あなたにとって脆弱性管理の意味は?
セキュリティ専門家が脆弱性について多くのことを語っている。そして、まさしくそうなのだが、脆弱性にパッチを適用することは、攻撃を防ぐために取れる、最も重要な対策の一つである。
しかし、最近の調査で判明したことは、企業システムで最も一般的ないくつかの弱点は、構成の問題に起因していることだった。これらの問題は、いくつかのパッチ未対応による脆弱性ほどの重大ではないものの、突出していることは本当に驚きだ。
上のグラフは、本調査中に判明した最も頻繁に発見される脆弱性トップ10を示している。この調査は、2016年の年初にF-Secure Radar – 脆弱性スキャン/管理ソリューションを使用して実施した。これらトップ10の脆弱性を合計すると、本調査中に見つかった100の最も頻繁に検出される弱点の61%以上を占める。
そして、もしあなたがこれらの脆弱性の違いを見ていたなら、それらの多くが暗号化プロトコルの構成ミスや実装上の問題(最も一般的な問題の約44%を占める)であることに気付くだろう。
それでは、何故これらの問題が頻発するのだろうか?
暗号化は通信を保護するためのデファクトスタンダードである。全ての企業はそれを使用すべきで、事実ほとんどが何らかの形でそうしている。しかし、彼らの多くが暗号化を使用しているものの、必ずしもベストプラクティスに従って実装しているわけではない。
例えば、Secure Socket Layer (SSL)暗号化が広く使用されている一方で、最新バージョン(それ自体はかなり古いが)には、企業をマンインザミドル (MITM)攻撃にさらす脆弱性がある。そして、SSLのバージョンはより新しい、トランスポート層セキュリティ(TLS)プロトコルに置き換えられているため、SSLのバージョンを使用している企業は、一つだけではなく、犯罪者、企業の妨害工作員、または他の様々な厄介者の興味を喚起する数多くの弱点を抱えている。
そして、より新しいTLSプロトコルは、より高いセキュリティを提供するものの、企業は最新のバージョンを稼動させていることを確認する必要がある。結果が示すように、多くの企業がまだ行っていない。
これらの問題は、いくつかの他の脆弱性より深刻度は高くないが、余計な注目を集めるには十分である。
「これらの問題は、本質的には特に切実ではなく、攻撃者は「私を蹴って」と書かれた紙を背中に張る程度の軽い問題を引き起こすことを意図している。」とエフセキュア テクノロジーアウトリーチのアンディ・パテル シニアマネジャーは述べている。「何気なくウェブを閲覧することで、これらの脆弱性に偶然出くわすことは良くある。」
悪事には無関心のハッカーでさえ、脆弱性を引き出してみたいという誘惑に駆られることがあるだろう。幸運な企業なら問題を警告するEメールを受け取れるかもしれないが、不幸な企業は、標的型攻撃をするために偵察を行うプロの犯罪者を呼び込んでしまうだろう。
そこで、これらの脆弱性を回避するためにCISO(情報セキュリティ担当役員)は何ができるだろう。総合的脆弱性管理プログラムが良いスタートになる。そしてこれには以下のものが含まれている。
ネットワークと脆弱性の可視化:IT管理者でさえも、ネットワーク全体の状況を追跡し続けるのは困難である。ネットワークのいくつかのパーツはたまにしか使用されないので、管理者は忘れているか、ITの担当者に相談せずに設定してしまっている可能性もある。それで保守の対象からは容易く外れてしまうことになるので、あなたのネットワークに対する認知度の向上が鍵となる。
脆弱性のあるアプリケーション/OSへのパッチの適用:パッチ管理はとても簡単なことのように思えるかもしれないが、未だに多くの企業で不十分だ。これを優先付けすることが全てのCISOのto do リストの一番上にあるべきだ。これは骨の折れる作業にように見えるが、パッチ管理ソリューションにより企業にとって比較的迅速に、苦労することなく、攻撃者によって悪用される多くの脆弱性の管理が可能になる。
広範囲なハードニング戦略の実施:一般的なアプリケーションやソフトウェアを保守する際に、パッチ管理ソリューションは優れているが、全てを検出するわけではない。脆弱性スキャンとポートスキャンを使うことで、ネットワークとその弱点を明らかにすることができ、この最適なソリューションにより、IT管理者がネットワークのすべての弱点を追跡しセキュリティを強化するために使えるサポートフレームワークが提供される。
カテゴリ