脆弱性評価は、セキュリティ脆弱性評価とも呼ばれ、ITおよびハイブリッド環境内の脆弱性関連リスクを総合的に評価します。 クラウド環境の場合、脆弱性評価は、AIワークロード、VM、コンテナ、データベース、PaaSサービス、データなどの資産を対象とします。
これを読んでいる間には、クラウド環境に静かにネストされている可能性のある脆弱性が何万もあります。 (ここは 最近の例です。 これには以下が含まれます 設定ミス, シャドーIT、不十分なアクセス制御、不完全な可視性、安全でないAPI、ネットワークへの露出など。 脆弱性はいたるところにあります。 怖いでしょ?
幸いなことに、すべての脆弱性が同じように危険であるわけではありません。 実際、それらのいくつかはあなたの会社にとってまったく重要ではないかもしれません。 これが、今日の脆弱性管理と評価における最大の頭痛の種であり、アラートが多すぎてノイズが多すぎるため、CloudSec、脆弱性アナリスト、 SOC チーム. アラートが多すぎると問題になるのは、ビジネスにとって実際に危険な脆弱性が長いリストに埋もれてしまうことです。
そのため、このブログ記事では、クラウド向けに構築された重大な脆弱性を見つけて修正するのに役立つ脆弱性評価について見ていきます。
The Vulnerability Management Buyer's Guide
Download this guide to get a RFP template to help you evaluate your vulnerability management vendor.
Download Now
脆弱性評価の実施方法
ここでは、脆弱性評価を実施するための実用的なステップバイステップのガイドをご紹介します。 ここでの焦点は、ノイズをカットして、実際に重要なビジネスクリティカルなリスクや脆弱性を特定することであることを忘れないでください。
ステップ 1: 基礎を築く
優れた脆弱性評価を実施したい場合は、少しの準備と戦略の策定から始める必要があります。 そうしないと、脆弱性評価が、開発とITの成長する利害関係者の間で明確さと焦点を欠く可能性があります。
ここでは、強固な基盤を築くための簡単な方法をいくつか紹介します。
脆弱性評価の主な目的を挙げる。
CSP、クラウドサービス、および 責任共有モデル コードからクラウドへ。
クラウドのコンプライアンス義務を再確認してください。
最も重要な(ビジネスクリティカルな)データをメモします。
他のチームと協力して、評価と修復の協力を強化します。
評価に適したツールとフレームワークを選択します (これについては後ほど詳しく説明します)。
ステップ 2: 包括的なアセット インベントリを作成する
クラウド環境におけるすべての重大な脆弱性を発見するには、自分がどのような資産を持っているかを知らなければなりません。 まず、データベースやコンテナからVMやアプライアンスまで、クラウド資産の完全なインベントリを構築します。 また、資産在庫を常に最新の状態に保つためのプロセスを開発します。 最後に、すべてのユーザー(人間とマシン)、エンドポイント、依存関係、API、ネットワークを考慮してください。 このプロセスでは、一見重要でないクラウド資産でさえ、機密データへの攻撃パスを持つ可能性があるため、あらゆる手段を講じてください。
During this step, remember two things:
Cover your AI infrastructure and assets because they can be full of vulnerabilities.
Map your software development lifecycles because it’s important to discover and fix vulnerabilities during development and develop a strong application security posture.
ステップ 3: 脆弱性を定期的にスキャンし、可能な場合は自動化する
クラウド環境の全体像が明確になったところで、次は脆弱性が潜んでいる場所に焦点を当てます。 まず、脆弱性評価ツールのパラメーターを設定して、評価の範囲を設定します。 (プロのヒント:デフォルト設定は絶対に使用しないでください! パラメータとは、アクティブやパッシブなど、使用している手法をいじくり回したい場合があることを意味します 脆弱性スキャン、およびそれに応じてスキャンを自動化して時間を節約します。 特定のアセットまたは IP アドレスのセットを含めて、独自のフィルターやクエリをスキャンして開発することができます。
次に、脆弱性スキャンツールを開始します。 データベースの脆弱性スキャン、ネットワーク脆弱性スキャン、および Web アプリケーションの脆弱性スキャンのためのツールがあることを確認します。 また、脆弱性評価ツールとスキャナーが、複数のよく知られた脆弱性データベースとカタログに基づいて機能を備えていることを確認してください。 の線に沿って考えてください CISA KEVカタログ、NISTの NVDの、および MITRE ATTの&CKナレッジベース.
