CVE のみに焦点を絞る組織は攻撃に対して脆弱なままになる

CWE やその他の脆弱性は、完全なサイバーリスク評価のために単一のダッシュボードを必要とします。

ますます多くのサイバーセキュリティの専門家が従来の脆弱性管理プログラムを進化させ、どの脆弱性が組織の​最大リスクとなりえるかに基づいて、優先順位を付けた修復作業を組み込んでいます。 これは確かに正しい方向への一歩と言えますが、ほとんどの組織にとっては、Common Vulnerabilities and Exploits (CVE) のみに焦点を当てることを意味します。 

サイバーセキュリティ業界の圧倒的多数は、CVE と脆弱性は同じ意味で用いられる用語であると考えています。 しかし、「脆弱性」は、脅威ソースによって悪用またはトリガーされる可能性のある情報システム、システムセキュリティ手順、内部統制、実装の弱点として定義することができます。 つまり、脆弱性とは、組織をサイバー攻撃の影響を受けやすくするすべてのものと言えます。

未パッチの CVE は確かに上記の定義に適合しますが、それだけではありません。 攻撃側はどのように侵入するかを気にしません。侵入さえできれば良いのです。 アクセスさえできれば、最も労​力の少ない方法を選びます。機会さえあれば、泥棒が裏口からではなく、1階の開いている窓から潜入するのと同じです。 そのため、すべての脆弱性を発見して理解し、それに対処すべき総合的な計画を立てることが不可欠です。

すべての脆弱性を網羅したリストではありませんが、以下で考慮すべき主要な脆弱性を挙げています。

• CWE (共通脆弱性タイプ)
• Open Web Application Security Project (OWASP) トップ 10
• ゼロデイ脆弱性
• アクセス管理の構成ミスまたはエラー
• ネットワーク/インフラストラクチャの構成ミス
• 産業環境での偶発的または意図的な構成ミス

これらのそれぞれの脆弱性や欠陥は、アタックサーフェイスの様々な領域で発生し、効果的に管理するために別個のスキルを必要とする独自の課題を提示します。 従来の IT 環境でのハードウェア資産の脆弱性は、最もよく特定され定義された CVE であり、セキュリティの専門家は、それぞれの脆弱性が組織に示すリスクのレベルを判断でき、IT 部門は、適切なパッチや他の規定の修復方法で、脅威の無力化に直接取り組むことができます。

一方、CWE は、カスタムWebアプリ、コンパイルしたアプリケーションとハードウェアに見られる一般的な脆弱性です。 CWE は、特定のインスタンスではなく、脆弱性の根本的なタイプまたはカテゴリを表します。 実際、CWE の各インスタンスは通常固有であるため、修復作業はインスタンスごとにカスタマイズする必要があります。アプリベースの CWE はハードウェアベースの CVE ほど多くはありませんが、CWE を効果的に削減するには、莫大な時間とリソースが必要になります。

これらは組織が直面する多くの種類の脆弱性の 2 つの例にすぎないことに留意してください。 これらに加えて、アタックサーフェース全体におそらく存在するゼロデイ脆弱性と様々な構成ミスがあり、セキュリティチームが効果的に管理するには脆弱性があまりにも多すぎます。 ほとんどの場合、脆弱性の種類ごとに異なるツールを使用し、それらの多くを手作業で評価しているため、非常に困難です。

おそらく、すべての脆弱性を効果的に管理する上で最も難しい側面は、まず脆弱性を発見して評価することです。 脆弱性の種類はそれぞれ固有であるため、通常、それぞれを適切に特定するには専用のツールが必要です。脆弱性管理ツールは CVE には最適ですが、Webアプリケーションにはアプリケーションスキャナーが必要です。同様に、産業環境には、その設定用に特別に設計されたツールが必要です。そしてもちろん、構成ミスは、評価対象の環境や資産グループに基づいて劇的に異なります。

アタックサーフェイスの複数の領域から発生する異種のデータすべてを、人間が手作業で評価し、どの脆弱性が組織にとって最も重大かつ​直接的なリスクとなり得るかの優先順位を付けることはほぼ不可能です。 正しく対処するには、機械学習アルゴリズム、コンテキストインテリジェンス、予測分析を使用して、このすべてのデータを統合し、まとめて評価することで、どの脆弱性を先に修復すべきかの優先順位付けを支援ことができる単一のプラットフォームがチームには必要です。

組織全体からセキュリティデータを検出して評価する総合的なプラットフォームにより、次のことが可能になります。

• CVEを超えた、環境全体の正確な把握 
• すべての脆弱性をコンテキストで確認し、より強力なリスク緩和に関する判断を下す
• セキュリティチームの取り組みを技術的な知識を持たない人々とうまく一本化させ、組織との関連性を高める
• より事前対応的かつ戦略的なセキュリティプロセスの促進

つまり、CVE の評価と修正は確かにサイバーリスクを軽減するための重要なステップですが、包括的なセキュリティ戦略では、すべての弱点に対応する必要があります。

もっと詳しく

• ウェビナーを視聴する: Vulnerabilities Beyond CVEs. Which are You Missing? https://www.tenable.com/webinars/vulnerabilities-beyond-cves-which-are-you-missing
• ホワイトペーパーをダウンロードする: 断片的な脆弱性管理ツールがもたらす課題を克服するためにhttps://www.tenable.com/whitepapers/overcoming-challenges-created-by-disparate-vulnerability-management-tools
• Gartnerを読む: The Essential Elements of Effective Vulnerability Management https://www.tenable.com/analyst-research/gartner-the-essential-elements-of-effective-vulnerability-management