クラウドソリューションは、スピード、拡張性、および使いやすさを目的として構築されており、クラウドセキュリティチームにジレンマをもたらしています。複雑な資産を確認せず、すぐに実稼働環境に導入することは可能ですが、プロセスにおける Cyber Exposure が大幅に増加します。セキュリティチームには、毎日実行されることのあるクラウドワークロードのデプロイメントに対する継続的な可視性が必要です。
クラウドセキュリティ: リスクベースの効果的な脆弱性管理への5つのステップ
クラウド環境におけるすべての資産を検出、評価、分析、修復および測定し、クラウドセキュリティプログラムの基盤を強化します。
リスクベースの効果的な脆弱性管理には、次の Cyber Exposure Lifecycle の5つのフェーズに対応した強力なプロセスが必要です。
1.検出
発見
一時資産に対する リアルタイムに近い可視性
AWS、Google Cloud Platform、および Microsoft Azure 向けの Tenable クラウドコネクタにより、マルチクラウド環境全体で、最近追加された一時的なコンピューティング資産のデプロイメントのほぼリアルタイムでの検出が可能になります。オートスケーリング、オンデマンドインスタンスやコンテナデプロイメントなどのクラウドネイティブテクノロジーの進化に追従するツールです。
開発段階で資産を検出
ソフトウェア開発ライフサイクルの早期のビルドで新しい資産を検出し、実稼働の前に脆弱性を特定します。CI/CD ツールおよびレジストリでの早期検出によって、短期間に大規模なグループに導入される資産の盲点を排除することができます。
評価コストを最適化
クラウドインフラストラクチャ全体に対する無料の資産検出スキャンを実行し、環境をリスト化して未知の資産を一掃します。クラウドインスタンスの終了から24時間後に、資産ライセンスを自動的に再割り当てします。
Netskope は、リアルタイムですべての資産を検出し、現代のアタックサーフェス全体 (クラウド、データセンター、IoT など) に対するダイナミックかつ包括的な可視性を得ています。コンテナを含むクラウドインフラストラクチャ内の資産検出の自動化も実施しています。Netskope ケーススタディを見る
2.評価
評価
従来の脆弱性管理スキャンツールには、複数のデータ収集センサーに対する柔軟性がないので、 クラウドセキュリティチームがクラウドネイティブ資産の脆弱性、不適切な構成、およびマルウェアに気付かないという状況を引き起こす可能性があります。
ベストプラクティスに基づいてクラウドインフラストラクチャを強化
CIS および最も使用されているクラウドプロバイダの確立されたクラウドセキュリティのベストプラクティスに基づいてクラウド環境を監査し、アタックサーフェスを最小化します。
クラウドのアタックサーフェス全体を評価
ホストからワークロードまでのクラウドスタック全体の脆弱性を一元化されたハブから検出し、洗い出します。
複数のセンサータイプを採用して可視性を最大化
13万6千個以上の脆弱性検出プラグインを備えた、世界で最も信頼されている脆弱性スキャナである Nessus を使用することで、お客様の組織がクラウドで管理するさまざまなサービスに最適な方法 (アクティブスキャン、エージェント、パッシブモニタリング、イメージ評価など) を選択することができます。
「Tenable.io のおかげで、すべての資産の状態を一目で確認できます」当社では、全資産に対して、システムとネットワークの脆弱性スキャンだけでなく、コンプライアンススキャンを毎晩実行しています。CleverTap、インフラストラクチャ責任者、Francis Pereira 氏 ケーススタディの動画を見る
3. 優先順位づけ
優先順位付け
脅威アクターは日々その戦術を変えており、特に常に変化するクラウド環境においては、静的な CVSS スコアでは動的な脅威に追従できません。 リスクベースの脆弱性分析アプローチを採用すれば、組織に最大のリスクをもたらす上位3%の脆弱性を素早く特定することができます。予測に基づいた優先順位付けはカスタマイズ可能なダッシュボードにより、修復に関する明確な情報を提供します。これらの情報を適切なタイミングで適切なチームに提供し、組織の実際のリスクを減らすことができます。
早急に対応を必要とする クラウドの脆弱性を特定
