出典: Illia Uriadnikov via Alamy Stock Photo
コメント
MITREの資金提供が共通脆弱性識別子(CVE)プログラムを支援することが危機に瀕しているというニュースによって引き起こされた混乱は、セキュリティコミュニティにとって目覚ましとなりました。しかし、この進化し続ける活発で脆弱なエコシステムは決して単純ではなく、その運用に対する課題は長い間続いています。
2024年には、記録的な40,009件のCVEが公開されました。これは2023年から38%の増加です。国家標準技術研究所(NIST)によれば、CVEの急増と支援の欠如が2024年2月から新しいCVEの処理に遅れをもたらしました。その結果、一部のCVEは優先順位付けと対応を可能にするための必要なコンテキストが不足しています。
幸いにも、MITREがCVEプログラムをもう1年運営するための資金が延長されました。しかし、警告は明らかです。脆弱性情報を得るために1つの情報源にのみ依存することはできません。組織は、脆弱性をより効果的に管理し、ネットワークのサイバー・レジリエンスを強化するために戦略を広げる必要があります。
それは路地裏の戦い
歴史的に、悪者たちは優位に立っていました。彼らは1つの弱点を特定して悪用するだけでよく、善良な人々はすべてを守らなければなりません。すべてを堅牢にしようとすることは、効率が悪く高価であるため、負け戦です。
関連記事:DeepSeekによって明らかにされたオープンソースAIのセキュリティ脅威
サイバー攻撃は、あらゆる規模の組織に対して前例のない頻度で発生しています。2024年には、企業の約70%がサイバーインシデントの増加を報告し、組織あたりの平均攻撃数は66に増加しました。同時期に、データ侵害の世界平均コストは過去最高の$4.88百万に達しました。
レーザーフォーカスのための意識向上
私たちのネットワークは常に攻撃を受けているため、ネットワークインフラストラクチャへの脅威に効果的に対抗することが出発点として優れています。これを行うには、次の3つの領域をカバーする脆弱性インテリジェンスが必要です:
-
CVEを含むすべてのネットワークデバイスの脆弱性に関する広範な認識
-
どの脆弱性が実際に悪用されているかに関するインテリジェンス
-
環境内で脆弱なネットワークデバイスに関する知識
この情報を持つことで、修正が必要なものとそれに対処するためのオプションに集中できます。
脆弱性インテリジェンスは、広範かつ深いものでなければなりません。しかし、修正の決定はレーザーフォーカスである必要があります。なぜなら、脅威アクターはあらゆる種類の混乱を引き起こそうとするからです。
想像してみてください。数十のファイアウォールがあり、すべてに重要なパッチが必要だと知ったばかりです。悪者たちはすでに優位に立っています。なぜなら、数週間にわたって数時間ビジネスを停止してパッチを適用することはできないからです。しかし、コードを実行してワークアラウンドを作成し、パッチのスケジュールを組んでビジネスの混乱を避けるための時間を稼ぐことができればどうでしょうか?
関連記事:LLMsをレール上に保つことが設計、エンジニアリングの課題を引き起こす
脆弱性インテリジェンスは、複数の情報源を活用して、そのデータをあなたの環境に関連する推奨事項に組み合わせます。CVEやサイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)の既知の脆弱性カタログに加えて、多くのものはCVEではありません。たとえば、ネットワークデバイスのベンダーは、脆弱性、影響を受けるデバイスのバージョン、影響、ワークアラウンド、利用可能な場合のパッチや更新に関する詳細を含むアドバイザリーを発行します。脆弱性の広範な状況をネットワークデバイスに一致させ、リスク露出とセキュリティ姿勢によって優先順位を付け、オプションを理解することで、情報に基づいた決定を下し、悪者たちが去るようにすることができます。
コンプライアンスで優位に立つ
多層防御は、複数の脅威インテリジェンスと脆弱性データを活用してシステムを保護するために重要です。しかし、攻撃についても考える必要があり、そこにコンプライアンスとインターネットセキュリティセンター(CIS)ベンチマークが関与します。コンプライアンスはしばしば面倒だと批判されますが、実際にはCISコンプライアンスを維持することがCVEに対する予防接種となり、健全な姿勢を確立します。
関連記事:Marks & Spencer、サイバー攻撃による$400Mの損失を予測
CISベンチマークは、NISTサイバーセキュリティフレームワーク(CSF)、NIST SP 800-53、ISO 27000シリーズ、PCI DSS、HIPAAなどの重要な業界規制と一致しており、複数の業界規制を同時に遵守することができます。CISとデバイスベンダーのチェックは、攻撃ベクトルとベストプラクティスに関する集団的な知恵をまとめており、あなたをカバーします。チェックを定期的に自動化して実行し、修正することで、悪者が現れる頃にはドアがすでにロックされています。これらのチェックをすり抜ける最後のいくつかの項目が脆弱性であり、悪用を防ぐために対処する必要があります。
バックアップとリカバリーでレジリエンスをさらに強化
ネットワークのサイバー・レジリエンスを構築するための3つ目の要素は、自動化されたバックアップとリカバリーです。人生には予期せぬことが起こります。ハードウェアは故障し、デバイスは通常のライフサイクルメンテナンスの一環として交換される必要があり、脅威アクターがアクセスしてデータをロックすることもあります。
ビジネス継続性のためには、問題が発生した場合に備えて以前のバージョンをバックアップして維持するだけでなく、バックアップの検証、失敗したバックアップの通知を受けて再実行し、完全なバージョン履歴と必要なすべてを備えた中央リポジトリを持ち、信頼できる状態に迅速に復元できることが重要です。
目覚ましを活用する
CVEエコシステムの脆弱性に不安を感じたら、自分の手で対策を講じましょう:
-
コンプライアンスプログラムを掘り下げて、リスクを正確に評価し、動的なセキュリティ姿勢を維持するために実施できるチェックを確認します。
-
脆弱性インテリジェンスを導入して、組織に特有の洞察とオプションを提供し、緩和の痛みを軽減します。
-
信頼できるバックアップとリカバリーで、どんな課題にもかかわらずビジネスの継続性を維持します。
これらの3つの領域を把握していると、目覚ましを良い眠りに変えることができ、ネットワークデバイスが既知で信頼できる状態にあることを確信できます。
最新のDark Reading Confidentialポッドキャストをお見逃しなく、The Day I Found an APT Group in the Most Unlikely Placeでは、脅威ハンターのIsmael ValenzuelaとVitor Venturaが、高度な持続的脅威を追跡するために使用したトリックと、その途中で発見した驚きについての話を共有しています。今すぐ聴く!