目次:
ビデオ: I Stole This Video From WalrusGuy Before Tabris Macbeth Did (十一月 2024)
パッチ管理は、ITの世界の炉フィルターです。 あなたはそれを更新する必要があることを知っており、定期的にそれをしなければならないことを知っています。 しかし、突然数か月遅れて、ハッカーやマルウェアに悩まされるまで延期し続けます。 プロセス全体が悪化しているのは、さまざまなパッチタスクを管理する貴重な時間が不足しているだけでなく、完全に本を手に入れるために、所有しているソフトウェアおよびオペレーティングシステム(OS)に対してこれらのパッチをテストする必要があるためです相互にインストールされます。 そして、ユーザーの要求、管理の優先事項、およびネットワークとサーバーの稼働を維持する日々の仕事の終わりのない川の間に、それらすべてを行うことになっています。 しかし、パッチ適用を軽視した人々は、全国的なニュースを引き起こし、通常はピンク色のスリップをもたらすことにつながる大規模なデータ侵害のビジネス上の終わりに巻き込まれることがよくあります。 それでは、これらすべてをどのようにパッチするのでしょうか?
そして、完全にクラウドベースになるだけで脱出できるとは思わないでください。 まず、最近では100%クラウドベースの人はほとんどいないため、ほぼ確実にデータセンターインフラストラクチャをサイトに設置できます。 さらに、OSやファームウェアのパッチ適用だけでなく、カメラ、NAS(ネットワーク接続ストレージ)デバイス、プリンターなどの「スマート」ローカル資産を必要とするクライアントデバイスの増え続けるリストから逃れることはできません。 これらはすべて最新の状態に保つ必要があるため、パッチの悪魔は何があってもあなたを見つけるようになります。
あなたが多くのマネージャーと同じなら、あなたはあなたのスタッフに最も重要なアップデートと思われるものに取り組んでもらいます。 あなたはそれらをダウンロードし、多分それらをテストし、それらを本番環境にプッシュし、そして最高のものを望みます。 通常、重要度の選択方法はさまざまな要因や個人的な好みによっても異なりますが、多くの場合、どのエクスプロイトが最も脅威となるかによって決まります。 それは現実の生活かもしれませんが、それはそれを実行するための最良の方法ではありません。
2018年のサイバーセキュリティ専門家向けのほとんどの緊急課題
優先順位付け、分類、スキャン
まず、優先順位を付けます、とKenna Securityの共同設立者兼最高技術責任者(CTO)であるEd Bellisは言います。 「絶対に優先順位を付けなければならない特定の小さなサブセットがあります」とベリスは言いました。 パッチのサブセットが何であるかを判断するには、ビジネスにとって最も重要な機能を調べてから、それらの機能に最も大きな影響を与えるパッチを調べます。
「たとえば、電子メールは重要な場合があり、重要なデバイスで構成されている場合があります」と、eCentireのワールドワイドセールスエンジニアリングのフィールドCTOおよび副社長であるSean Blenkhorn氏は説明します。 彼は、さまざまなシステムがあなたのビジネスにとってどれほど重要であるかを決定し、それらに最初に集中する必要があると言いました。 それらを「パッチ可能な」要素に分割し、そこから戦略を構築します。 この場合、サーバーファームウェア、ストレージファームウェア、サーバーのOS、電子メールサーバーソフトウェア、および関連するサーバー側のマルウェア対策/スパム対策ソフトウェア(ある場合)があります。 通常、クライアント指向のエンドポイント保護ソフトウェアは、ITが特に指定しない限り、その種のソフトウェア自体を更新するため、手動のパッチ戦略の大部分ではありません。
Blenkhornは、多くの組織が犯す間違いは、最初に脆弱性スキャナーを実行することであると述べましたが、どのシステムが最も重要かを最初に分類しなくても、脆弱性の結果のページが表示され、修正を適用するタイミングや時期がわからなくなる可能性があると述べました。
