- Exposure Management
- Predictive Prioritization
- Tenable Lumin
- Tenable Vulnerability Management
- Tenable Security Center
- Tenable Security Center Plus
脆弱性がいつまでたってもなくならないのはなぜ?
- 1 件以上の脆弱性のインスタンスを修正した企業では、検出された脆弱性の約 1/3 が 1 年後も放置され、1/4 以上が未修正のままです。最初の評価から 1 年以内にすべての未修正の脆弱性に対応できた企業は全体のわずか 10% でした。
- エクスプロイトが確認されている脆弱性も、リスクが高いにも関わらず、対応状況はあまり変わりません。防御側は、すべての脆弱性には同じ程度の悪用の可能性があると仮定して行動しているようです。従来の方法では十分なリスク緩和を図れないことが明確になった今、脅威インテリジェンスと高度な優先順位付けの手法が必要です。
- 脆弱性の修正を先行的に実行している企業は全体の 5.5% のみ (先行とは脆弱性の修正数が当該期間の検出数を上回っている場合)。この事実も、100% の修正はほぼ持続不可能という状況を物語っています。より優れた優先順位付けが必要であることが明白です。
ダウンロードはこちらから
「しぶとい脆弱性
その原因と今後の課題」
では、どのように対処すればいいでしょうか
脆弱性の開示数が膨大な状況下、セキュリティチームは脆弱性と資産の優先順位付けを有効な方法で行い、努力を無駄にすることのない、効果的なリスク削減を実施する必要があります。多くの企業が採用している従来の優先順位付けの方法はリスク削減に不十分であることが、今回の調査結果で示されています。今こそ、効果的なリスク削減に向けて業界が力を入れ、データに基づいたツールとリソースをセキュリティチームに提供するときです。予測に基づいた優先順位付けは、Tenable が収集した脆弱性データとサードバーティの脆弱性と脅威データを組み合わせて分析し、近い将来に最も悪用される可能性の高い脆弱性を特定します。
- 多くの悪用可能な脆弱性の修正は遅れてはいますが、世界全体の件数からみると、1 年以内にはほとんどが修正されています。
- データ主導の優先順位付けと脅威インテリジェンスは、修正手法の改善と、IT および OT インフラの攻撃の侵入路の閉鎖に重要です。
- 脅威インテリジェンス、資産の重要度といった要素を取り入れた、 より優れた優先順位付けの方法が必要です。