2022 年に国立標準技術研究所は次のように報告しました。 23,000 を超える新たな脆弱性、XNUMX暦年以内にこれまでに記録された最大のスパイク。 驚くべきことに、この上昇傾向は今後も続くと予想されており、最近の研究では次のことが示唆されています。 1,900 を超える新たな共通脆弱性およびエクスポージャー (CVE) が発生する可能性があります。 月額 今年の平均では、270 件が高重大度と評価され、155 件が重大度として評価されました。
CISO とセキュリティ チームがセキュリティ予算の削減とサイバー人材の恒常的な不足に取り組んでいる中、毎年のように新たな脆弱性が押し寄せるこのまさしく大波にパッチを当てることは、まったく達成不可能でばかばかしい仕事となっています。
何十万もの登録された CVE のうち、 2% ~ 7% が実際に悪用されているのが確認されています。 したがって、何も考えずにパッチを適用しても、実りある活動になることはほとんどありません。 攻撃対象領域が拡大したことで、脅威の状況は私たちがよく扱うほどサイロ化されなくなりました。 重要な資産につながることはほとんどないため、攻撃者は個々の脆弱性に対して攻撃を実行しません。 ほとんどの場合、脆弱性は危険にさらされることと同等ではなく、組織システムへの侵入を狙う攻撃者にとっては十分な利益をもたらしません。
悪意のある攻撃者は、脆弱性に集中するのではなく、資格情報や構成ミスなどの暴露を組み合わせて利用し、重要な資産を慎重に攻撃し、企業データを盗んでいます。 組織が最も懸念すべき、顕著でありながらも見落とされがちなエクスポージャーのいくつかを見てみましょう。
廃棄される環境: オンプレミス
堅牢なクラウド保護の必要性を否定することはできませんが、過去 XNUMX 年間のクラウド保護の優位性により、多くの人が効果的で機敏なオンプレミス制御の構築への投資を見逃してきました。 誤解しないでください。悪意のある攻撃者は、クラウド環境にある場合でも、オンプレミスのエクスポージャーを積極的に悪用し、重要な資産やシステムにアクセスし続けます。
今年初め、マイクロソフト ユーザーにオンプレミスの Exchange サーバーを保護するよう促した ソフトウェア内のセキュリティ上の欠陥がシステムへのハッキングのために武器化されたいくつかの事例への対応として。 クラウド セキュリティに注目するあまり、多くの組織はハイブリッド攻撃対象領域と、攻撃者が XNUMX つの環境間をどのように移動できるかについて盲目になってしまいました。
過度に寛容なアイデンティティ、特権アクセス
利便性を考慮して、クラウド ユーザー、ロール、サービス アカウントは過剰な権限を付与し続けています。 これにより、管理が容易になり、さまざまな環境へのアクセスを絶えず要求する従業員に対処する必要がなくなりますが、攻撃者が防御の最初の層を突破した後に足場と攻撃経路を拡大することも可能になります。
バランスを取る必要があります なぜなら、現在、多くの組織にはアイデンティティに関する強力なガバナンスが欠如しており、その結果、タスクを実行するためにそのような能力を必要としない人々が過剰にアクセスすることになっているからです。
ハイブリッド環境やマルチクラウド環境では ID の保護は非常に複雑ですが、すべてのユーザーが特権ユーザーであるという哲学に基づいて運用すると、横方向への広がりを止めるのがはるかに困難になります。 また、小規模な攻撃が発生するか、被害を食い止めようとする数週間にわたるプロジェクトの違いになる可能性もあります。 当社の最近の調査では、上位の攻撃手法の 73% に、認証情報の管理ミスや盗難が含まれていることがわかりました。
人間のグリッチ
最もよくある、しかし有害な間違いの XNUMX つである、セキュリティ管理の不適切な展開と使用を忘れないでください。 投資を行うのはあなたですが、確実に利益を得る必要もあります。 広く伝えられている問題にもかかわらず、 セキュリティ制御の設定ミス は依然として非常に蔓延しています。 脅威の検出と対応、またはエンドポイント ソリューションはそもそも完璧なものはありませんが、その多くは構成が間違っていたり、環境全体に展開されていなかったり、展開されていても非アクティブだったりします。
私たちはハイパービジビリティの世界で活動しており、診断疲れが蔓延しており、セキュリティ チームは無害で無関係な脆弱性をあまりにも多く抱えています。 CISO とセキュリティ チームは、すべてを把握しようと努めているようです。 しかし、CVSS やその他のスコアリング メカニズムに基づいて優先順位を付けられたエクスポージャーと技術的弱点の膨大なリストが組織の安全性を高めるわけではありません。 重要なのは、何が重要かを見極め、良性の海の中で重要なものを失わないことです。
修正しようとするのではなく すべてのもの、組織はチョークポイント、つまり攻撃経路上でエクスポージャが集中する領域を特定するために取り組む必要があります。 これを行うには、暴露状況を入念に評価し、攻撃者が環境内をどのように移動して重要な資産に到達するかを把握する必要があります。 これらの問題点が特定され、修復されると、他の危険性は無関係になり、膨大な時間を節約するだけでなく、潜在的にセキュリティ チームの健全性も保つことができます。
さらに、これにより、IT チームが特定のパッチの重要性を明確に把握できるようになり、時間を無駄にしていると感じることがなくなるため、IT チームを動員するという追加の利点も得られます。
脅威の状況を先取りする
