パッチを破る大混乱: 脆弱性管理革命の到来

公開: 2023-01-24

第 1 世代のパッチ適用プロセスはひざまずいています。 従業員の満足度が低下し、以前より脆弱な Web アプリケーション セキュリティを提供してきた企業は、パッチ適用を変更する必要があるという事実についに直面しています。 インテリジェントな脆弱性管理は、DevSecOps の最大のハードルに革命をもたらしています。

ソフトウェア脆弱性管理

パッチ適用プロセスの中心に穴があります

脆弱性は、ソフトウェア開発のほとんど避けられない部分のように思える場合があります。 アジャイルコーディングが急速に登場するにつれて、セキュリティの欠陥は、私たちが日々依存しているソフトウェアの恒常的なコンポーネントになりました. これに対応して、ベンダーはギャップを埋めるために定期的にアップデートを発行しています。 これらの必要な更新プログラムを適用する (パッチ適用と呼ばれるプロセス) には、攻撃者に悪用される前にコードの脆弱な部分を切り取るという唯一の目的があります。

パッチ適用は、テクノロジ セキュリティにとって最も重要なコンポーネントとして長い間宣伝されてきました。 多くの場合、「基本を実行する」と表現されますが、広範なパッチ適用は、提供されている最も基本的なセキュリティ原則と見なされています。 これは紙の上では間違いなく正しいのですが、この原則は重要な基本的なコンテキストを無視しています。 今日の技術スタックは、非常に複雑で密に織り込まれたマイクロサービスとサポート API のウェブに発展しています。

ソフトウェア コンポーネントの数が増加するにつれて、従来のパッチ適用の需要は、即時の実装の範囲をはるかに超えて大きくなっています。 DevSecOps チームは、何エーカーものパッチ バックログに圧倒されています。

このバックログはリテンション率に混乱を引き起こし、利益がほとんどない絶え間ない闘争の環境を作り出しますが、パッチ適用プロセス自体は非常に報われない可能性があります. 時間がかかり、多額の費用がかかり、手動でパッチを実装するのは明らかに退屈で、人為的ミスが発生しやすくなります。

パッチを適用すると、重要なシステムがオフラインになる可能性があります。理想的には、実装前にテストする必要がありますが、これはバックログのブラック ホールを増やすだけです。 さらに、従来のパッチは目に見える IT 資産に対してのみ適用できます。 大規模な IT 資産全体で、正確なインベントリを維持することは、これに対する重大な障壁になる可能性があります。

サイバー脅威が指数関数的に増加する一方で、IT スタッフの不足とパッチの山積みという有毒な組み合わせが、不可能な状況を急速に生み出しています。 これに直面して、多くの DevSecOps チームは 2 つのスタンスのいずれかに縮小されました。1 つ目は、すべてにパッチを当てようと努力し続けるか、少なくとも可能な限り多くのパッチを適用しようとすることです。 2 つ目は、小規模な組織をさらに悩ませ、そのようなタスクを維持することが不可能であることに気づき、パッチ適用をほぼ完全に放棄することになりました。

どちらの戦略も機能していません。 1 つ目は、これまで以上に燃え尽きる率が高くなった理由です。なぜなら、パッチをロールインするのと同じ速さでパッチを発行することは本質的に不可能であることは明らかだからです。すべてのパッチに同じ量の TLC が与えられると、チームは多くの時間を費やすことになります。潜在的に潜在的に潜んでいるモンスターを回避することはありませんが、比較的小さな脅威で。 明らかに、2 番目の解決策もまったく実行不可能です。 しかし、膨大なToDoリストの重みが増していることを考えると、それは完全に理解できます.

チームが手を挙げてパッチ適用を完全に放棄するというのは極端に聞こえるかもしれませんが、企業は増加するランサムウェア攻撃と急上昇する仕事の不満の間に立ち往生していることに気づきます。

ソフトウェア開発者
写真提供: Christina Morillo / Pexels

脆弱性管理の変化

終わりのない脆弱性のリストをチームに突きつけることで、DevSecOps が破綻していることは明らかです。 第 1 世代の脆弱性管理は、権限を与えるはずのチームをますます圧倒しています。 したがって、完全な変更が必要です。

有望なソリューションの 1 つは、Risk Based Vulnerability Management (RBVM) です。 この革命の核心は、提案された各パッチの実装のリスクをよりよく理解し、評価することです。 このインテリジェントな形式のパッチの優先順位付けは、影響の少ない時間の浪費の帯を切り抜け、代わりに真に厄介なバグを最初に潰すことに集中するのに役立ちます。

各セキュリティ上の欠陥によって提示されるリスクのレベルは、多数の重要なデータ ポイントを介して計算されます。 まず、共通脆弱性スコアリング システム (CVSS) は、オープン ソースの識別とソフトウェアの脆弱性の重大度を確認します。 CVSS プログラム内の各脆弱性に提供されるスコアは、各欠陥の潜在的な重大度、緊急性、悪用の可能性によって計算され、0.0 から 10.0 の範囲です。 脆弱性に関するデータを収集すると、組織自身のリスクと許容範囲を評価することが不可欠になります。 統合された脅威インテリジェンスにより、潜在的な悪意のある攻撃者の標的と行動をより深く理解できます。

適切なレベルのリスク許容度を確立すると、DevSecOps チームは動的でアクセス可能な本物の脅威のリストを手渡されます。

RBVM に向けて一歩を踏み出すには、最初にアセットの発見を行う必要があります。 IT 資産の一部が影に隠れている場合、パッチの優先順位付けはそれほど効果的ではありません。高品質のセキュリティ ソリューションは、詳細な資産の検出と分類を提供します。

包括的な概要を把握したら、組織がリスクをランク付けして優先順位を付ける方法を明確に確立することが重要です。 これは、すべての関係者、特にセキュリティと IT 運用全体で同期する必要があります。そうしないと、RBVM によって指令される効率が著しく最適化されなくなります。

すべての関係者が脆弱性の優先順位付けを利用し、最も重要なものに最初に取り組むと、メンテナンス サイクルが大幅に短縮されます。 同時に、RBVM は特に自動化に適しています。 各脆弱性の自動収集、コンテキスト化、および優先順位付けにより、より迅速かつ正確な優先順位付けが可能になり、手動の場合よりも少ないリソースで済みます。

合理化された RBVM ソリューションを導入することで、DevSecOps は無限のバックログを処理するという終わりのない単調な作業から解放されます。 代わりに、これらのチームは、会社の真のセキュリティ スタンスにこれまで以上に注意を払いながら、組織に真の違いをもたらす権限を与えられています。

フェイスブック Facebookでシェア
ツイッター つぶやき
従う フォローする
ピンタレスト セーブ