場合によっては、脆弱性スキャンをより具体的な侵入テストでサポートしたい場合があります。 これらのテストは、クラウドの複雑な脆弱性や隠れた脆弱性を取り除くのに役立ちます。
脆弱性評価と侵入テストの比較
脆弱性評価は、リスクと弱点をより包括的かつ高レベルで評価するものですが、ペネトレーションテストは、非常に特定のコンポーネントや状況に焦点を合わせます。 両方を使用して、すべてのベースをカバーすることもできます。
環境内の脆弱性を検出し、攻撃対象領域をマッピングする脆弱性評価とは異なり、侵入テストでは実際の攻撃をシミュレートして、特定の弱点と攻撃ベクトル (侵入経路) を明らかにします。 ペネトレーションテストは、脆弱性評価を締めくくるのに適した方法です。
ステップ 4: 脆弱性に優先順位を付ける
脆弱性スキャンによって、環境内の脆弱性の長いリストが明らかになる場合がありますが、前述のことを覚えておいてください。 発見したすべての脆弱性を一掃するリソースを持つ企業はないため、リスクレベルが高いものから低いものまでに基づいて脆弱性の優先順位付けを開始する必要があります。
「高リスク」は組織によって意味が異なるため、PHI、PCI、PII、企業秘密などの機密データにつながる可能性のあるリスクに焦点を当てます。 さらに、深刻度、悪用可能性、爆発半径、所有権、侵害された資産がミッションに不可欠なものかどうかなどの要素を考慮します。 ここでは、役立つ公開リソースと基準をいくつか紹介します。
共通脆弱性評価システム(CVSS): 脆弱性の深刻度を評価します
エクスプロイト予測スコアリングシステム(EPSS): 脆弱性が悪用される可能性を評価
ステップ 5: 脆弱性を分析し、修復戦略を策定する
修復は技術的には脆弱性評価の一部ではありませんが、発見された脆弱性を修正する方法の計画を開始することが重要です。 これまで見てきたように、最も重要な脆弱性から始める必要があります。 各脆弱性の深刻度を調査し、ビジネスクリティカルなインフラストラクチャへの影響を理解します。 CloudSecチームの作業を容易にするために、このステップで誤検知を排除します。
重大な脆弱性ごとに、実行可能な修復オプションが利用可能であることを確認します。 これには、古いアプリケーションへのパッチ適用、誤って構成されたリソースの設定の変更、アクセス許可の適切なサイズ設定が含まれる場合があります。
CloudSecチームが重大な脆弱性の修復を開始すると、その後の脆弱性スキャンを実施して修復を検証することが重要です。 修復中に新しい脆弱性が持ち込まれる可能性があるため、それらを早期に発見することが重要です。
ステップ 6: 報告、評価、改善する
プロセスの最終段階に到達しました。 最後に、脆弱性評価のすべてのドキュメントをまとめる方法をご紹介します。 脆弱性管理ツールは、監査、脅威インテリジェンス、コンプライアンスの目的にとって非常に重要であるため、包括的なレポートを生成するために使用します。 また、他のクラウドセキュリティプラクティスと同様に、脆弱性評価プロセスを継続的に繰り返す必要があります。 クラウドの脆弱性管理には、常に改善の余地があります。
脆弱性評価ツール
どの脆弱性評価ツールを使用すべきか迷っていますか? ここでは、その15をご紹介します。
OpenVASの オープンソースの脆弱性スキャンツール
エアクラック-NG: ネットワークの脆弱性を発見するスイート
Nmapの ネットワークの脆弱性を発見するスキャナー
マスカン: ネットワークの脆弱性を発見するための別のスキャナー
クレア: コンテナ脆弱性スキャナー
ワピティ: Webアプリケーション中心の脆弱性スキャナー
ニクト: Web サーバーの脆弱性スキャナー
sqlmap: 侵入テストツール
アラクニ: Web アプリの脆弱性スキャナー
キックス: コード脆弱性スキャナー
リニス: エンドポイント脆弱性スキャナー
Amazon インスペクター: AWS ワークロード脆弱性スキャナー
SecuBatの場合: Web 脆弱性スキャナー
Retire.js: JavaScript 脆弱性スキャナー
W3AFの Web アプリケーションの脆弱性スキャナー
これらの脆弱性評価ツールやその他のツールの詳細については、次のブログ投稿をご覧ください。 OSS脆弱性管理ツール そして OSS脆弱性スキャナー.
