Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

脆弱性インテリジェンスレポート:優先度付けへの脅威に重点を置いたアプローチ

Tenable Researchは、脆弱性管理において、脅威を重視したアプローチをとる上で欠かせない実環境データを企業に提供し始めました。

Cyber Exposure の現状インサイト - 防御側が現状について考えたり言うことではなく、実際にどう対応しているかを認識することはこれまで困難でした。

新しくリリースされた脆弱性インテリジェンスレポートでは、企業環境における現在の脆弱性公開の傾向、および実際の脆弱性の統計資料に対するインサイトの概要を提供します。本レポートでは、実際に感染報告のある脆弱性の広がりを影響を受けた企業の数に基づいて分析し、理論上だけでなく、セキュリティ担当者が実際に対処している脆弱性に注目しています。

企業環境内で検出された全ての脆弱性のうち、重大度が高いと評価された 61% の脆弱性に対して、サイバーセキュリティチームはどの脆弱性が真のリスクであるかを判断することが求められます。サイバーセキュリティチームは限られた修復リソースを最大限に活用するために、重大度が最も高い脆弱性を優先的に対処する必要があります。緊急事項ばかりでは、トリアージを実施できません。

適切な優先順位の付け方が非常に重要

優先順位を付けるために、企業はまず脆弱性の (理論上ではなく) 実際の影響を正しく理解する必要があります。優先順位を付ける方法として、CVSS では不十分な点があります。脆弱性の大部分が重要または緊急な重大度と分類されるため、規模と量において粒度が足りません。脆弱性の大部分は重大度が「重要」または「緊急」と登録されるため、CVSSv2 から CVSSv3 に移行しても問題は増えるだけです。

一般的な感覚では、全てが重要に見えるとどれも重要ではないと考えます。ですので、より優れた優先順位付けが必要になります。そのようなインサイトにはコンテキスト (脅威インテリジェンスなど) を取り込む必要があります。そうすることで、企業は「感染報告のある」実際の脅威に基づいて脆弱性を優先順位付けできます。

Tenable Research はそのようなインサイトを脆弱性インテリジェンスレポートで提供し始めました。

本レポートでは、一日で大きな影響を受けた企業の数に基づいて脆弱性の広がりを分析し、セキュリティ担当者が日次ベースで対処している脆弱性に注目しています。

960 の資産で、平均 870 の CVE が企業で発見されています。つまり、重大度が重要な CVE だけを修復するために優先順位を付けるのであれば、平均的な企業 (しばしば複数のシステム) で 1 日に 548 を超える脆弱性に優先順位を付け、評価しなければなりません。

これは、重大度が「重大」のCVEのみを修復することに基づいた優先度付け方法であれば、平均的な企業(しばしば複数のシステム)で各パッチごとに、毎日100以上の脆弱性を優先度付けしなければならないことを意味します。重大度が「重大」と評価されていない脆弱性(CVSSスコアが9以下)でも破滅的な影響をもたらす可能性があるのも問題です。例えば、WannaCryは9.0以下(8.5とされた)のスコアの脆弱性を悪用しました。

本調査により、脆弱性を管理する上での課題が規模、速度、および量であることが確認されました。表面上は全て同じに見える何千もの脆弱性を優先度付けするには、工学的課題としてだけではなく、脅威を重視した見方が必要となります。

本レポートでは、上位 20 の脆弱性チャートを紹介し、企業内における異なる技術分野にわたり最も広範囲に広がっている脆弱性についてのインサイトを提供します。本チャートでは、現実世界のテレメトリデータを利用して、どの脆弱性が実際に企業環境内に存在し、その結果最大限の真のリスクを示しているかを明らかにします。企業はこの情報を使用して、より大きな環境と比較して、独自の脆弱性リストを大局的に見ることができます。

特に重要な調査結果:

  • 脆弱性は増加しています。2017 年には合計 15,038 件の新しい脆弱性が CVE に公開され、2016 年の 9,837 件と比較して 53% の増加となりました。 2018 年には、新しい脆弱性の数は 18,000~19,000 件に近づいています。企業環境内で発見された脆弱性のほぼ 2/3 (61%) は、CVSSv2 における重大度が高く (7.0~10.0) なっています。
  • しかし、実際のパブリックエクスプロイトは全ての脆弱性のわずか 7% です。現実的には、大部分の脆弱性においては、機能するエクスプロイトが開発されることはなく、これらの中でもより小さな部分が兵器化され活性化して、脅迫者により使用されることになります。その 7% を見つけて修正することは組織の Cyber Exposure を改善するために非常に重要なのです。

現在の予想では、2018 年、1,500 を超える悪用された脆弱性が登録されるとされており、これは毎週 28 を超える悪用された脆弱性があることになります。より優れたインサイトは必須です。「あるといいもの」ではありません。脆弱性インテリジェンスレポートをこちらからダウンロードして、優先順位付けへのリスクベースのアプローチの構築を開始するために必要なインサイトを手に入れましょう。

詳細はこちら:

Tenableブログを購読する

購読する
無料でお試し 今すぐ購入

Tenable.ioを試す

30 日間無料

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 今すぐサインアップしてください。

Tenable.ioを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

2,275ドル

今すぐ購入

無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

Nessus Professionalを購入する

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加していただくと、電話、メール、コミュニティ、チャットサポートを年中いつでもご利用いただけきます。詳細についてはこちらを参照してください。

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningを試す

30 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のWebアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なWebアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDNs

3,578ドル

今すぐ購入

無料でお試しください セールスにご連絡ください

Tenable.io Container Securityを試す

30 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポート

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Industrial Securityについてもっと知る

Tenable.scのデモを入手する

以下のフォームに連絡先をご記入ください。営業担当者からデモのスケジュールについてご連絡いたします。短いコメントもご記入いただけます(255文字まで)。アスタリスク(*)マークの付いた欄は必須です。

無料でお試しください セールスにご連絡ください

Tenable Luminを試す

30 日間無料

Tenable Luminを使用して、Cyber Exposureを可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Luminを購入する

Tenableの担当者にお問い合わせいただき、組織全体に対するインサイトを得て、サイバーリスクを管理する上でLuminがいかに役立つかについて、Tenableの営業担当者までお問い合わせください。