TokyoBlackHatNews

sysdig.com 5分で読了

使用中の脆弱性の優先順位付けを使用して重大なリスクに焦点を当てる

脆弱性管理は常に課題でしたが、今日のセキュリティチームはこれまで以上にプレッシャーを感じています。毎月数千の新しいCVEが報告されており、その膨大な量のため、どこに焦点を当てるべきかを知ることが困難です。使用中の脆弱性の優先順位付けは、ノイズを減らすための最も効果的な方法の1つであり、実行時に積極的にロードされている脆弱性のみに焦点を当てます。

本当に重要なことに焦点を当てるために、セキュリティチームはリスクを優先順位付けするためのより優れた方法が必要です。すべての重大な脆弱性を修正しようとする代わりに、チームは直ちに対処する必要がある小さな割合のみに集中できます。

問題:クラウドでの脆弱性の過負荷

セキュリティチームは脆弱性に溺れており、25万を超える既知のCVEがあります。スキャンを実行するたびに追加の問題が発見され、実際の脅威をバックグラウンドノイズから区別することがますます困難になります。優先順位付けへのより戦略的なアプローチがなければ、これらの脆弱性を管理することは持続不可能なタスクになります。

多くの企業はシフトレフトセキュリティに目を向け、開発の早い段階で問題を見つけることで脆弱性管理を簡素化しようとしています。クラウド環境では、脆弱性スキャンが設計、コードコミット、ビルド、デプロイメントのあらゆる段階で行われるため、同じ脆弱性が複数回フラグが立てられる可能性があり、開発を遅くすることができます。先を行くために、組織はリスクの明確な見方が必要です。ただし、セキュリティと高速なリリースサイクルのバランスを取ることは常に課題です。

一方、開発者は脆弱性の終わりのないリストを整理しようとし、実際に何を修正する必要があるかを把握しようとしています。セキュリティチームは開発者にすべてをパッチするよう要求することはできないことを知っています。ただし、適切なコンテキストがなければ、脆弱性管理はリリースを遅くしながら、重大なリスクに対処しないままになることがよくあります。これはアラート疲労とおそらく悪用されることのない脆弱性を修正するための無駄な努力につながります。

従来の優先順位付けフレームワークが不十分な理由

多くの組織は重大度スコアを使用して脆弱性を優先順位付けし、すべての「重大」および「高」重大度の問題を修正することでリスクを軽減できると想定することで開始します。これは論理的なアプローチに見えるかもしれませんが、効果的にスケーリングしません。中および低重大度の脆弱性を除外した後でも、チームはまだ現実的に対処できるよりも多くの問題を抱えています。

本当の問題は、すべての「重大」重大度である場合でも、すべての脆弱性が等しく危険ではないということです。重大度だけではリスクを決定しません。一部の重大な脆弱性は本番環境で実際に使用されないパッケージに存在する可能性があり、攻撃者に実際に悪用されることはできません。

一方、実行時に積極的に公開されている低い重大度の脆弱性は、攻撃者のエントリーポイントを提供する可能性があります。これらの脆弱性に関する適切なコンテキストがなければ、重大度スコアのみに依存することはチームに間違った結論を引き出させることができます。

脆弱性を効果的に保護する

クラウド内の脆弱性は異なります。戦略も異なることを確認してください。

詳細情報

Image

解決策:使用中の脆弱性優先順位付け

実際のリスクに焦点を当てるためのより効果的な方法は、使用中の脆弱性優先順位付けです。これは、本番環境で積極的に実行されているパッケージの脆弱性を特定します。これらは悪用される可能性のある唯一のものです。実行時の洞察を活用して不要なノイズをフィルタリングすることで、このアプローチは脆弱性優先順位付けから推測を排除し、チームが修復作業に最も効果的な場所に焦点を当てることができます。

Sysdigの脆弱性管理ソリューションにより、ユーザーは1回のクリックで使用中の脆弱性を特定できます。そこから、チームは追加のフィルターでさらに焦点を絞り込むことができます。既知の悪用がある脆弱性を優先順位付けして、積極的にターゲットにされている脅威がリストの上に上がるようにすることができます。また、修正可能な脆弱性でフィルタリングして、セキュリティチームが実際に修復できる問題に時間を費やすことができます。

Image

使用中の優先順位付けの力で、セキュリティチームは対処する必要がある脆弱性の数を劇的に削減できます。実行時にロードされたパッケージの脆弱性を分離することで、セキュリティチームはバックログのごく一部にスコープを縮小でき、場合によっては95%以上削減できます。

Image

セキュリティチームは、脆弱性の圧倒的なリストを開発者に渡すのではなく、対象を絞った実行可能なリストを提供できます。これは彼らが革新を遅くすることなく最も重要なリスクを修正するのに役立ちます。

脆弱性優先順位付けについてより賢いアプローチを取る時が来ました

すべての脆弱性を修正しようとすることは現実的でないだけでなく、時間とリソースの大量の浪費です。脆弱性を優先順位付けするためのより賢い方法がなければ、セキュリティチームと開発者は修復作業の終わりのないサイクルに陥り、大きなリスクではない脆弱性をふるい分けるときに疲れ果ててしまいます。

使用中の脆弱性優先順位付けは、このノイズを減らすのに役立ちます。実行時インテリジェンスを使用して悪用不可能な脆弱性をフィルタリングすることで、セキュリティチームは不要な作業を排除し、開発者の疲労を緩和し、脆弱性をより速く修復できます。セキュリティを強化しながら開発の邪魔にならない形で実現できます。

Sysdigがどのようにあなたが可視性からアクションに移行するのを支援できるか見たいですか? 👉 デモをリクエストしてSysdigがどのように機能するかを確認してください。

翻訳元: https://webflow.sysdig.com/blog/smarter-vulnerability-management-with-in-use-prioritization

ソース: webflow.sysdig.com
#CVE #DevSecOps #クラウドセキュリティ #セキュリティリスク #ソフトウェアセキュリティ #リスク軽減 #優先順位付け #実行時分析 #脆弱性スキャン #脆弱性管理

関連記事

AIワークロードを保護する5つのステップ

次世代コンテナセキュリティ:なぜクラウドコンテキストが重要か

NIS2、DORA、その他の規制への準拠ガイダンス