脆弱管理ソフトウェアは、このプロセスを自動化するのに役立ちます。漏洞扫描仪や時にはエンドポイントエージェントを利用して、ネットワーク上のさまざまなシステムについてインベントリ管理を行ったり、脆弱を見つけたりします。脆弱が特定されたら、リスクをさまざまな状況を考慮しながら評価する必要があります。その結果、最適な対応について決定を下すことができます。例えば、脆弱の実際の深刻さを考えた場合には、脆弱検証が効果的な方法となるかもしれません。

脆弱性管理と脆弱性評価の違いとは何か

一般来说，脆性评估は完全な脆弱管理システムの一部にあたります。組織では、脆弱管理アクションプランに関するより多くの情報を入手するために、複数の脆性评估が実施されることがよくあります。

脆弱性管理プロセスは以下の4つのステップに分けられます。

1. 脆弱的识别
2. 脆弱的评估
3. 应对脆弱
4. 脆弱报告

步骤1:识别漏洞

典型的な脆弱管理解决方案で中心となるのは漏洞扫描仪です。扫描有四个阶段。。

1. PingしたりTCP/UDPパケットを送ったりすることで、ネットワークにアクセスできるシステムをスキャンする
2. スキャンしたシステムで実行されているオープンなポートや服务を特定する
3. 可能なら、システムにリモートログインして詳細なシステム情報を収集する
4. 将系统信息与已知的脆弱相关联

漏洞扫描仪はラップトップやデスクトップ、仮想および物理サーバー、データベース、ファイアウォール、スイッチ、プリンターなど、ネットワーク上で実行されているさまざまなシステムを特定できます。特定されたシステムでは、オペレーティングシステム、オープンポート、インストールされたソフトウェア、ユーザーアカウント、ファイルシステム構成、システム構成などの属性が検査されます。その後、この情報はスキャンしたシステムを既知の脆弱と関連づけるために使用されます。この関連づけを行うために、漏洞扫描仪では公に知られた脆弱リストを含む脆弱データベースを使用します。

適切に設定された脆弱スキャンは、脆弱管理解决方案の重要な構成要素となります。時折、漏洞扫描仪がスキャンするネットワークやシステムを混乱させることがあります。組織のピーク時間中に利用可能なネットワーク帯域幅が大幅に制限される場合は、脆弱スキャンはオフピークの時間帯に実行する必要があります。

スキャンする際に、ネットワーク上のシステムが不安定になったり、誤作動を起こしたりする場合、脆弱スキャンから除外したり、スキャンによる混乱を少なくするために微調整したりする必要があるかもしれません。适应性扫描は、ネットワークの変化に基づいて脆弱スキャンをさらに自動化し、合理化するための新しいアプローチです。例えば、新しいシステムが初めてネットワークに接続された場合、漏洞扫描仪は週に1回、または月に1回実施されるネットワーク全体のスキャンを待つのではなく、できるだけ早くそのシステムをスキャンします。

漏洞扫描仪はシステムの脆弱データを収集する唯一の方法ではありません。エンドポイントエージェントで脆弱管理解决方案を利用して、ネットワークスキャンを実行せずにシステムから脆弱データを継続的に収集することが可能です。この方法は、従業員のラップトップが組織のネットワークに接続されているか、従業員のホームネットワークに接続されているかに関わらず、組織のシステムの脆弱データを常に最新の状態に維持するのに役立ちます。

脆弱管理解决方案がこれらのデータをどのように収集しているかに関係なく、さまざまなオーディエンス向けのレポート、指標、ダッシュボードの作成に利用できます。

步骤2:评估脆弱

脆弱を特定した後は、それらを評価し、リスクが適切に組織のリスク管理戦略に従って処理されるようにする必要があります。脆弱管理解决方案では、共通脆弱スコアリングシステム（CVSS：Common Vulnerability Scoring System）スコアなど、脆弱に関するさまざまなリスク評価やスコアを提供しています。こうしたスコアは、最初に焦点を当てるべき脆弱について組織に伝える上で役に立ちますが、脆弱によってもたらされる実際のリスクはこうした手っ取り早いリスク評価やスコアでは評価できない要因によるものです。

