検討する必要があります。

「脆弱性の優先順位付けの最終的な目標は、原子リスクよりも意味のあるメトリックを生成することですいずれか1つの脆弱性インスタンス、または脆弱性インスタンスのグループ化のリスクマス」とBar-Dayan氏は付け加えました。 「ビジネスユニットまたは資産グループのセキュリティポスチャ評価を生成するための入力の組み合わせにより、ITセキュリティチームは、適切に組織化されたサイバーリスク削減に現実的なショットを与えることができます。」

Cyber​​security Insider Newsletter

組織のITセキュリティ防御を強化する最新のサイバーセキュリティニュース、ソリューション、およびベストプラクティスに遅れないようにします。火曜日と木曜日に配信

今日サインアップする

関連項目

  • 採用キット:サイバーセキュリティエンジニア(TechRepublic Premium)
  • 今後のセキュリティの脅威:ITプロフェッショナルが知っておくべきこと(無料のPDF)(TechRepublic)
  • 2021マークセキュリティの脆弱性のもう1つの記録的な年(TechRepublic)
  • サイバー攻撃が既知のセキュリティ脆弱性を悪用する方法(TechRepublic)

  • ランサムウェア攻撃はますますセキュリティの脆弱性を悪用しています(TechRepublic)

  • Google、Microsoft、およびOracleは、サイバーセキュリティの脆弱性を最も多く蓄積しました。 2021(TechRepublic)

  • 組織が高いパッチを適用するのが遅い理由-プロファイルの脆弱性(TechRepublic)

  • オンプレミスデータベースをセキュリティから保護する方法v u lnerabilities(TechRepublic)

  • サイバーセキュリティとサイバー戦争:必読の記事をもっと読む(TechRepublic on Flipboard)

Related Articles

Back to top button