脆弱性の優先順位付けの定義
脆弱性の優先順位付けとは、セキュリティ オペレーションセンター(SOC)の目標である、攻撃者に悪用される可能性が最も高い脆弱性を把握するための洞察を得るプロセスです。脆弱性を発見した後、その脆弱性が攻撃者によって使用される既知の悪用方法で現在標的とされているかどうかを知ることは最重要です。
本質的に、脆弱性プライオリティ テクノロジー(VPT)は、エンドポイント資産、アプリケーション、または大規模なネットワークシステムで脆弱性の検証を行い、適切な基準とビジネスコンテキストを活用して脆弱性を正しく優先順位付けすることによって機能する必要があります。SOC は通常、脆弱性管理(VM)プログラムを実装または拡張する前に適切な基準を確立します。
その後、セキュリティ組織は、重大度と確立された脅威インテリジェンスフィードに基づいて脆弱性を検証し、優先順位を付ける必要があります。これらのフィードは、攻撃者の手法や新たな脅威が進化するにつれて、データを継続的に収集し分析し続ける必要があります。
こうすることで、脆弱性の優先順位付けと検証プロセスと同様に、脅威インテリジェンスが常に最新の状態に保たれます。脅威インテリジェンス収集を実装する一般的な方法は、攻撃者によって「現実世界で」積極的に悪用されている脆弱性のライブでキュレーションされたフィードを起動することです。
これらのフィードは通常、ネットワークの境界を超えて広がる多くのテレメトリポイントを組み合わせて、攻撃者が潜んでいる可能性のある微かな信号を探します。このテレメトリには、ハニーポットからのデータ、インシデント対応アクティビティ、信頼できる第三者からの情報などが含まれることがあります。
脆弱性プライオリティ テクノロジーの種類
Gartner社 は、2024年の脅威エクスポージャー管理ロードマップにおいて、脆弱性の優先順位付けを支援するために構築された可視性フレームワークを詳述しています。
「アクセシビリティとともに重要なのが、悪用可能なセッション、ポートや資産の可視性です。これらのテクノロジーは、悪用可能な要素の詳細が潜在的な攻撃者に漏洩しないように設定を実装しますが、悪用の可能性を完全に排除するものではありません。」
潜在的な悪用の可能性を完全に排除することはできないため、VPT はSOC が適切に優先順位付けができるよう、最もタイムリーな洞察を提供できるものである必要があります。さまざまなVPT をタイプ別に見てみましょう。
リスクベースのVPT
このタイプのVPT では通常、複数の環境要因を考慮したリスク「スコア」と、脆弱性を1~10のスケールで評価する(10が最悪)共通脆弱性スコアリング システム(CVSS)スコアが使用されます。その他の要因は次のとおりです。
- 攻撃元区分/エクスプロイトの可能性
- 脆弱性の複雑性
- 認証モード
- CIA の三要素フレームワーク(機密性、完全性、可用性)
これらの要因の組み合わせを活用して、現実を反映することが期待されるリスク スコアを算出することは、脆弱性が企業環境にとってどれほど危険または脅威となるかを判断するのに役立ちます。
資産ベースのVPT
このアプローチは通常、ビジネス運営におけるネットワーク資産の全体的な重要性を中心に展開されます。基本的に、このタイプのVPT は、資産がネットワーク資産とシステムの全体的な階層のどこに位置しているかを考慮し、ビジネスへの影響も考慮する必要があります。この情報は、特定のアセットにおける脆弱性の修正を優先する際に非常に役立ちます。
他の考慮事項としては、資産がパブリック インターネットに公開されているかどうか、または他のシステムがその資産にどの程度依存しているかが挙げられます。
コンテキスト/脅威対応型VPT
この形式の優先順位付けでは、検出された資産の性質に関する脆弱性を調べます。その資産はどのように使用されており、それが配置されているシステムはどの程度複雑または最重要でしょうか。
ある資産が機能するために必要なものは、別の資産が機能するために必要なものとはまったく異なる可能性があるため、セキュリティ組織は、どの資産が特定の瞬間に最も重要であるかを判断するためのコンテキストを必要とします。脅威を意識したこのコンテキストは、攻撃者が悪用しやすい脆弱性にチームが焦点を絞るのに役立ちます。
脆弱性を優先順位付けする方法