以下は脆弱を評価する際に考慮すべき付加的要因の例です。

• この脆弱は正しく検知されたものか、または誤検知か？
• インターネットから直接、この脆弱を悪用できる人物がいるか？
• この脆弱を悪用する際の難易度はどれくらいか？
• この脆弱に関して既知の、公開されたエクスプロイトコードがあるか？
• この脆弱が悪用された場合、ビジネスにどのような影響があるか？
• この脆弱が悪用される可能性やその影響を緩和するような、他のセキュリティ管理手法があるか？
• その脆弱が存在するようになってどのくらい経過しているか？　また、ネットワーク上ではどのくらい経過しているか？

セキュリティツールと同様に、漏洞扫描仪も完璧ではありません。脆弱検知の誤差率は低いものの、まだゼロではありません。入侵测试工具とテクニックを使用して脆弱検証を行うことが誤検知の防止に役立ち、組織は実際の脆弱への対処に集中することができます。脆弱の検証演習や本格的な侵入テストの結果は、自らは十分に安全であるとか、対象である脆弱は那么危険ではないと考えている組織にとって、驚くような経験になる場合も少なくありません。

步骤3:应对漏洞

脆弱が検証され、リスクであるとみなされた場合、次のステップは元の関係者とともに、ビジネスやネットワークに対するその脆弱にどのように対応するかについての優先順位を付けることです。应对脆弱には以下のようなさまざまな方法があります。

• 修正：脆弱を完全に修正するかパッチを当てることで、悪用できないようにします。これは組織が目指す理想的な対応オプションです。
• 緩和：脆弱が悪用される可能性やその影響を軽減します。特定された脆弱に対して適切な修正やパッチが利用できない状況で、必要になる場合があります。このオプションは、最終的に脆弱を修正するまで、組織が時間を稼ぐために使用するのが理想的です。
• 受容：脆弱が悪用される可能性に対して、またその影響を軽減するために修正や緩和を行いません。この方法は通常、脆弱が低リスクであるとみなされ、悪用された場合に組織が負担するコストよりも修正コストの方がはるかに大きくなる場合に正当化されます。

脆弱管理解决方案は、脆弱に対して推奨される修正手法を提供します。推奨されている修正手法が脆弱の最適な修正方法ではない場合もまれにありますが、その場合は、組織のセキュリティチーム、システム所有者、システム管理者が適切な修正アプローチを決定する必要があります。修正は、即入手可能なソフトウェアパッチを適用するだけ、という簡単な場合もあれば、組織のネットワーク全体の物理サーバーを置き換えなければならないほど複雑である場合もあります。

修正作業が完了したら、別の脆弱スキャンを実行して脆弱が完全に解決されていることを確認するのが最善です。

ただし、すべての脆弱を修正する必要はありません。例えば、組織の漏洞扫描仪がコンピューター上のAdobe Flash Playerで脆弱を特定したものの、Webブラウザや其他のクライアントアプリケーションで使用できないようにAdobe Flash Playerを完全に無効にしている場合などには、この脆弱は補完制御によって十分に緩和されていると見なすことができます。

步骤4:漏洞报告

定期的、持续的脆性评估を行うことで、組織は長期にわたる脆弱管理プログラムのスピードと効率性を把握することができます。脆弱管理解决方案には通常、多様なカスタマイズ可能なレポートやダッシュボードを利用して脆弱スキャンデータをエクスポートしたり可視化したりするためのさまざまなオプションがあります。これにより、ITチームが最も少ない作業量で大半の脆弱を修正できる手法を容易に把握したり、セキュリティチームがネットワーク内のさまざまな場所で長期にわたる脆弱のトレンドを監視したりするのに役立つだけでなく、組織の遵守有关合规和规章制度的要求也支持。。

通过漏洞管理抢占攻击者的先机

組織が常に新しいモバイルデバイス、クラウド服务、ネットワーク、アプリケーションをその環境に追加しているのと同様に、脅威や攻撃者も常に変化しています。すべての変化には、ネットワークに新しい「穴」が開き、攻撃者が侵入して組織の最も重要な資産を持って出て行けるようになるというリスクが伴います。

新しいアフィリエイトパートナー、従業員、クライアント、顧客を得るたびに組織に新しい機会が開けますが、それは新しい脅威に晒されることも意味します。そうした脅威から組織を守るには、すべての変化に合わせて適応できる脆弱管理解决方案が必要です。それがなければ、攻撃者の方が常に一歩先を進むことになるでしょう。

漏洞利用，威胁

漏洞管理程序的框架