ヘンリー・フォードがかつて言ったように、「いつもやってきたことをいつもやっていれば、いつも得ていたものは必ず得られる。」 ほとんどの組織は強力な脆弱性管理プログラムを導入していますが、脆弱性はリスクのほんの一部にすぎません。
不安定な脅威の状況を先取りするには、継続的な暴露管理メカニズムが必要です。 どのエクスポージャが組織や重要な資産に最も大きなリスクをもたらすのか、そして攻撃者がこれらのエクスポージャを攻撃経路上でどのように利用するのかを理解することは、ギャップを埋めて全体的なセキュリティ体制を改善するのに大きく役立ちます。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/vulnerabilities-threats/beyond-cves-the-key-to-mitigating-high-risk-security-exposures
- :持っている
- :は
- 000
- 1
- 2022
- 7
- a
- 能力
- 私たちについて
- アクセス
- アカウント
- 越えて
- 積極的に
- アクティビティ
- 俳優
- 追加されました
- 後
- 使い勝手のいい
- 先んじて
- すべて
- ことができます
- 常に
- 量
- および
- 予期された
- です
- エリア
- AS
- 資産
- 攻撃
- 平均
- ベース
- BE
- なぜなら
- になる
- 始まる
- さ
- 恩恵
- 利点
- の間に
- 越えて
- 予算
- 建物
- 防弾の
- カレンダー
- 缶
- 生じました
- 一定
- クリア
- クラウド
- クラウドセキュリティ
- 組み合わせ
- コマンドと
- 一般に
- 会社
- 複雑な
- 心配
- 絶えず
- 含む
- 続ける
- コントロール
- controls
- 利便性
- 収束する
- 可能性
- クレデンシャル
- Credentials
- 重大な
- サイバー
- データ
- 取引
- 十年
- 防衛
- 展開
- 展開
- にもかかわらず
- 検出
- 違い
- すること
- 支配
- 容易
- 効果的な
- 社員
- エンドポイント
- 巨大な
- 十分な
- 確保
- 全体
- 環境
- 環境
- 評価
- さらに
- EVER
- あらゆる
- すべてのもの
- 交換
- 実行
- 詳細
- 拡大
- 悪用する
- 搾取
- 探る
- 暴露
- 疲労
- 名
- 修正する
- 欠陥
- フォーカス
- フォード
- 利得
- 取得する
- 与える
- ガバナンス
- 助成金
- ハック
- 持ってる
- 持って
- 助けます
- ヘンリー
- リスクが高い
- 非常に
- 認定条件
- HTML
- HTTPS
- 人間
- 何百
- ハイブリッド
- 特定され
- 識別する
- アイデンティティ
- アイデンティティ
- 重要
- 改善します
- in
- 非アクティブな
- 含めて
- 個人
- 機関
- 投資
- 巻き込む
- 問題
- IT
- ITS
- JPG
- キー
- 欠如
- 風景
- 最大の
- 層
- リード
- 活用します
- 活用
- リスト
- 長い
- より長いです
- 探して
- 失う
- make
- 作る
- 管理します
- 管理
- 多くの
- 五月..
- Microsoft
- マインド
- マイナー
- ミス
- ミス
- 緩和する
- 他には?
- 最も
- 国民
- ナビゲート
- 必要
- 新作
- ニスト
- of
- on
- ONE
- 継続
- オペレーティング
- 組織
- 組織の
- 組織
- その他
- 私たちの
- が
- 全体
- 過去
- パッチ
- 補修
- path
- 実行する
- パーミッション
- パーペチュアル
- 哲学
- 場所
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プラグ
- ポイント
- :
- 現在
- 流行している
- 優先順位付けされた
- 特権を持つ
- プログラム
- プロジェクト
- 著名な
- クエスト
- RE
- リーチ
- 最近
- 記録された
- 電話代などの費用を削減
- 登録された
- 関係
- 報告
- 必要とする
- 必要
- 研究
- 応答
- 結果として
- 報われる
- リスク
- 堅牢な
- 役割
- s
- より安全な
- 前記
- 節約
- 希少性
- 得点
- SEA
- 安全に
- 確保する
- セキュリティ
- サーバー
- サービス
- いくつかの
- すべき
- 意義
- 著しく
- 単に
- 小さい
- ソフトウェア
- 溶液
- 一部
- スパイク
- 広がる
- 規格
- まだ
- 盗まれました
- Force Stop
- 強い
- 首尾よく
- そのような
- 表面
- システム
- 才能
- 仕事
- タスク
- チーム
- チーム
- 技術的
- テクニック
- テクノロジー
- それ
- アプリ環境に合わせて
- それら
- ボーマン
- 物事
- 今年
- 数千
- 脅威
- 介して
- 時間
- 〜へ
- あまりに
- top
- 治療する
- トレンド
- 理解する
- 上向きに
- us
- ユーザー
- users
- さまざまな
- Ve
- 詳しく見る
- 脆弱性
- 脆弱性
- ウェーブ
- WELL
- この試験は
- 何ですか
- which
- while
- 誰
- 広く
- 意志
- 以内
- 仕事
- 世界
- 年
- You
- あなたの
- ゼファーネット