クラウドセキュリティ: リスクベースの効果的な脆弱性管理への5つのステップ
クラウド環境におけるすべての資産を検出、評価、分析、修復および測定し、クラウドセキュリティプログラムの基盤を強化しましょう。
リスクベースの効果的な脆弱性管理には、次の Cyber Exposure ライフサイクルの5つのフェーズに対応した強力なプロセスが必要です。
発見
クラウドソリューションは、スピード、拡張性、および使いやすさを目的として構築されており、クラウドセキュリティチームにジレンマをもたらしています。複雑な資産を確認せず、すぐに実稼働環境にデプロイすることは可能ですが、プロセスにおける Cyber Exposure が大幅に増加します。セキュリティチームには、毎日実行されることのあるクラウドワークロードのデプロイメントに対する継続的な可視性が必要です。
一時的な資産に対する リアルタイムに近い可視性
AWS、Google Cloud Platform、および Microsoft Azure 向けの Tenable クラウドコネクタにより、マルチクラウド環境全体で、新しい一時的なコンピューティング資産のデプロイメントのリアルタイムに近い検出が可能になります。オートスケーリング、オンデマンドインスタンスやコンテナデプロイメントなどのクラウドネイティブテクノロジーに追従しましょう。
開発段階で資産を検出
ソフトウェア開発ライフサイクルのビルドの早い段階で新しい資産を検出し、実稼働の前に脆弱性を特定しましょう。CI/CD ツールおよびレジストリでの早期検出によって、短期間に大規模なグループにデプロイされる資産の盲点を排除することができます。
評価コストを最適化
クラウドインフラストラクチャ全体に対する無料の資産検出スキャンを実行し、環境をリスト化して未知の資産を一掃しましょう。クラウドインスタンスの終了から24時間後に、資産ライセンスを自動的に再割り当てします。
Netskope は、リアルタイムですべての資産を検出し、現代のアタックサーフェス (クラウド、データセンター、IoT など) 全体に対するダイナミックかつ包括的な可視性を得ています。これには、資産検出の自動化 (特に、コンテナを含むクラウドインフラストラクチャ内の資産) があります。Netskope ケーススタディを見る
評価
従来の脆弱性管理スキャンツールには、複数のデータ収集センサーに対する柔軟性が欠けており、 クラウドセキュリティチームがクラウドネイティブ資産の脆弱性、不適切な構成、およびマルウェアに気付かないという状況を引き起こす可能性があります。
ベストプラクティスに基づいてクラウドインフラストラクチャを強化
CIS および最も使用されているクラウドプロバイダの確立されたクラウドセキュリティのベストプラクティスに基づいてクラウド環境を監査し、アタックサーフェスを最小化しましょう。
クラウドのアタックサーフェス全体を評価
ホストからワークロードまでのクラウドスタック全体の脆弱性を一元化されたハブから検出し、洗い出しましょう。
複数のセンサータイプをデプロイして可視性を最大化
136,000個以上の脆弱性検出プラグインを備えた、世界で最も信頼されている脆弱性スキャナである Nessus を使用することで、お客様の組織がクラウドで管理するさまざまなサービスに最適な選択 (アクティブスキャン、エージェント、パッシブモニタリング、およびイメージ評価) をすることができます。
Tenable.io のおかげで、すべての資産の状態を一目で確認できます。当社ではこれを利用して、全資産に対して、システムとネットワークの脆弱性スキャンに加えて、コンプライアンススキャンを毎日実行しています。CleverTap 社インフラストラクチャ責任者, Francis Pereira 氏 ケーススタディのビデオを見る
優先度付け
脅威アクターは日々その戦術を変えており、特に常に変化するクラウド環境においては、静的な CVSS スコアでは動的な脅威に追従できません。 リスクベースの脆弱性分析アプローチを通して、組織に最大のリスクをもたらす上位3%の脆弱性を素早く特定します。Predictive Prioritization およびカスタマイズ可能なダッシュボードにより、修復に関する明確な情報が得られます。これらの情報を適切なタイミングで適切なチームに提供し、組織の実際のリスクを減らしましょう。
早急に対応を必要とする クラウドの脆弱性を特定
