Centripetal、Chief Privacy Officer Magazineで見解を提供
2019年5月11日
著者 Lauren Farrell
米国の連邦政府機関は現在、最も深刻な脆弱性に半分の時間でパッチを適用することが求められています。国土安全保障省 (DHS) からの新しいサイバー セキュリティ指令により、脅威アクターや一部の著名人による活動の増加に直面してサイバー セキュリティを強化する目的で、「緊急」と評価された脆弱性へのパッチの必須期間が 30 暦日から 15 暦日に短縮されました。
専門家による以下のコメント:
Colin Little 氏、Centripetal Networks シニア脅威アナリスト:
連邦政府の新しいサイバーセキュリティ指令は、独立系企業が脆弱性にパッチを適用する方法についての良い尺度として実際には機能しません。 Centripetal の上級脅威アナリストである Colin Little 氏は次のように指摘しています。 「新しい重大な脆弱性が公表され、そのリリースから数時間以内に、関連するサービスのスキャンがインターネットに溢れかえる状況を私たちは何度も見てきました。ネットワーク所有者は、自分たちに影響を与える新しい重大な脆弱性が公開されたとき、緊急事態とは一段階離れていることを認識する必要があります。これらの同じネットワーク所有者は、可能な限り緊急に対応するために、システム所有者によって採用され、変更管理手順に組み込まれるメカニズムを切実に必要としています。そのようなプロセスでは、脆弱性があたかも脆弱性であるかのように扱われてしまいます。」システム侵害の実際の緊急事態を回避するには、バックアップ手順やシステムへのパッチ適用に関連するその他のリスク軽減戦略を完了する必要があります。 「ネットワーク所有者は、悪意のある攻撃者が公開サービスに対してすでに偵察を行っている可能性が高く、新しい重大な脆弱性が発見されたときに、そのサービスやテクノロジーが存在することを特定したターゲットのリストをすでに持っていることを知っておくとよいでしょう。公共向けサービスの脆弱性スキャンを行うことは基本ですが、これに加えて、ネットワーク所有者は、公共向けインフラストラクチャに対するアクティブな攻撃を通知してブロックするサービスの恩恵を受けることになります。」 しかし、多くの企業がこれらの連邦機関の一部と同じような状況に陥ることになるのは厳然たる事実です。置き換えることのできないレガシー システムが存在していたり、継続的なセキュリティ パッチによって予期せず何らかの形でひっくり返される恐れのある脆弱なパッチワークが導入されている可能性があります。そして、おそらく予算上の理由や業界特有のニーズのため、既存のシステムを完全にアップグレードしたり置き換えたりすることはまったく考えられていません。 Little 氏が指摘するように、もう 1 つの厳然たる事実は、多くの場合、15 営業日では重大な脆弱性にパッチを適用するのに十分な応答時間ではないということです。これは、新たな(「ゼロデイ」)脅威の場合に特に当てはまります。少なくとも、適切な緊急バックアップおよび復元システムが絶対に必要です。英国および英国での報道機関からのお問い合わせについては、アイルランドの連絡先:
ジーナ・ブラッキー
gina@nurturepublicrelations.com
+44 777 5521487
迫り来る脅威を知る。 次の脅威を止める。
脅威に関する専門家の情報に登録して、脅威がファイアウォールに到達する前に、Centripetal がサイバー防御をどのように再定義しているかを確認してください。
あなたの組織にふさわしいサイバー犯罪の防壁
当社のセキュリティ チームによるカスタム デモンストレーションにご登録ください。当社が優秀な人材と最も完全な脅威インテリジェンスのコレクションを結集して、驚くべきレベルの安心感を提供する方法を説明します。