Facebook Google Plus Twitter LinkedIn YouTube RSS メニュー 検索 出典 - ブログ 出典 - ウェビナー出典 - レポート出典 - イベントicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する
  • Twitter
  • Facebook
  • LinkedIn

CVE のみに焦点を絞る組織は攻撃に対して脆弱なままになる

CVE のみに焦点を絞る組織は攻撃に対して脆弱なままになる

CWE やその他の脆弱性は、完全なサイバーリスク評価のために単一のダッシュボードを必要とします 

ますます多くのサイバーセキュリティの専門家が従来の脆弱性管理プログラムを進化させ、どの脆弱性が組織の​最大リスクとなりえるかに基づいて、優先順位を付けた修復作業を組み込んでいます。 これは確かに正しい方向への一歩と言えますが、ほとんどの組織にとっては、Common Vulnerabilities and Exploits (CVE) のみに焦点を当てることを意味します。 

サイバーセキュリティ業界の圧倒的多数は、CVE と脆弱性は同じ意味で用いられる用語であると考えています。 しかし、「脆弱性」は、脅威ソースによって悪用またはトリガーされる可能性のある情報システム、システムセキュリティ手順、内部統制、実装の弱点として定義することができます。 つまり、脆弱性とは、組織をサイバー攻撃の影響を受けやすくするすべてのものと言えます。

未パッチの CVE は確かに上記の定義に適合しますが、それだけではありません。 攻撃側はどのように侵入するかを気にしません。侵入さえできれば良いのです アクセスさえできれば、最も労​力の少ない方法を選びます。機会さえあれば、泥棒が裏口からではなく、1階の開いている窓から潜入するのと同じです。 そのため、すべての脆弱性を発見して理解し、それに対処すべき総合的な計画を立てることが不可欠です。

すべての脆弱性を網羅したリストではありませんが、以下で考慮すべき主要な脆弱性を挙げています。

  • Common Weakness Enumeration (CWE)
  • Open Web Application Security Project (OWASP) トップ 10
  • ゼロデイ脆弱性
  • アクセス管理の構成ミスまたはエラー
  • ネットワーク/インフラストラクチャの構成ミス
  • 産業環境での偶発的または意図的な構成ミス

これらのそれぞれの脆弱性や欠陥は、アタックサーフェイスの様々な領域で発生し、効果的に管理するために別個のスキルを必要とする独自の課題を提示します。 従来の IT 環境でのハードウェア資産の脆弱性は、最もよく特定され定義された CVE であり、セキュリティの専門家は、それぞれの脆弱性が組織に示すリスクのレベルを判断でき、IT 部門は、適切なパッチや他の規定の修復方法で、脅威の無力化に直接取り組むことができます。

一方、CWE は、カスタムWebアプリ、コンパイルしたアプリケーションとハードウェアに見られる一般的な脆弱性です。 CWE は、特定のインスタンスではなく、脆弱性の根本的なタイプまたはカテゴリを表します。 実際、CWE の各インスタンスは通常固有であるため、修復作業はインスタンスごとにカスタマイズする必要があります。アプリベースの CWE はハードウェアベースの CVE ほど多くはありませんが、CWE を効果的に削減するには、莫大な時間とリソースが必要になります。

これらは組織が直面する多くの種類の脆弱性の 2 つの例にすぎないことに留意してください。 これらに加えて、アタックサーフェース全体におそらく存在するゼロデイ脆弱性と様々な構成ミスがあり、セキュリティチームが効果的に管理するには脆弱性があまりにも多すぎます。 ほとんどの場合、脆弱性の種類ごとに異なるツールを使用し、それらの多くを手作業で評価しているため、非常に困難です。

おそらく、すべての脆弱性を効果的に管理する上で最も難しい側面は、まず脆弱性を発見して評価することです。 脆弱性の種類はそれぞれ固有であるため、通常、それぞれを適切に特定するには専用のツールが必要です。脆弱性管理ツールは CVE には最適ですが、Webアプリケーションにはアプリケーションスキャナーが必要です。同様に、産業環境には、その設定用に特別に設計されたツールが必要です。そしてもちろん、構成ミスは、評価対象の環境や資産グループに基づいて劇的に異なります。

アタックサーフェイスの複数の領域から発生する異種のデータすべてを、人間が手作業で評価し、どの脆弱性が組織にとって最も重大かつ​直接的なリスクとなり得るかの優先順位を付けることはほぼ不可能です。 正しく対処するには、機械学習アルゴリズム、コンテキストインテリジェンス、予測分析を使用して、このすべてのデータを統合し、まとめて評価することで、どの脆弱性を先に修復すべきかの優先順位付けを支援ことができる単一のプラットフォームがチームには必要です。

組織全体からセキュリティデータを検出して評価する総合的なプラットフォームにより、次のことが可能になります。

  • CVEを超えた、環境全体の正確な把握 
  • すべての脆弱性をコンテキストで確認し、より強力なリスク緩和に関する判断を下す
  • セキュリティチームの取り組みを技術的な知識を持たない人々とうまく一本化させ、組織との関連性を高める
  • より事前対応的かつ戦略的なセキュリティプロセスの促進

つまり、CVE の評価と修正は確かにサイバーリスクを軽減するための重要なステップですが、包括的なセキュリティ戦略では、すべての弱点に対応する必要があります。

詳細情報

関連記事

最新のエクスプロイトに対して脆弱ですか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

無料でお試し 今すぐ購入
Tenable.io を 30 日間無料でお試しください

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 今すぐサインアップしてください。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入
無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスのご購入で、お得にご利用いただけます。 電話、コミュニティ、チャットによる 24 時間年中無休の拡張サポートオプションもご用意しています。 製品の詳細を見る

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningを試す

30 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のWebアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なWebアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDNs

3,578ドル

今すぐ購入する

試用リクエスト送信 お問合せはこちらから

Tenable.io Container Securityを試す

30 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポート

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

試用リクエスト送信 お問合せはこちらから

Tenable Lumin を試用する

30 日間無料

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、組織全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。