脆弱性管理に関しては、企業が目標を達成するための多くの方法があります。脆弱性を管理するための最も革新的なツールをご紹介します。
写真:eamesBot – shutterstock.com
脆弱性管理は長年にわたって大きく変わってきただけでなく、脆弱性を識別およびパッチするシステムも変わってきました。脆弱性管理システムは、現在ではネットワークとプライベートでホストされたアプリケーションのみにフォーカスしていません。オンプレミス、IoTデバイス、パブリッククラウドおよびプライベートクラウドインスタンスの両方で脆弱性を識別することができる必要があります。さらに、企業のセキュリティチームが、問題を修正するための最適な決定を下すのをサポートする必要があります。
システムの脆弱性は、悪用されない限り、大きな危険をもたらしません。したがって、本当に危険なものが何かを知ることが重要です。これにより、セキュリティ上の脆弱性を評価および分類できます。潜在的な影響も重要な役割を果たしています。企業のウェブサイトが改ざんされるのは恥ずかしいことですが、機密情報の盗難は重大なビジネス損失となり、さらに高額な罰金につながる可能性があります。
優れた脆弱性管理プログラムの特徴は、脆弱性スキャンにコンテキストを追加することです。大規模な企業ネットワーク内に数千個の脆弱性がある可能性があり、これを確実に優先順位付けし、リスクを最小化する唯一の方法です。
以下の6つのプロダクトは、脆弱性管理の少なくとも1つの側面で新しい基準を設定しています。
Qualysは1999年に最初のSaaS脆弱性管理プラットフォームでした。Qualys Vulnerability Management Detection and Response(VMDR)はクラウドサービスとして利用可能です。音声エージェント、仮想スキャナー、パッシブネットワークスキャン機能を使用して、このソリューションは企業がオンプレミス、クラウド、エンドポイント上のアセットを識別するのを支援します。ダッシュボードはカスタマイズ可能です。
収集した脆弱性データをユーザーはアセットベースで調査して、構成、実行中のサービス、ネットワーク情報、およびその他
.png)
のデータに関する深い洞察を得ることができます。「AssetView」機能により、セキュリティおよびコンプライアンスチームは、企業にとって重要なデータに基づいて情報リソースを継続的に更新できます。Qualys VMDRがアセットと脆弱性を識別し、リスクレベルで優先順位を付けた後、ユーザーはプラットフォーム内でパッチをデプロイできます。
クラウドセキュリティ体制管理(CSPM)ツールのOrca Securityは、Amazon Web Services(AWS)、Microsoft Azure、Google Cloudなどのクラウドインフラストラクチャサービスの脆弱性を管理します。Orcaはクラウド用に開発されたため、これらの環境で簡単に展開できます。
Orcaのサイドスキャン技術により、ユーザーはクラウド環境をインベントリ化し、例えば
オペレーティングシステムパッケージ、アプリケーション、またはライブラリに関するデータを収集します。発見された各脆弱性について、システムは他のアセットとの関係を示す独自のマップを作成します。これは優先順位付けに役立ちます。
企業のクラウドシステムの脆弱性の重大度を視覚的に表現するために、このソリューションはクラウドシステムとワークロード、およびそれらの構成とセキュリティ設定を分析します。さらに、Orcaは接続性を管理し、どのネットワークが公開されているか、どれが公開されていないかを検出できます。これらすべての
データを使用して、脆弱性管理ツールは、クラウドシステムのコンテキスト内での脆弱性の実際のリスクを評価しようとする視覚化を作成します。関連する脆弱性データベースには、20以上の異なるソースからのデータが含まれています。
Detectifyのオファーは、攻撃表面管理(ASM)のカテゴリに該当します。ASMは攻撃者の視点から脆弱性に焦点を当てています。これは、企業IT資産、クラウドインフラストラクチャなどのインターネット対応システム、サードパーティシステム、およびWebアプリケーションの継続的な発見で構成されています。これらシステムの脆弱性を識別し、それらを優先順位付けして管理するのをサポートします。
Detectifyはクラウドベースで動作するため、インストールは必要ありません。確認するドメインを追加するだけで、すべての関連するサブドメインとアプリケーションが継続的に確認されます。このソリューションは、スキャン活動を2つの領域(表面とアプリケーション監視)に分けています。前者のカテゴリは、組織のインターネット資産を確認し、発見されたホストを脆弱性、構成ミス、その他の問題について評価します。アプリケーションスキャンでは、Webアプリケーション、およびそこにある脆弱性の継続的な評価が行われます。Detectifyはプロダクション、開発パイプライン、およびアプリケーションステージングのアプリケーションを評価します。
