Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

攻撃側の先行者利益を定量化する

Tenable Research からレポートが公開されました。特定の脆弱性に関してエクスプロイトが一般に公開されてから、その脆弱性が最初に評価されるまでの時間差についてのものです。

当社はこの調査において、2017年後半の3ヶ月間にわたり、200,000件の脆弱性評価スキャンに基づいて、最も広く見られた重大度の高い50の脆弱性を分析し、その分析を現実と照らし合わせました。これら脆弱性を利用して、「エクスプロイトが公開される時点」と「評価される時点」を割り出し、中央値の差分を計算しました。

この差分こそが、この競争における防御側と攻撃側の双方の最初の動きを表します。この値は双方の完全なOODAループ(観察、判断、決定、行動)を表すものではなく、どちらが最善のスタートを切ったか、どちらが最終的に勝利するかを示すものです。

負の差分は、防御側が脆弱性を認識するまでに、攻撃側が脆弱性を悪用できる期間があることを意味します。

攻撃側は先行している

当社の分析によると、中央値の差分は -7.3 日でした。悪用までの時点が平均で 5.5 日であるのに対し、 評価された時点は平均で 12.8 日でした。つまり、攻撃側は防御側よりも平均で7日間先行しました。

分析された脆弱性の76%の差分が負でした。そのため、脆弱性ごとの基準で、攻撃側が多くの場合で先行者利益を得ていることが分かります。

攻撃側の先行者利益の統計を定量化する

差分が正になるのは、通常、防御側のスキャン頻度が迅速であることよりも、エクスプロイトが公開されるまでに非常に長い時間がかかったことが原因です。分析した脆弱性の34%について、脆弱性が見つかったその日にエクスプロイトが出現した点には、驚かされます。しかし、個々の脆弱性について詳しく掘り下げると、さらに興味深いことが分かります。

当社が分析した、最も広く見られた50の脆弱性のうち24%は、マルウェア、ランサムウェア、またはエクスプロイトキットによりさかんに悪用されています。そのうちさらに14%は、メディアで取り上げられるほど深刻なものでした。サンプルセットに含まれている脆弱性は、DisdainおよびTerrorエクスプロイトキット、CerberおよびStorageCryptランサムウェア、さらにはBlack OasisなどのAPTグループがFinSpy監視ソフトウェアをインストールする際にターゲットにされています。

攻撃側の利益を抑え込む

ほとんどのセキュリティ専門家は、攻撃側を追う立場であることには気づいていますが、どの程度の後れをとっており、そのギャップを埋めるために何をすべきかを判断するには、攻撃側のリードを定量化することが助けとなります。

多くの組織では、脆弱性評価が実施される頻度は月に1回、もしくは3か月に1回ということさえあります。こうした評価は、外的な要因ではなく、会社が設定した月次のパッチサイクルのような内的な要因がきっかけとなって実施されます。忘れがちなことですが、セキュリティ対策において主導権を握っているのは攻撃側です。攻撃側が攻撃を仕掛けるタイミングや方法はコントロールできないので、自らの環境をしっかりコントロールする必要があります。

スキャン動作に関する当社の分析では、2日以内の頻度で継続的に脆弱性評価を行っている組織はわずか25%程度でした。これは達成可能な目標であり、こうすることでほぼ全ての脆弱性を軽減し、攻撃側よりも一歩先んじたスタートを切ることができます。しかし、プロセスが本質的に抱える遅延性により、スキャンの頻度を改善するだけでは解決できないリスクが残ります。

脆弱性やCyber Exposure管理に対するより効果的なアプローチは、スタート/ストップモデルや離散サイクルをベースとするものではありません。より効果的なアプローチは、次のものをベースとしています。

  • 警戒姿勢の継続的な評価
  • 予測できるリスクへの積極的な対処
  • 予期しない、新たに出現するリスクへの迅速な対応

予測できないペースで展開する脅威が、拡大するアタックサーフェス全体に及び、フィードバックループとして機能する、より迅速なプロセスが必要とされています。新たに台頭しつつあるSecDevOpsは、すでに確立されたベストプラクティスを提供しています。しかしこれを活かすには、セキュリティチームと運営チーム間の密接な意思疎通や協力関係を深めることも必要です。

Cyber Exposureに対する賢明な状況認識識を示し、ループにフィードバックを取り入れる提供するという脆弱性評価の価値を過小評価してはなりません。すべての脆弱性を一度に修正できるわけではありませんが、継続的な評価により、その場に応じた緊急の修正措置を講じたり、アクセスコントロール等の制限を適用することで、修正の遅れや結果として生じるCyber Exposureギャップを埋めることができます。

脆弱性評価をより頻繁に実施する

脆弱性評価をより迅速に行う方法に関する推奨事項と、当社の分析に対する詳しい考察については、 攻撃側の先行者利益の評価に関するレポートをダウンロードください。

Download free report!

Tenableブログを購読する

購読する
無料でお試し 今すぐ購入

Tenable.io を試す

60 日間無料

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。 今すぐサインアップする。

Tenable.io を購入

最新のクラウドベースの脆弱性管理プラットフォームに完全にアクセスし、比類のない正確さですべての資産を表示および追跡できます。 年間サブスクリプションを今日お求めください。

65 資産

$2,190.00

今すぐ購入

無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus®は最も包括的な脆弱性スキャナです。Nessus Professionalは、脆弱性のスキャンプロセスを自動化およびコンプライアンスサイクル時間を短縮し、お客様がITチームに専念できるようにします。

Nessus Professional を購入する

Nessus®は最も包括的な脆弱性スキャナです。Nessus Professionalは、脆弱性のスキャンプロセスを自動化およびコンプライアンスサイクル時間を短縮し、お客様がITチームに専念できるようにします。

複数年ライセンスを購入して節約しましょう

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningをお試しください

60 日間無料

Tenable.ioプラットフォームの一部として、現代のアプリケーション用に設計された最新のWebアプリケーションスキャンサービスへのフルアクセスをお楽しみいただけます。手作業による手間や緊急なWebアプリケーションの中断をせずに、脆弱性のオンラインポートフォリオを安全に高精度で安全にスキャンします。 今すぐサインアップする。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームに完全にアクセスし、比類のない正確さですべての資産を表示および追跡できます。 年間サブスクリプションを今日お求めください。

5 FQDNs

$3,578.00

今すぐ購入

無料でお試しください セールスにご連絡ください

Tenable.io Container Securityを試す

60 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品への完全なアクセスをお楽しみください。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視します。継続的インテグレーションと継続的デプロイメント(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスとの統合により、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Industrial Securityについて

Tenable.sc のデモを入手

以下のフォームに連絡先をご記入ください。担当者からデモのスケジュールについてご連絡いたします。短いコメントもご記入いただけます(255文字まで)。 アスタリスク(*)の付いた欄は必須です。