セキュリティ組織が脆弱性を優先順位付けするために実行する手順は、VPT の種類によって異なります。上記でいくつか説明しましたが、他にも方法論があることは確かです。
このトピックをより一般的な観点から掘り下げると、実務家は、以下のような脆弱性の評価基準のリストを作成することから、優先順位付けの脆弱性を開始することができます。
- CVSSスコア
- マルウェアのエクスポージャー、エクスプロイトのエクスポージャー、脆弱性の経過時間を考慮して
- 特有の環境における特定の資産の重要性
- 悪用の可能性
- ビジネスへの影響
- 影響を受ける資産へのアクセスのレベル
- 影響を受けた資産が適用されるコンプライアンスや規制要件にどのように影響するか
組織が独自の状況に応じて考慮すべき要素は他にもあります。
リスク スコアリングと充実化
リスク スコアに戻り、脆弱性の優先順位付けプロセスでどのように使用されているかを詳しく見ていきましょう。CVSS はリスク スコアの一要素ですが、チームがオンプレミスおよびクラウド プラットフォームからデータを集約し、拡充することも最重要です。これにより、見つけにくい脆弱性とその悪用の可能性を包括的に可視化できます。
脆弱性管理ソリューションでは、ソフトウェア製品やパッチ適用状況などの側面に関する詳細なコンテキストで侵害の兆候(IOC)を強化できる複数の脅威情報フィードを考慮する必要があります。これらすべてが、チームが優先順位付けアクションについて情報を得るのに役立ち、チームは最も重要な脆弱性に集中できます。
さらに掘り下げると、こうしたソリューションは、チームがIOC フィードを最重要デジタル資産や既知の悪質指標とコンテキスト化し、関連付けることができるものであるべきです。これにより、IOC インテリジェンスを深く充実させることができます。この幅広いコンテキストにより、運用の合理化とデータ収集の迅速化が可能になります。
IOC の充実化を使用することで、セキュリティ専門家は、攻撃者の注意を引く可能性のある脆弱性を示す悪質の指標をリスク別にランク付けし、それに基づいて優先順位付けし、ブロック、修正、または共有すべき上位のIOC を優先的に処理できます。
脆弱性の優先順位付けが重要な理由
脆弱性の優先順位付けは重要です。なぜなら、SOC の実務家は常に時間を賢く、可能な限り最も効率的な方法で割く必要があるからです。
もし、最近発見された別の脆弱性と比較して悪用される可能性が低い脆弱性に時間を費やしているのであれば、それは率直に言って時間の無駄であり、セキュリティ組織とビジネス全体をリスクにさらすことになります。
脆弱性優先順位付けの課題
上記の点を踏まえると、重大な脆弱性に対するパッチの中には比較的手軽なものもありますが、多くのデバイスでは、パッチを安全に適用する前に追加のテストとある程度の人的介入が必要です。どの脆弱性が悪用される可能性が高いかだけでなく、どの脆弱性が追加の時間を費やす価値があるかを知ることも難しい場合があります。
また、潜在的な脆弱性を日々指摘する膨大な数のアラートは、自動化されたVPT が導入されている場合でも、適切な優先順位付けの妨げとなる可能性があります。おそらく、この問題の副次的な課題は、セキュリティ組織がVPTを適切に調整し、プラットフォームが他の脆弱性よりも優先すべきと考える脆弱性を十分に検証するための適切な人材を備えているかどうかでしょう。
脆弱性の優先順位付けに関するベストプラクティス
脆弱性の優先順位付けは自動化されたソリューションであっても課題になる可能性があるという事実を強調しましたが、セキュリティチームが毎日直面する膨大な数の警告に対処するには、継続的な脆弱性スキャンと最新の脅威情報フィードという形での自動化も重要です。
上記で説明したように、チームが組織固有のリスク スコアリング手法を継続的に改善することも重要です。このプロセスの改善は、自動化に関する情報を向上させるだけでなく、セキュリティ組織外の現在のコンテキストを継続的に取り入れて、最重要の脆弱性をより迅速に特定し、パッチを適用できるようになります。
ただし、パッチの優先順位付けは、脆弱性リスク スコアを超えて拡張する必要があります。また、IT チームとセキュリティチームは、コミュニケーションとパートナーシップの実践を継続的に改善し、緊急性の高い脆弱性に対する修正作業と進捗状況を迅速に共有できるようにする必要があります。