Detectifyの興味深い側面は、自動化とクラウドソーシングの組み合わせです。同社はエシカルハッカーと協力し、その知見を取り込みます。これにより、企業システムが自動的に既存の脆弱性について確認される一方で、経験豊富なセキュリティ研究者が未発見の脆弱性を探すことが保証されます。
脆弱性管理ツールで作業したことのある人なら誰でも知っているように、異なるソリューションはしばしば異なる脆弱性を発見します。一部のツールは、ローカルネットワークやクラウドアプリケーションの評価など、特定のタスクでより良いパフォーマンスを発揮する場合があります。
ここがKenna Security脆弱性管理の出番です。このソリューション自体はスキャンを実行せず、いわゆるコネクタプログラムを提供します。これらは
Tripwire、Qualys、McAfee、CheckMarxなど、ほぼすべての脆弱性スキャナーからのデータを取得します。プラットフォーム自体はサービスとして提供され、ユーザーはクラウドポータルにログインして情報を確認します。
その背後にあるアイデア:Kennaのソリューションは脆弱性アラートを収集し、リアルタイムで脅威データと照合します。発見された脆弱性はアクティブな脅威キャンペーンに関連付けられ、それに応じて優先順位が付けられます。世界中で悪用されているすべての脆弱性は自動的にさらに高い優先度を取得します。これにより、ディフェンダーは攻撃者がそれを発見して悪用する前に最も危険な問題を解決できます。Kennaプラットフォームは、リアルタイム脅威データを脆弱性管理に組み込んだ最初のプラットフォームの1つでした。それ以来、追加の脅威データで拡張されました。
プラットフォームは、保護されたネットワークに脆弱性が存在する理由を説明し、それらを修正するためのヒントを提供します。発見された脆弱性を優先順位付けすることもでき、どのアセットが影響を受けているか、問題がどれほど深刻かによって異なります。リスクベースのサービスレベルアグリーメント(SLA)もプラットフォームの一部であり、企業のリスク許容度に基づいて問題を修正するためのタイムフレームを作成します。企業が担当できるリスクが少ないほど、脆弱性をより速く修正する必要があります。KennaのリスクベースのSLAは、3つの要因に基づいています:
-
リスク許容度、
-
アセット優先度、および
-
脆弱性のリスク評価。
2021年以来、Kenna SecurityはCiscoの一部です。
多くの脆弱性管理ツールは、内部で開発されたアプリケーションとコードに焦点を当てています。対照的に、Flexeraのソフトウェア脆弱性管理プラットフォームは、ほぼすべての企業が使用しているサードパーティのソフトウェアプログラムに焦点を当てています。
ほとんどの場合、購入またはライセンスされたソフトウェアの脆弱性はパッチによって修正されます。数千のシステムまたは重要なサービスをオフラインにする必要がある場合、これは企業にとって問題となる可能性があります。さらに、1つの問題を修正することで、他の新しい問題が発生する可能性があります。
Flexeraソフトウェアは、企業全体の安全なパッチ管理プロセスを実現することでこの問題に対抗しようとしています。このソリューションは、サードパーティソフトウェアの脆弱性を検出し、潜在的な脅威の重大度について管理者に通知できます。軽微な脆弱性を修正するか、企業がインストールしていない可能性のあり、または使用していない機能をパッチするために、数千のユーザーに包括的なパッチをリリースすることはあまり意味がありません。Flexeraはここでコンテキストを提供し、必要なときにパッチを提供することでサポートできます。
Flexeraプラットフォームを使用すると、自動化されたパッチ管理システムを確立することもできます。さらに、カスタムレポートを生成できます。これは脆弱性とパッチ管理だけでなく、コンプライアンス(フレームワーク、法律、ベストプラクティス)にも適用されます。
Tenableはセキュリティダッシュボードで知られています。Tenable.ioでは、同社が脆弱性管理と組み合わせて同じ診断テクノロジーを提供しています。プラットフォームはクラウド内で管理され、脆弱性を検索するためにアクティブスキャンエージェント、パッシブ監視、クラウドコネクタの組み合わせを使用します。攻撃者を防ぐために必要な修正を決定するために、Tenableソリューションは機械学習、データサイエンス、AIを使用します。
Tenable.ioの最大の強みの1つ:脆弱性は誰にでも理解できる方法で表現されます。特別なトレーニングや専門知識は必要ありません。攻撃表面管理機能を強化するために、TenableはASMプロバイダーのBit Discoveryを買収しました。これにより、顧客は内部および外部の攻撃表面の包括的な概要を得ます。(fm)
この記事は、当社の姉妹出版物CSOonline.comで原文で掲載されました。
