2023年の脆弱性管理:質問と回答
この記事では、脆弱性を識別、分類、優先順位付け、適時に排除すること、そして脆弱性管理プロセスを自動化する方法に関連するいくつかの重要な質問に答えようと思います。
まず、脆弱性を見つけて排除する古典的なプロセスについて定義から始めましょう。
ここでの古典的アプローチとは何か?
多くの専門家は、脆弱性管理はいくつかの段階を含むと考えています。まず、会社のITインフラストラクチャにあるすべての可能性のあるソフトウェア資産を特定する必要があります。このリストを持ってから、既に知られている実際の脆弱性を見つけて修正します。それから、発見された脆弱性が本当に修正されているかどうかを確認する必要があります。
広告
最も重要で、おそらく最も難しい段階で最も注意が必要なのが、脆弱性を取り除く段階です。
脆弱性を取り除く段階では、実行されるアクションの順序に注意を払うことが不可欠です。脆弱性がランダムな順序で取り除かれる場合、プロセスは非効率的で長引くことになります。これは、顧客もサービス提供者も満足させることはできません。
遅延の理由は、可能性のある脆弱性のリストが無限に近いことがあります。脆弱性はソフトウェアやインフラの様々な特徴と関連している可能性があります。実際には、ベンダーに知られている脆弱性の一部だけが企業で発生するかもしれません。
脆弱性を特定するだけでなく、それぞれに独自の優先度と重要度を割り当てる必要があります。優先順位付けは、ソフトウェア製品別、ITインフラ資産別、作成された脅威の度合い別、異なる方向で行うことができます。
脆弱性管理を採用する
脆弱性を扱うプロセスは、潜在的な脅威のリストを整理するだけではありません。これはよく管理されなければならない複雑なプロセスです。
脆弱性管理は、既存のリスク管理システムの一部です。すでに述べたように、資産のインベントリの後に、私たちは脆弱性を見つけて優先順位を付けます。この段階で、すでに特別な管理が必要な兆候が現れています。特定されたリスクがどのように扱われるかをすぐに明確にする必要があります。
さまざまなオプションがここにあります。直接的に対処することも、それらをグルーピングして別のレベルに移行して処理することもできます。したがって、脆弱性の資産を分析する段階で、リスクを扱うための準備ができた戦略を持っていることが必要です。
脆弱性の効果的な緩和には正確な行動の選択が必要です
脆弱性の修正は、確定的なプロセスであり、確率的プロセスではありません。その実施の戦術は、主にタスクを解決するために使用されるツールで決まります。
戦術の選択は非常に重要です。セキュリティ上の問題が自発的に解決される場合、脆弱性の排除のタスクは境界を失う可能性があります。会社は時間、リソース、従業員の不足を経験し始めます。これは事前に考慮するべきです。
なぜ、情報が入ってくるたびに単に見つけて修理するという直線的でステップバイステップのアプローチを取れないのですか?
システム管理者にパッチを適用し続けるよう強制すると、彼らは単に過重な仕事負荷から「過労死」してしまうでしょう。
これは別の方法で行うことができます。脆弱性を優先順位付けした後、管理者はクリティカルレベルに属するものだけを修正し、中間または低レベルの脆弱性は無視します。
脆弱性の排除プロセスはクリエイティブだと言うことができます。それは会社のインフラストラクチャに出現する可能性のあるセキュリティギャップの特定だけでなく、人的リソースを節約する方法で行う必要があります。プロセスは、対話型の開発と制御サイクルPlan-Do-Check-Act(PDCA)の形式的原則に従うべきではありません。
新しいタスクフローが作成されるとすぐに、いくつかの質問がすぐに出てきます:
誰にその実施を委ねるべきか?
管理者に渡すべきか?
もしそうなら、管理者は何千ものホスト、あるいは数万ものホストを扱うことになります。その後、次の質問が出てきます:
すべての既知の脆弱性がすべてのホストで時間通りに閉じられていることをどのように保証しますか?
脆弱性の優先順位付けと作業計画の間には直接的な関係があります。これにはまた新しい質問が続きます:
誰に優先順位の割り当てをするタスクを与えるべきですか?
もし脆弱性に自動的に優先順位を付けるなら、たとえばベンダーの推奨に従って:
すべての新しいエクスプロイトがベンダーのパッチデータベースに登録される可能性はどのくらいですか?
解決する必要のあるタスクのこの流れは、別の問題にぶつかります:会社に有能なアナリストがいるかどうかです。脆弱性を取り除く効果は、従業員の資格に直接依存します。したがって、さらに1つの質問に答える必要があります:
どのくらいのアナリストが必要ですか?
脆弱性の優先順位付け:分析者かロボットか?
脆弱性の重要度の正しい選択は、アナリストの仕事に依存しています。セキュリティアナリストは、ニュースやその他の情報源に現れるさまざまな形式的な兆候に基づいて彼の評価を行います。セキュリティのニュースや情報源は、最初に対処する必要がある問題をしばしば示します。私の意見では、アナリストは重要な脆弱性の上位層を強調するべきです。その他のすべての脆弱性は、ベンダーからの入ってくるパッチの処理中に実行されるべきです。
実際には、すべての会社で作業するのに十分な良いアナリストが不足しているため、多くの脆弱性を修正する自動化されたパッチが必要です。しかし、現時点では、ソフトウェアロボットがすべての作業を行うと言うのは時期尚早です。ベンダーが特定の脆弱性の優先順位の最初の見積もりを出します。会社固有のインフラストラクチャを考慮に入れて、ベンダーの評価を加えたり変更したりするときに、自動化の問題が出てきます。
それぞれの会社のビジネスモデルとアーキテクチャには数多くの特徴が含まれています。新しい脆弱性が現れた場合、その一般的な特徴だけに基づいて、特定の会社の環境を知らずにその優先順位を正しく評価することは不可能です。したがって、現時点で完全な自動化と人間の労働力の使用を放棄することは現実的ではありません。
ソース: https://betanews.com/2022/10/03/vulnerability-management-2023/
こちらの記事はdev.toの良い記事を日本人向けに翻訳しています。
https://dev.to/ochidnal1203/vulnerability-management-in-2023-questions-and-answers-i3i