脅威インテリジェンス、エクスプロイトの可用性、および脆弱性のメタデータの組み合わせに基づいて、脆弱性の優先度付けを行います。Predictive Prioritization はお客様のクラウド環境と同じように動的で、差し迫った脆弱性に対する修復リソースの割り当てを円滑にします。
DevOps チームと脆弱性に関する 優先度情報を共有
カスタムダッシュボードとレポートを作成することで、脆弱性とその優先度を組織の他のチームに簡単に伝達することができます。
情報を SIEM に自動的に送信
脆弱性および不適切な構成に関するデータを自動的に SIEM に送信することで、イベントのコンテキストを提供し、レスポンスを自動化できる可能性がある領域を特定します。
CI/CD パイプラインや実行中のコンテナのセキュリティ状況に関する、これまでは得られなかった可視性を手にすることができました。これにより、最重要使命である人命救助に注力することができます。Volpara Health 社 CIO 兼 CISO, Gareth Beaumont 氏 ケーススタディを読む
修復
クラウド環境の脆弱性を検出し、優先度付けするだけでは不十分です。脆弱性が実稼働環境に到達する前に発見して修復するために、クラウドセキュリティをシフトレフトする必要があります。
パッチを当てて常に適用
デプロイメント前に安全なマシンおよびコンテナイメージを作成し、脆弱性が実稼働環境に到達する前に防ぎましょう。
クラウドセキュリティテストを シフトレフト
リスクベースの脆弱性管理をお使いの Jenkins、Bamboo、TeamCity などの CI/CD システムに統合し、品質保証プロセスの一環としてクラウドセキュリティテストを自動化して、それぞれの新しいイメージを評価しましょう。
強力な API を通じて、バグトラッキングおよび修復管理ツールを統合
ServiceNow を通じて脆弱性に所有者を割り当て、Jira バグトラッキングツールを使用して、優先度付けされた脆弱性を排除するまで追跡しましょう。オープンかつ詳細に文書化された API を使用することで、DevOps プロセスをシームレスに統合することが容易になります。
製品の使いやすさ、自動化機能、専門性とブランドの認知度から Tenable を選択しました。新しいコンテナイメージを評価する機能や、新しい脆弱性を検出し、イメージを保護できる機能は有益です。Volpara Health 社 CIO 兼 CISO, Gareth Beaumont 氏 ケーススタディを読む
検出
アタックサーフェス全体にわたって Cyber Exposure を測定することは困難です。そのためには、すべての資産の検出、評価、特定のビジネスサービスへの資産のマッピング、およびビジネス上重要な資産の特定が必要で、さらにすべての資産に対して、脆弱性、不適切な構成やその他セキュリティ上の弱点を考慮する必要もあります。これらのステップはリスクの優先度付けに役立ち、技術チームや主要関係者への情報共有を円滑化します。
Cyber Exposure を計算・伝達
高度な分析、およびリスクベースのエクスポージャーのスコア化を活用して、資産の価値や重要度、脆弱性、コンテキストを評価しましょう。これにより、アタックサーフェス全体の強力かつ状況に応じたビジュアル化に必要なすべてのデータが得られるため、アナリストから役員までの誰もが組織の Cyber Exposure を素早く把握できます。
パフォーマンスをベンチマーク
Cyber Exposure Score を他の事業ユニットおよび外部の競合他社と比較しましょう。
クラウドセキュリティを データで実証
Cyber Exposure Score (CES) および時間経過による推移をオンプレミス資産と比較することで、クラウド環境は本質的に安全性が低いという考えを払拭しましょう。直感的なメトリクスと強力なダッシュボードは、修復をシフトレフトし、再利用可能なゴールデンイメージを作成できるクラウドネイティブの機能が、ビジネス上の重要なアプリケーションおよびワークロードに最適のクラウド環境を構築できることを示します。
メトリックは情報セキュリティの重要な要素です。経営陣の言葉で話すことができること、そして適切な方法で情報を提示できることも同様に大切です。Tenable は、その大きな助けになってくれています。American Eagle Outfitters 社 IT セキュリティ部門シニアマネージャー, Matthew Stewart 氏 ケーススタディを視聴する