最近、私は脆弱性管理プログラムを成功裏に構築する方法についての3回に渡るシリーズ記事を紹介しています。
パート1で検証したステージ1は、脆弱性検査プロセスの決定でした。今回の記事では、脆弱性検査のために選択される技術を利用するなかで主となる、ステージ2 (資産の検出と一覧化) とステージ3 (脆弱性の検査) を検証します。今回のケースでは、議論はTripwire IP360に焦点を当てて行います。
ステージ2: 資産の検出と一覧化
資産の検出と一覧化はCritical Security Control(重大なセキュリティコントロール)のコントロール1とコントロール2になります。これは、情報セキュリティであるかどうかにかかわらず、あらゆるセキュリティプログラムの基礎になります。というのも、防御する側にとって、認識していないものを保護することはできないからです。
Critical Security Controlのコントロール1は、ネットワーク上のすべての正当および不正なデバイスのインベントリを作成することです。Critical Security Controlのコントロール2は、組織のネットワーク上の資産にインストールされた正当および不正なソフトウェアのインベントリを作成することです。
攻撃者は組織のネットワークに侵入するために容易に利用できるシステムを常に特定しようとしており、そのためこれら2つのコントロールは重要になります。いったん攻撃者が侵入したとすると、そのシステムに対する制御を利用して、他のシステムを攻撃し、さらなるネットワーク侵入を果たそうとします。
ネットワーク上にあるものを情報セキュリティチームが認識していることが保証されると、チームはそれらのシステムをより良好に保護でき、また、それらのシステムの所有者にガイダンスを提供でき、結果としてそれらの資産がもたらすリスクを減らすことができます。
近年では、ユーザが情報システムやセキュリティチームに通知することなく自身でシステムを導入展開しているという多くのケースが見られます。それらはテストサーバから、利便性を増すために従業員の机の下に差し込まれた無線ルータにまで渡ります。適切な資産の検出とネットワークアクセスへの制御がなければ、この種のデバイスは攻撃者にとって内部ネットワークへのたやすいゲートウェイとなり得るのです。
Tripwire IP360は、脆弱性検査(スキャン)を実施する前に、規定された範囲内の資産の検出(ディスカバリ)を行い、またそれらの明らかにされた資産上で何のアプリケーションが実行されているかも明らかにします。
ステージ3: 脆弱性検査
ネットワーク上のすべての資産が識別されると、次のステップは、各資産の脆弱性リスクの状態を特定することになります。
脆弱性は認証済みの方式あるいは、非認証の方式で特定できます。 一般的には攻撃者は認証されていない状態でシステムを覗きこむでしょう。そのため、認証クレデンシャル情報なしでのスキャンは幼稚な攻撃者と似通った視点を提供します。
この方法は、攻撃者がリモートから脆弱性を検出し、システムにより深く侵入するために利用できるきわめて高いリスクの脆弱性を特定するのに適しています。しかし、高い確率で誤検知(False Positive)が起こります。というのは、その脆弱性を利用することなく、脆弱性の存在を確認するのは困難だからです。
ずっと包括的で推奨される脆弱性スキャンの方法は、クレデンシャル情報を用いてのスキャンです。この方式は組織の脆弱性リスクの判定における精度を向上させます。資産の検出(ディスカバリ)と一覧化(インベントリ)の段階で検出されたオペレーティングシステムとインストールされているアプリケーションに固有の脆弱性用シグネチャが、どの脆弱性が存在するかを特定するために実行されます。
ローカルにインストールされているアプリケーションの脆弱性は、認証スキャンによってのみ検出できます。Tripwire IP360の認証済み脆弱性スキャンは、攻撃者が外部から認証なしで検出する脆弱性をも特定します。
脆弱性スキャナの多くは、脆弱性の状態を提供するために、単にパッチレベルまたはアプリケーションのバージョンを検査します。しかし、Tripwire IP360は、脆弱性シグネチャが、脆弱性ライブラリ、レジストリキーの除去、また対応後にシステムの再起動が行われるかどうか (それらに限定されませんが)、といった要因を判定できるので、より詳細な分析を提供できます。
今回のシリーズのパート3 - 最終回はこちらからご覧ください。
また、パート1を見逃している場合はこちらからご確認ください。
Title image courtesy of ShutterStock
元の記事はこちらからご覧いただけます。