「まず分類を行い、次にスキャンを行います」とブレンホーンは言いました。 彼は、最も頻繁に使用される3つの脆弱性スキャナーはQualysまたはTenableのものであると言いましたが、他にもいくつかあると指摘しています。
彼は、スキャンする前にシステムを分類する理由は、システムの優先順位を賢明に決定できるようにするためだと言いました。 たとえば、めったに使用されないか、実際に重要なことを何もしないシステムに重大な脆弱性が見つかった場合、そのシステムを単に廃止するか、少なくとも時間を得るまでオフにするのが最善かもしれませんパッチを適用します。
不可能な夢:すべての脆弱性にパッチを当てる
最初に分類を実行することにより、組織にとって重要であり、インターネットに面している可能性があるため、脆弱性をすぐに修正する必要がある時期を知ることもできます。 おそらく、エクスプロイトのない脆弱性、インターネットに直接接続されていない脆弱性、またはその両方があるシステムへのパッチ適用を遅らせることもできます。 彼は、脆弱性があるかどうかだけでなく、エクスプロイトが存在するかどうか、そしてエクスプロイトが使用されているかどうかを判断することも重要だと言いました。
多くの場合、実世界にはエクスプロイトがないため、他のアクションに集中する方が理にかなっている可能性があるとブレンホーン氏は言いました。 脆弱性に対処する1つの方法は、Kenna Securityなどのベンダーからの専門的なサイバーセキュリティ評価レポートを調べることです。 これらのレポートは、さまざまな脅威データベースを分析し、その調査結果をレポートし、レポートのベンダーがこの問題にどのようにアプローチしたかに応じて、さまざまな要因の脆弱性を測定します。
「昨年春に発表された最初のレポートは、データベースのすべての脆弱性を調査したものです」と述べています。 Bellisによると、その分析は、実際に悪用が知られている脆弱性はほとんどないという事実に焦点を当てているため、これまでにない可能性のある脆弱性ではなく、それらに焦点を当てる方が理にかなっているということです。攻撃される。 このレポートは、ITプロフェッショナルがインストールしたインフラストラクチャについてこの決定を行うのに役立ちます。
「これらの脆弱性を技術ソースごとに分解しました」とBellis氏は説明しました。 彼は、最も重要な脆弱性は、その大規模なデータベースフットプリントのOracle、広く普及しているReaderクライアントのAdobe、Microsoft Windows 10のMicrosoft、および同様に大規模なソフトウェアプロバイダーに起因する可能性があると述べました。 しかし、彼は、これらの脆弱性の処理方法には大きな違いがある可能性があると指摘しました。
「修復率には大きな違いがあります」とベリスは言いました。 「Microsoftが、顧客が脆弱性にパッチを当てることを非常に簡単かつ操作可能にしたことが明らかになりました。OracleとJavaはその規模の反対側にあります。」
自動化されたアプローチを取る
別のアプローチは、パッチ管理の分析とスケジューリングの重要性の多くをあなたの負担から取り除く特別なソフトウェアを購入することです。 これは自動化されたアプローチです。
「IT管理者は、ネットワークに存在しないすべてのパッチのアカウントを手動で保持することはできません」とManageEngine(Zoho Corporationの一部門)のプロダクトエバンジェリストであるGiridhara Raam M氏は電子メールの交換で述べました。 「したがって、ネットワークをスキャンし、不足しているパッチを特定し、ベンダーのサイトからパッチをダウンロードし、パッチをテストし、ターゲットのマシンに時間内に展開する自動システムが必要です」と彼は続けた。 「IT管理者は、従業員の面倒を避けるために、これらの展開を営業時間外にスケジュールできる必要があります。」
ManageEngineには、LogicMonitorやMicrosoftなどの他のベンダーと同様に役立つツールがあります。 ただし、どの脆弱性に焦点を当てる必要があるかを把握するには、ネットワーク資産を分類する必要があります。
それが重要な分類です。 すべての脆弱性に一度に集中する必要はありません。 すぐに問題を引き起こす可能性が最も高いものから始めて、そこから構築するだけです。
