緑色のダッシュボードは安全を意味しません。それはあなたが「簡単な」ものには得意だが、「難しい」リスクがあなたのバックログで静かに古くなっているだけということを意味するだけです。
私は2つの別々の企業でCISOを務めており、個人的に複数のCISOを知っており、様々なサイバーセキュリティフォーラムを通じて多くの人と交流しています。私たちは皆一つの共通点があります。私たちはパッチ適用SLA数字を暗唱できます。95%の重大度の高い問題が14日以内に解決されます。高度なものについて80何パーセント。取締役会のスライドは緑色です。監査人は満足しています。クライアントアンケートは良好です。
その後、別の質問をします。何がまだ完了する必要がありますか?そしてトーンは自信に満ちた「すべてをカバーしています」から「うーん…私たちはいくつかのレガシー技術負債があります」にシフトします。
彼らが本当に言っているのは、誰かが十分に長く役割を担当している場合は、通常このようなバージョンです。私たちが迅速に解決したのは、閉じるのが安かったものでした。まだ開いている問題は、サービスを再構築するか、重要なシステムをオフラインにするか、それを聞きたくないビジネスオーナーと戦う必要があるものです。そのため、ダッシュボードを緑に保つために簡単な重大な問題を解決し続け、難しい問題はバックログで誰も見ないところで静かに老化します。
これは脆弱性管理の誰も大声で言いたくない部分です。私たちは間違ったことを測定することを中心に構成された整った統治産業全体を構築しました。SLAはあなたのチケット処理プロセスがどれほど厳密であるかを示します。彼らはあなたの実際のリスクについてほぼ何も教えてくれません。
コンプライアンスの罠
私は十分なプログラムでこのパターンが展開するのを見てきたので、それが外れ値ではないことを確信しています。組織は重大な脆弱性に対して30日のSLAにコミットします。脆弱性管理チームはそのSLAで測定されます。だから、彼らはそれを達成することに非常に、非常に得意になります。達成しやすい脆弱性については。
迅速に解決するもの:エージェントがリモートでパッチできるもの。毎晩リビルドするコンテナ化ワークロード内のもの。ベンダーが既にクリーンなアップデートを出荷しており、変更諮問委員会が議論なく承認するもの。
解決されないもの:3つのダウンストリーム統合を破らずにパッチできないレガシーERPモジュール。2019年にベンダーが廃業したオペレーティングシステムを実行する倉庫の組み込みシステム。1995年からその企業にいるシステム管理者のデスク下のWindows 2000サーバー。変更されるとビジネスユニットを1日間ロックアウトする可能性があるコアアイデンティティプロバイダーの設定ミス(誰かがSSOフローを再構築している間)。認証層の建築上の欠陥で、技術的にはCVSS 7ですが、実質的には王冠の宝石の前にあるため存在的な露出です。
それらは動きません。それらはMisfitリスクの島に追いやられます。例外キュー、リスク受け入れトラッカー、または2017年からシステムまたは機能を所有している任意のチームのバックログ。SLAレポートは緑色のままです。分母が簡単なもので支配されており、ビジネスは「リスクを受け入れました」。
私はSLAコンプライアンスが94パーセントで、最大の単一障害ポイントが6パーセントにあることを取締役会に説明する必要があった人間です。これは楽しい会話ではありません。しかし、それは正しいものです。それがほぼ起こらない理由は、報告装置全体がそれを見えなくするために構造化されているためです。
SLAは規律を測定します、リスクではなく
ここは私が同僚と推し進めてきた精神的モデルです。パッチ適用SLAを火災訓練を考える方法で考えてください。火災訓練は必要です。これは予測可能なペースで、あなたの組織が既知の手順を実行できることを証明します。人でいっぱいの建物を担当している人は誰も、成功した火災訓練が建物が安全であることを意味すると主張しません。スプリンクラー、構造設計、出口、素材がすべてあなたがスクリプトしなかったシナリオに対応するときに彼らはあなたに建物は安全だと言うでしょう。
パッチ適用SLAは火災訓練です。彼らはあなたのプログラムが予測可能なペースで既知の手順を実行できることを証明します。彼らはあなたがスクリプトしなかったシナリオから保護されているかどうかを示していません。チェーンされたエクスプロイトパス、設定が間違った信頼境界、GRCツールに存在するように見えるが8か月間静かに失敗しているコントロール、または私のお気に入り「そのコントロールはXYZビジネスユニット以外の場所で機能します」。
CISOにサイバーリスクがどのくらいあるかを尋ねると、彼らはそれを説明するのに苦労します。彼らは攻撃面、脆弱性の数、監査スコアについて話します。「サイバーリスクで2億5200万ドルあります」というようなことを言うのはめったに聞きません。CISOとして、ドルの観点からリスクがどのくらいあるかを表現でき、恐怖、不確実性、疑いを販売しようとするのではなく、これらの難しい脆弱性、設定ミス、およびコントロール障害を解決するためのビジネスケースを構築できるとしたらどうでしょう?