脆弱性評価テンプレート
以下は、評価中に検出される実際の脆弱性の種類をカバーする便利なセキュリティ脆弱性評価テンプレートの例です。 この脆弱性評価テンプレートでは、Wizの脆弱性管理の素晴らしさを垣間見ることができます。
では、準備フェーズを勢いよく完了し、アセットディスカバリープロセスに取り組んでいると仮定しましょう。 Wiz をデプロイすると、次のように、IT 資産とクラウド資産の完全なインベントリを取得できます。
次に、これらのリソースをスキャンして、気付かれずに蔓延している脆弱性を見つけます。 Wizでは、次のように表示されます。
ご覧のとおり、Wizは脆弱性を発見し、攻撃パスの順列、PIIへの露出、過剰な管理者権限などから導き出されるリスクの「有毒な組み合わせ」と呼ばれる組織固有のリスク要因に基づいて優先順位を付けます。
重大な脆弱性関連のリスクの例としては、次のようなものがあります。
公開されている VM
公開されている API
Docker の重大な認証バイパスの脆弱性
設定ミスのあるデータベースが機密性の高いPIIでいっぱい
これらの脆弱性のすべてについて、Wizは強力な修復ガイダンスを提供しますが、必要に応じて修正をカスタマイズすることもできます。 図5で強調されているように、新しいバージョンへの単純な更新が、重大な脆弱性を安全な資産に変えることがあります。
最後に、環境を再スキャンし、修正を検証し、脆弱性評価をより効果的かつ包括的にする方法に取り組みます。 このアプローチにより、コードからクラウドへのパイプライン全体で脆弱性を検出、評価、修復できます。
Wizが脆弱性評価をどのようにサポートできるか
脆弱性評価を行うための強力なクラウドネイティブツールが必要な場合は、Wiz以外に探す必要はありません。 40+のオペレーティングシステムで120,000以上の脆弱性をサポートし、Wizは世界を活用しています'の最高のクラウド脆弱性カタログを作成し、それらを脅威インテリジェンスフィードやWizの調査と組み合わせて、ビジネスへの影響に基づいて隠れた(または優先順位の低い脆弱性)を明らかにします。
エージェントレスのデプロイとコンテキストベースの優先順位付けにより、Wizはアラート疲れを過去のものにします。 Wizは、企業のリスク要因に基づいて重要な問題に焦点を当てることで、印象的なMTTRで最も強力なリスクを見つけて解決するのに役立ちます。 コードからクラウドまで、Wizの 脆弱性管理 能力はまさに次のレベルです。
デモを依頼する 次に、Wiz が脆弱性管理の実施にどのように役立つかをご覧ください ベストプラクティス また、クラウドを安全に保つために、他に類を見ないセキュリティ脆弱性評価を実施します。
Uncover Vulnerabilities Across Your Clouds and Workloads
Learn why CISOs at the fastest growing companies choose Wiz to secure their cloud environments.
