米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)によると、重要国家インフラ(CNI)事業者は、悪用された脆弱性の修復や、その他のサイバー衛生に関するベストプラクティスの実施において改善が進んでいる。
同庁の新たなサイバーセキュリティ・パフォーマンス目標(CPG)採用レポートは、2022年以降の約7800のCNI組織の実績を分析した。
- Secure Sockets Layer(SSL)の脆弱性および既知の悪用済み脆弱性(KEV)チケットの修復時間は、期間中に重大(クリティカル)レベルのKEVで50%、高(ハイ)レベルのKEVで25%減少した
- SSL脆弱性に関連するチケットの解決に要する時間は、2022年の約200日から50日未満へと短縮した
- CISAの脆弱性スキャンで監視される悪用可能なサービスは、2022年8月の登録組織あたり12件から、2024年8月には登録組織あたり約8件へと減少した
- 2022年8月から2024年8月の間に、CNI組織によるCISAのサイバー衛生(CyHy)サービスへの登録は201%増加した。さらに、通信(300%)、緊急サービス(268%)、重要製造(243%)、上下水道システム(242%)の各セクターでは、より高い伸びを示した
CISAのCyHyは、登録組織の脅威露出を低減するために設計された無料サービス群である。脆弱性スキャンやWebアプリスキャンが含まれる。
CNIリスクについて詳しく読む:CNI予算が横ばいとなる中、サイバーへの信頼が揺らぐ
しかし専門家は、CNI企業がまだ祝う段階ではないと警告した。
「外部の攻撃対象領域にある脆弱性を洗い出そうとすることは、企業が持つべき最優先事項の一つであることは確かです。しかし、それが攻撃者が環境に侵入できる唯一の手段を示しているとは限りませんし、代わりにゼロデイが使われない保証もありません」と、Dispersive.ioのVPであるローレンス・ピングリーは述べた。
「攻撃者は目的を達成するために必要なものへと次々に切り替えるだけです。つまり、外部の攻撃面が難しすぎるなら、サードパーティに切り替えたり、マルウェアやフィッシングに切り替えたり、さらにはソーシャルエンジニアリングに切り替えたりします。」
このため、組織は脆弱性パッチ適用で「モグラ叩き」をするのではなく、より能動的にセキュリティ戦略に取り組むべきだとピングリーは付け加えた。
CISAのレポート は、運用技術(OT)がもたらす継続的なリスクについても強調している。政府サービスおよび施設セクターでは、OTプロトコルの63%が公衆インターネットに露出していることが明らかになった。
翻訳元: https://www.infosecurity-magazine.com/news/remediation-times-drop-cyber/