その質問には答えがあり、FAIRインスティテュートが長年にわたって形式化してきたものです。サイバーリスク定量化、またはCRQ。私はここで方法論を宣伝するためにいません。いくつかあります。いくつかはより防御可能です。具体的な選択は脆弱性、設定ミス、制御ギャップを重大度ラベルではなく損失露出条件に強制する規律よりも重要です。CFOに未パッチのCVSS 9.8がサーバーに存在することを伝えると、彼らの目は曇ります。推定1200万ドルの年間損失露出が1つの改善されていない建築上の欠陥に集中していることを彼らに伝えるとき、私たちは非常に異なる会話があります。そして、私の経験では、非常に異なる改善予算です。
実際に針を動かす3つのシフト
SLA劇場から実際のリスクを反映するものにプログラムを引き出そうとしているセキュリティリーダーなら、ここに私が機能するのを見たものがあります。
- SLAを必要とされるものの床として扱い、報告されるものの天井ではありません。契約および規制上のSLAコミットメントを満たし続けてください。彼らは良い理由で存在し、顧客は彼らについて尋ねます。しかし、SLAコンプライアンスを脆弱性管理プログラムのヘッドラインメトリックとして提示するのをやめてください。それは衛生対策です。衛生スライドにそれを置きます。ヘッドラインメトリックは、それが脅かすビジネスサービスによって分解された定量化された残留リスクの傾向であるべきです。
- あなたの例外プロセスが単なる文書化されたものではなく、より良い決定を生み出すようにしてください。私がレビューしたプログラムのほとんどでは、リスク受け入れプロセスはリスクが何年も登録簿に住んでいるファイリング演習です。誰かがフォームに署名し、チケットは「リスク受け入れ」として閉じられ、露出はSLAレポートから消えます。これはリスク管理ではありません。それは書類作業です。機能的な例外プロセスでは、ビジネスオーナーが受け入れている定量化された損失露出を見て、定義されたペースで再検討することに同意し、最大の露出については資金提供されたタイムラインで改善計画にコミットする必要があります。Verizonの2025 DBIRからの調査では、レポートに掲載されているエッジデバイスの脆弱性の中で、パッチを当てるまでの平均時間は209日でしたが、攻撃者の中央値の悪用までの時間は5日でした。これは修正が変化が最も難しい場所に住んでいるために存在するギャップです。同じパターンがCISAの既知の悪用された脆弱性カタログに表示されます。これは主にワイルドで使用される長時間前にパッチが利用可能だったCVEで構成されています。これはパッチの問題ではありません。これは例外衛生の問題です。
- 他の資本およびopexプロジェクトに資金を提供する方法で改善に資金を提供します。難しい脆弱性(サービスを再構築したり、ライフエンドプラットフォームを交換したり、アイデンティティフローを再構築する必要があるもの)は、四半期ごとの運営予算から解決されません。彼らは資本とopex投資が必要であり、他のすべてのビジネス投資と競争します。定量化されたリスクは、平等な用語で競争できるようにするものです。「認証層を再構築する必要があります。これは古く、サポートされていないため」10回中8回その戦いに負けます。「認証層を再構築する必要があります。なぜなら、それは1000万ドルのサイバーリスク露出を表し、改善に100万ドルの投資はサイバーリスクを純粋に900万ドル削減します」は、重要な限り十分にそれを勝ちます。
最後のメモです。懐疑的な聴衆とCRQについて話すたびに、この質問を受け取るからです。あなたの損失露出推定値は不正確になります。入力は不確実で、範囲は広く、正直な定量化運動は決定されたクリティックによって拾い上げられる可能性がある結果を生み出します。それでいい。CFOまたは保険数理士は、その数が1000万ドルではなく800万ドルであると主張できます。まだいい。少なくとも、あなたは人々がアンカーできる数値を持っています。すべてが虹とユニコーンであると言った古いパッチ記録カードと比較して。
緑色のSLAダッシュボードは、セキュリティチームが厳密であることを幹部に知らせます。定量化されたリスク画像は、実際の露出がどこにあり、それを減らすのにどのくらいの費用がかかるかを知らせます。これらの会話の1つは難しいものが修正されます。他は文書化され忘れられます。
SLAは床です。あなたがそれだけに立っているなら、あなたはあなたが思うより地面に近いです。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加したいですか?
