エンタープライズネットワークは、デバイス、ソフトウェアインストール、ファイルコンテンツの変更を定期的に確認します。 これらの変更は、企業内のリスクを引き起こす可能性があります。 幸い、企業は基本的なセキュリティ制御を実装することでこのリスクを軽減することができます。
たとえば、企業ではファイルの整合性監視(FIM)を使用して重要なファイルの変更を監視できます。 このセキュリティ対策により、ITセキュリティチームは、ファイルの変更時期、変更方法、変更者、変更が許可されていない場合の修復方法を判断することができます。
企業内では、新しい物理的および仮想的なデバイスの追加によって潜在的に導入される脆弱性を監視するために、基盤コントロールを使用することもできます。リスクの正確な評価を取得し、セキュリティ上の脅威を最小限に抑え、コンプライアンスを維持するために、企業は脆弱性管理に目を向けるべきです。
効果的な脆弱性管理プログラムには4つの段階があります:
企業は、IT資産のどれを保護する必要があるかを判断することなく、リスクを適切に管理することはできません。セキュリティを管轄する組織では、より高い機密資産、ユーザーアクセス、システム可用性への物理的または論理的な接続などの要因を活用して、資産のリスク要因を確認する必要があります。 その後、各アセットの所有者を特定し、スキャン頻度を設定する必要があります(インターネットセキュリティセンターでは少なくとも毎週の頻度を推奨しています)、修復のためのタイムラインとしきい値を設定します。
企業が脆弱性スキャンプロセスを開発したら、企業はそのプロセスに従う資産を決定する必要があります。 彼らは資産調査(別の基本的なコントロール)を徹底し、企業ネットワークにインストールされたすべてのハードウェアとソフトウェアのインベントリを確認する必要があります。 そのインベントリには、承認されたデバイス/ソフトウェアのみが含まれている必要があり、これにより、セキュリティチームは承認されたデバイス/ソフトウェアのアクセスとインストール/実行を承認することができます。
また、他のアセットとの接続、構成、保守および交換スケジュール、ソフトウェアのインストール、使用法など、より詳細な情報も記録する必要があります。
脆弱性管理プログラムの次のステップは、企業のインベントリに記録されている資産に脆弱性スキャンプロセスを適用することです。 この手順は、一般的に、自動脆弱性スキャンの形をとります。 完了すると、特定の発見された資産の弱点を明らかにする可能性があります。
スキャンで脆弱性が検出された場合、その弱点を報告し修復するのはセキュリティ管轄組織の責任です。 効果的な報告と修復には、通常発見されたすべての脆弱性に優先順位を付け、それらのランキングに基づいてパッチのスケジュールを作成することが含まれます。 完全な修正が利用できない場合、セキュリティチームはパッチが適用されていない脆弱性によるリスクを軽減するための回避策があるかどうかを調査する必要があります。
しかし、企業はそこで停止する必要はありません。 追加機能を備えたツールに投資することで、脆弱性管理プログラムの有効性を高めることができます。
考慮するアドオン機能には、次のものがあります。
Tripwireには、Tripwire IP360の次のような利点がすべて備わっています。 既存のツールやシステムと統合することで、企業内がすべての資産を発見し、脆弱性の優先順位を決め、手作業を最小限に抑えることができます。 Tripwire IP360には、最上位のリスクを識別する高度な脆弱性スコアリングも装備されています。