脅威インテリジェンス、エクスプロイトの可用性、および脆弱性のメタデータの組み合わせに基づいて、脆弱性の優先度付けを行います。予測に基づいた優先順位付け はお客様のクラウド環境と同じように動的で、差し迫った脆弱性に対する修復リソースの割り当てを円滑にします。
DevOps チームと脆弱性に関する 優先度情報を共有
カスタムダッシュボードとレポートを作成することで、脆弱性とその優先度を組織の他のチームに簡単に伝達することができます。
情報を SIEM に自動的に送信
脆弱性および不適切な構成に関するデータを自動的に SIEM に送信することで、イベントのコンテキストを提供し、レスポンスを自動化できる可能性がある領域を特定します。
CI/CD パイプラインや実行中のコンテナのセキュリティ状況に関する、これまでは得られなかった可視性を手にすることができました。これにより、最重要使命である人命救助に注力することができます。Volpara Health 社 CIO 兼 CISO, Gareth Beaumont 氏 ケーススタディを読む
4.修正
修正
クラウド環境の脆弱性を検出し、優先順位付けするだけでは不十分です。脆弱性が実稼働環境に到達する前に発見して修正するために、クラウドセキュリティをシフトレフトする必要があります。
パッチは1回だけ。ただし常に適用
デプロイメント前に安全なマシンおよびコンテナイメージを作成し、脆弱性が実稼働環境に到達する前に防ぎます。
クラウドセキュリティテストを シフトレフト
リスクベースの脆弱性管理をお使いの Jenkins、Bamboo、TeamCity などの CI/CD システムに統合し、品質保証プロセスの一環としてクラウドセキュリティテストを自動化して、それぞれの新しいイメージを評価します。
強力な API を通じて、バグトラッキングおよび修復管理ツールを統合
ServiceNow を通じて脆弱性に所有者を割り当て、Jira バグトラッキングツールを使用して、優先度付けされた脆弱性を排除するまで追跡します。オープンかつ詳細に文書化された API を使用することで、DevOps プロセスをシームレスに統合することが容易になります。
製品の使いやすさ、自動化機能、専門性とブランドの認知度から Tenable を選択しました。新しいコンテナイメージの評価、新しい脆弱性の検出、イメージの保護などができることにはかけがえのない価値があります。Volpara Health 社 CIO 兼 CISO, Gareth Beaumont 氏 ケーススタディを読む
5.測定
検出
アタックサーフェス全体にわたって Cyber Exposure を測定することは困難です。そのためには、すべての資産の検出、評価、特定のビジネスサービスへの資産のマッピング、およびビジネス上重要な資産の特定が必要で、さらにすべての資産に対して、脆弱性、不適切な構成やその他セキュリティ上の弱点を考慮する必要もあります。これらのステップはリスクの優先度付けに役立ち、技術チームや主要関係者への情報共有を円滑にします。
Cyber Exposure を計算・伝達
高度な分析、およびリスクベースのエクスポージャーのスコア化を活用して、資産の価値や重要度、脆弱性、コンテキストを評価します。これにより、アタックサーフェス全体の強力かつ状況に応じたビジュアル化に必要なすべてのデータが得られるため、アナリストから役員までの誰もが組織の Cyber Exposure を素早く把握できます。
パフォーマンスをベンチマーク
Cyber Exposure Score を他の事業ユニットおよび外部の競合他社と比較します。
クラウドセキュリティを データで実証
Cyber Exposure Score (CES) および時間経過による推移をオンプレミス資産と比較することで、クラウド環境は本質的に安全性が低いという考えを払拭します。直感的なメトリクスと強力なダッシュボードは、修復をシフトレフトし、再利用可能なゴールデンイメージを作成できるクラウドネイティブの機能が、ビジネス上の重要なアプリケーションおよびワークロードに最適のクラウド環境を構築できることを示します。
メトリックは情報セキュリティの重要な要素です。経営陣の言葉で話すことができること、そして適切な方法で情報を提示できることも同様に大切です。Tenable は、その大きな助けになってくれています。American Eagle Outfitters 社 IT セキュリティ部門シニアマネージャー, Matthew Stewart 氏 ケーススタディを視聴する