Predictive PrioritizationがTenable.ioで利用できるようになりました
Predictive Prioritizationは、リスクベースの脆弱性管理に大きな転機をもたらします。現在はTenable.ioのコア機能であり、最も重要な3%の脆弱性に最初に集中できるようサポートします。
Predictive PrioritizationがTenable.ioで利用可能となり、皆様が最も重要なセキュリティ問題に最初に集中できるようにサポートできることを嬉しく思っています。
CVSSを使用した従来の脆弱性の優先度付けの方法には、大きな制限がありました。CVEの大多数が「高」または「緊急」としてスコアされるため、脆弱性のオーバーロードの問題がさらに困難になっていました。もしすべてが重要であれば、何も重要ではないことになります。
専門家が同意:CVSSは最初にパッチを当てるべき脆弱性を教えてくれません
CVSSのみを使用して脆弱性の優先度を付けることに限界を感じているのは私たちだけではありません。カーネギーメロン大学ソフトウェア工学研究所は、2018年12月のTowards Improving CVSSを発表し、CVSSでは組織がどの脆弱性に最初にパッチを当てるべきかという根本的な質問に答えられないと結論づけました。
“CVSSは脆弱性の技術的な重大度を特定するために設計されました。代わりに人々は、脆弱性や欠陥が及ぼすリスク、またはどれだけ素早く脆弱性に対応すべきかを知りたがっています。”
Predictive Prioritizationによって修復を効率化できます
Predictive Prioritizationは、Tenableおよびサードパーティの脆弱性データと脅威インテリジェンスの両方を含む150以上のデータソースを組み合わせ、悪用される可能性が最も高い脆弱性を特定します。これにより、悪用された、または悪用される可能性のある3%の脆弱性に集中することで、修復の効率と効果が劇的に向上しました。
脆弱性優先度格付け:リスクに基づいた修復の優先度付け
Predictive Prioritizationは、1(最も低いリスク)から10(最も高いリスク)で評価する脆弱性優先度格付け(VPR)スコアを生成しますが、これは脅威の状況によって変化します。VPRは、現在Tenable.ioのコアデータ要素であり、実際のサイバーリスクに基づいた修復の優先度付けに役立ちます。
Tenable.ioで現在利用できる追加機能
また、Predictive Prioritizationの価値を最大限に引き出すのに役立つ追加機能を導入しています。
VPRの重要な要素を理解
CVSSv3影響スコア、脅威の最新性、およびエクスプロイトコードの成熟度を含む、VPR計算に影響を及ぼす要素へのコンテキストに関する洞察を入手します。
VPRスコアで脆弱性をソート
VPRの重大度によって脆弱性を分類し、高リスクの脆弱性の完全なリストを迅速に把握し調査します。また、VPRは高いもののCVSSスコアが低い脆弱性を比較して、その違いを直に確認します。
VPRに基づく新しいダッシュボード
メインのTenable.ioダッシュボード(上のスクリーンショット参照)の新しいVPRウィジェットを活用して、すぐに対処する必要のある緊急の脆弱性を把握し分析します。
重要ポイント:Tenable.ioで膨大な脆弱性の情報をすぐに利用することができます。
例えば、数か月前の Amazon Linux脆弱性を見てみましょう。CVSSv3はこのLinuxカーネルの弱点に7.8のスコアを付けました。
しかし、エクスプロイトコードの高い成熟度、製品のカバレッジ、および脅威の最新性に基づき、VPRは9.2のスコアをつけました。お使いの環境にこの脆弱性があれば、「yum update kernel」を実行して、インスタンスをすぐに再起動してください!
Tenable.ioはお客様から賞賛を受け続けています
2019年からわずか4カ月しか経っていないにもかかわらず、Tenable.ioには忙しい年となっています。この製品は、2019年3月のSC Awardsで、Best Vulnerability Management Solutionとして表彰されました。さらに、TenableはTenable.ioの貢献もあり、2019年3月のGartner Peer Insightsにてカスタマーズチョイスに選出(脆弱性評価)されました。
また、Verizon Media(元Oath)、Netskope、およびStone Pagamentosなどの組織から、Tenable.ioがなぜセキュリティスタックにとって重要かについて多くのお客様の声をお寄せいただきました。
最も重要度の高い脆弱性に集中する
Tenable.ioのコア機能としてPredictive Prioritizationを組み込むことによって、クラウドで管理される脆弱性管理に大きな転機をもたらします。最も緊急の脆弱性を発見し、修復する準備ができているなら、Tenable.ioの無料トライアルをお試しください。
Predictive Prioritizationについてもっと詳しく知る
Predictive Prioritizationについてもっと詳しく知るいつくかの役立つリソースをこちらでご覧ください:
- 4月24日のウェビナー「Tenable.ioの新機能」にご参加いただければ、Predictive Prioritizationについて話し合い、どのような質問にもお答えします。
- Predictive PrioritizationのFAQをご参照ください。この新しい機能に関するお客様のよくある質問を記載しています。
- ホワイトペーパーをお読みくださいPredictive Prioritization:最も重要度の高い脆弱性に集中する方法
- eブック「脆弱性の優先度付けについて知っておくべき3つのポイント」をダウンロード
Nathan Dyer
プロダクトマーケティング シニアディレクター
Nate は、Tenable の製品マーケティング担当シニアディレクターです。サイバーセキュリティリーダーに対して、DX 時代のアタックサーフェスを保護する方法や、サイバーリスクを管理する方法についてのアドバイスや、その推進をサポートしています。製品マーケティング部門では、セキュリティチームがサイバー セキュリティの成熟度と有効性を向上させるためのサイバーエクスポージャー管理ソリューションをサポートしています。サイバーセキュリティと情報技術において 20 年以上の経験があり、マーケティング、戦略、業界アナリストといったさまざまな業務に携わってきました。Tenable に入社する前は、IBM でポートフォリオマーケティング戦略を主導しており、CIO と CTO の IT とクラウドインフラでの新たな市場機会獲得を支援していました。
関連記事
How Risk-based Vulnerability Management Boosts Your Modern IT Environment's Security Posture
Vulnerability assessments and vulnerability management sound similar – but they’re not. As a new Enterprise Strategy Group white paper explains, it’s key to understand their differences and to shift from ad-hoc vulnerability assessments to continuous, risk-based vulnerability management (RBVM). Read...
Recent NVD Delays Won’t Affect Tenable Vulnerability Management Customers Thanks To Our Diverse Scoring Sources
NIST has announced delays in the CVE enrichment process of its National Vulnerability Database (NVD), but the situation doesn’t impact Tenable Vulnerability Management customers because our vulnerability scoring is based on multiple sources....
Everybody Does Good Vulnerability Management When S#*t Hits the Fan
Ever notice how security teams operate more efficiently during a crisis? You need to take the same approach to security all the time. To help you get started, here are four best practices — and a new Tenable.io feature. ...
- Tenable Vulnerability Management (DO NOT USE)
- Vulnerability Management