高水準のサイバー衛生を達成するには、定期的なパッチ適用が重要であることは周知の事実です。.
それでも、パッチが適用されていない問題は、あらゆる規模の企業にとって依然として大きな問題です。. 最近の報告によると 56 報告された脆弱性の割合 内にパッチが適用されていません 90 日々.
実際には, 近年最も注目を集めている脆弱性の多くは、かなりの数の組織によってパッチが適用されていないままです。. 次のようなよく知られた問題 泣きたい と ハートブリード, ほぼ6年前に発見されました, 今日でも組織に問題を引き起こしています.
そう, なぜこれほど多くの脆弱性がパッチされていないままであるのですか?? ここでは、この理由のいくつかを見てみましょう.
複雑なビジネスインフラストラクチャの課題
システムとインフラストラクチャを最新の状態に保つことは、 優れたサイバーセキュリティ慣行. したがって、パッチが適用されていないシステムが原因で侵害に苦しんでいる組織を批判的に見るのは簡単です。. でも, 多くの企業にとって、それは指摘されるべきです, システムの保守は、修正を自動的に展開するほど簡単ではありません.
システムと問題がますます技術的で洗練されたものになるにつれて, インフラストラクチャの一部を更新すると、意図しない結果が生じる可能性があります。特に、大規模なIT資産を持つ組織の場合はそうです。. ITスタッフは、ビジネスの中断を恐れて、更新のインストールをためらうことがよくあります。. したがって、これにより、パッチが展開されるまでに長い遅延が発生する可能性があります.
例えば, 多くの更新では、システムのダウンタイムが必要です, これは、事業を営む企業にとって非現実的または困難な場合があります 24/7.
レガシーシステム
組織が古いレガシーシステムに依存していることがよくあります, 元のベンダーによって発行された更新用のパッチはもうありません.
廃止されたシステムには、いくつかの重大なセキュリティ問題があります. 特に、脆弱性がサイバー犯罪者によって確立され、悪用される可能性が高くなります。. これは、セキュリティ緩和策が存在しない可能性があるという事実によって悪化する可能性があります, これは、搾取が 成功する可能性が高い.
これらのレガシー問題にパッチを適用する方法がない場合, それらをネットワークの他の部分から分離することが可能かもしれません. 失敗する, することをお勧めします これらのレガシーシステムを監視する 積極的に優先事項として.
オープンソース技術に関する問題
多くの企業がオープンソーステクノロジーを利用しています, しかし、これはパッチ管理に関しては実際に問題になる可能性があります. オープンソーステクノロジーは, 当然のことながら, 人気があり、他の大規模なテクノロジー企業が提供するさまざまなサービスで見つけることができます; シノプシスによる監査は、 96% 一般的に使用されるアプリケーションの オープンソースコンポーネントを利用する.
オープンソースソフトウェアに脆弱性が見つかった場合, それらは非常に多くの組織に影響を与えます, 開発者は修正の発行に時間がかかる場合があります. これらが引き起こす可能性のある潜在的な問題について、ビジネスユーティリティとオープンソースコンポーネントを調査します. これらの課題に備えることで、システム違反のリスクを最小限に抑えることができます。.
シャドーIT
シャドーITは、IT部門の知識と同意なしに、従業員がソフトウェアとアプリケーションを使用することを表すために使用される用語です。. これは非常に深刻な問題を引き起こす可能性があります, 主な理由は、これらのアプリケーションが安全でないか、通常のパッチ管理プロセスに含まれていない可能性があるためです。.
ますます多くの従業員がリモートで作業したり、自分のデバイスを持ち込んだりするにつれて, シャドーITの台頭が高まる. これにより、承認されていないアプリケーションがスタッフによって利用される可能性が高くなります.
パッチ管理を改善する方法
企業は、パッチを適用する必要のあるシステムとアプリケーションを特定するために、できる限りのことを行う必要があります。. そのような, 組織は、独立したサイバーセキュリティの専門家の助けを借りて、脆弱性スキャンや侵入テストなどの評価を実行するために時間をかける必要があります.
これらの評価は、システム内で最もリスクの高い資産を特定するのに役立ちます, パッチが適用される可能性のあるシステムの部分に外部の目を提供するだけでなく. パッチ適用が不可能な場合, 廃止されたシステムなど, または困難な環境で, サイバーセキュリティの専門家は、リスクを軽減するための代替手順を提案することもできます.
著者について: チェスターエイビー
チェスターエイビーは、サイバーセキュリティおよびビジネス成長コンサルタントで10年以上の経験があります. 彼は執筆を通じて他の志を同じくする専門家と知識を共有することを楽しんでいます. チェスターがTwitterで他に何をしてきたかを調べてください: @ Chester15611376.