Rich Campagna May 28, 20207 min read脆弱性管理 新しいタイプのセキュリティ製品が市場に出たとき、それは通常定められた「カテゴリー」に属さないものである。 しかし、時間の経過とともに、製品が広く使用されるようになり、また、新しい競合製品が出現すると、カテゴリが定義されるようになります。
課題は、このような定義が私たちの心に刻み込まれ、企業のニーズは時間とともに変化しますが、定義が変化するのはずっと遅くなることです。 このため、「次世代ファイアウォール」という、10 年間存在しているにもかかわらず、まだ次世代であるような愚かな言葉が出てくるのです。
これは、脆弱性管理や脆弱性スキャナーの場合にも当てはまります。 辞書によると、脆弱性とは、「物理的または精神的に、攻撃されたり損害を受けたりする可能性にさらされる質または状態」です。 これは非常に広い意味の言葉です。
その理由は、20 年以上前 (Google 以前を考えてみてください)、従来の脆弱性管理ベンダーがスタートしたとき、彼らはパッチの当たっていないソフトウェアと誤った設定に焦点を当て、マスコミやアナリストはこの機能を「脆弱性管理」と名付け、その 20 年後に、私たちはその定義で生活しているからです。
問題は、すべての脆弱性が、対応する CVSS スコアを持つ CVE ではないということです。
セキュリティ脆弱性の 9 つのタイプ:
- 未パッチのソフトウェア – 未パッチの脆弱性は、攻撃者が、パッチが当たっていない既知のセキュリティバグを利用して悪質なコードを実行することを可能にします。 敵対者は、パッチが適用されていないシステムを探して環境を調査し、それらを直接または間接的に攻撃しようとします。 –
- Misconfiguration – システムの誤設定 (例: 不要なサービスを実行している資産、または変更されていないデフォルトなどの脆弱な設定) は、攻撃者がネットワークに侵入するために悪用される可能性があります。
- 弱い認証情報 – 攻撃者は、辞書攻撃またはブルートフォース攻撃を使用して、弱いパスワードを推測しようとすることがあります。
- フィッシング、Web & ランサムウェア – フィッシングは、攻撃者がユーザーに不注意で悪意のあるコードを実行させ、それによってシステム、アカウント、セッションを危険にさらすために使用されるものです。
- 信頼関係 – 攻撃者は、システム間のアクセスを許可または簡略化するために設定された信頼構成(マウントされたドライブ、リモート サービスなど)を悪用して、ネットワーク全体に伝播させることが可能です。
- 認証情報の漏洩 – 攻撃者は、漏洩した認証情報を使用して、ネットワーク内のシステムへ不正にアクセスすることができます。 敵対者は、暗号化されていない、または不正に暗号化されたシステム間の通信、あるいはソフトウェアやユーザーによる安全でない処理から、何らかの方法でパスワードを傍受して抽出しようとします。 また、敵対者は、異なるシステム間でのパスワードの再利用を悪用することもあります。
- 悪意のあるインサイダー – 重要なシステムにアクセスできる可能性のある従業員やベンダーは、そのアクセスを悪用して情報を盗む、破壊する、または障害を与えることを決定することができます。 これは、特権ユーザーと重要なシステムにとって特に重要です。
- Missing/Poor Encryption – Missing/Poor Encryption に対する攻撃で、攻撃者はネットワーク内のシステム間の通信を傍受して、情報を盗むことができます。 9060>
- ゼロデイ & 未知の方法 – ゼロデイとは、敵対者が知っているが修正版がない特定のソフトウェアの脆弱性で、多くの場合、脆弱なシステムのベンダにバグが報告されていないことが原因となっています。
Balbixは、9つのクラスの脆弱性すべてを調べ、ネットワーク上のすべての資産に対して、各クラス経由で侵入される可能性を自動的かつ継続的に計算します。 その結果は、Balbix Breach Methodマトリックスにマッピングされ、リスク計算スコアの一部として使用され、チームがサイバー耐性を最大化するために実用的で優先順位をつけた洞察を提供します。