>> サイバーニュース > 違反について説教する: CVEとインシデント対応
サイバーニュース

違反について説教する: CVEとインシデント対応

脆弱性, ベンダーと企業. 3つの言葉はしばしば一緒になります, すべての関係するサイトの恐怖に. 多くの場合、企業には十分なパッチ管理ポリシーとインシデント対応グループがありません。, またはセキュリティ関連の主題に関する適切な教育の重要性を無視する. したがって, ゼロデイ攻撃とスピアフィッシング攻撃の頻度 (とりわけ) 避けられないようです.

違反について説教する- CVEとインシデント対応

脆弱性は、システムにマルウェアを侵入させるオープンドアのようなものです, プログラム, ブラウザ, そして時折 ゲーム. ソフトウェアベンダーは通常、脆弱性が明らかになると、セキュリティアドバイザリとパッチを発行します. でも, サイバー犯罪者は、ベンダーが何が起こっているのかを知る前に、これらの弱点を悪用するのに十分な時間を持っていることがよくあります, または必要なパッチがリリースされる前.




多くの場合, 脆弱性が見つかる数週間または数か月前に通過する, 数時間から数ヶ月続く可能性のある搾取のために開かれた扉を残す. ブラウザなどの広く普及しているソフトウェア, ブラウザプラグインとJava/Adobe Flash製品は、多くの場合、脆弱性とその悪意のある悪用の傾向があります.

ITセキュリティニュースの毎日の部分をフォローする場合, あなたは私たちが何を意味するかを正確に知っています. 理論的には, 任意の組織 (公的部門と民間部門の両方から) セキュリティインシデントの犠牲者になる可能性があります. 実際には, あなた自身とあなたの組織をセキュリティ侵害から救うために学ぶべきことと心に留めておくべきことがたくさんあります, またはそのような損害を最小限に抑えるために.

最初から始めましょう.

CVE 101 – 一般的な脆弱性とエクスポージャー

良いニュースは、CVEの調査とレポートに焦点を当てたいくつかの大きなデータベースがあることです, そのような CVEの詳細.

初めに, CVEとは何かを説明しましょう. 略語は 一般的な脆弱性とエクスポージャー.

基本的, CVEは、既知のセキュリティ脅威のカタログの一部です. 名前で見えるように, 脅威は通常、2つの大きなサブカテゴリに分けられます:

脆弱性.
そう, 脆弱性をどのように理解するか? 基本的, 脆弱性は、悪意のある攻撃者がシステムまたはネットワークに直接アクセスして攻撃することを可能にするソフトウェアの間違いに他なりません。. 脆弱性により、攻撃者はフルアクセス権限を付与することにより、スーパーユーザーまたはシステム管理者として行動することができます。.

露出.
露出は脆弱性とは異なります. 悪意のある攻撃者にシステムまたはネットワークへの間接アクセスを提供します. 例えば, 露出により、ハッカーは機密情報を秘密裏に収集できる可能性があります.

CVEカタログの定義

CVEは、開示された脆弱性とエクスポージャーを特定する方法を標準化するのに役立ちます; セキュリティ管理者にとって非常に重要なプロセス. 標準化のおかげで, 彼らは、CVE情報ソースを通じてアクティブな脅威に関する特定の技術的詳細にアクセスできます。.

CVEデータベースは、米国国土安全保障省とUS-CERTによって後援されています。. 非営利団体MITREは、CVEカタログと一般に公開されているWebサイトを管理しています。. MITERは、承認されたCVEナンバリング機関による標準CVE識別子の使用を促進するCVE互換性プログラムも管理しています。.

これは、CVEナンバリングオーソリティとして参加しているソフトウェアベンダーのリストです。:

  • Adobe Systems Incorporated (アドビ発行のみ)
  • アップル社. (Appleの問題のみ)
  • アタッチメイト (Attachmate / Novell / SUSE/NetIQの問題のみ)
  • BlackBerry (BlackBerryの問題のみ)
  • シスコシステムズ, 株式会社. (シスコの問題のみ)
  • Debian GNU / Linux (Linuxの問題のみ)
  • EMCコーポレーション (EMCの問題のみ)
  • FreeBSD (主にFreeBSDの問題のみ)
  • Google Inc. (クロム, Chrome OS, およびAndroidOpenSourceProjectの問題のみ)
  • ヒューレットパッカード開発会社, LP. (HPの問題のみ)
  • IBM Corporation (IBM発行のみ)
  • マイクロソフト (Microsoft発行のみ)
  • Mozilla Corporation (Mozillaの問題のみ)
  • オラクル (Oracleの問題のみ)
  • Red Hat, 株式会社. (Linuxの問題のみ)
  • シリコングラフィックス, 株式会社. (SGIの問題のみ)
  • Symantec Corporation (Symantecの問題のみ)
  • Ubuntu Linux (Linuxの問題のみ)

どの企業もCNAとして参加することはできません. 満たす必要のあるいくつかの要件があります:

初めに, CNAは、重要なユーザーベースと特定のセキュリティアドバイザリー機能を備えた主要なソフトウェアベンダーである必要があります. CNAになるためのもう1つのオプションは、研究者とベンダーの間で中立的なコラボレーションとして機能する確立されたサードパーティであることです。.

さらに, MITERが指摘したように, CNAは、初めての脆弱性開示のための解決された配布ポイントである必要があります.




CVE要件に従うことにより 公共の問題を特定する, CNAは、公開されるセキュリティ問題にのみCVE-IDを割り当てる必要があります. 最後に, セキュリティコミュニティで広く受け入れられている責任ある発表慣行に従う必要があります. これらの要件はすべて、間違いが起こらないようにするのに役立ちます.

エクスプロイトデータベース

「名誉を与えられる」べき別のデータベースは データベースを悪用する によって支えられる 攻撃的なセキュリティ.

エクスプロイトデータベースは、CVEに準拠したパブリックエクスプロイトおよび対応する脆弱なソフトウェアのアーカイブです。, 侵入テスターと脆弱性研究者が使用するために開発されました. 私たちの目的は、直接提出を通じて収集されたエクスプロイトの最も包括的なコレクションを提供することです, メーリングリスト, だけでなく、他の公開ソース, 自由に利用でき、ナビゲートしやすいデータベースにそれらを提示します. エクスプロイトデータベースは、アドバイザリではなく、エクスプロイトと概念実証のリポジトリです。, すぐに実用的なデータを必要とする人にとって貴重なリソースになります.

エクスプロイトDBは次の目的で使用できます サンプルの提出. でも, チームが提出された情報を受け入れるには、いくつかのルールに従う必要があります.

CVEデータベースが重要な理由? インシデントレスポンスとは?

インシデント対応

十一月に 2013, FireEyeは、標的型攻撃の量が増加していることを指摘しました. 今日, 業界の統計は、複数の脆弱性を持つWebサイトとアプリケーションの驚異的な割合を明らかにし続けています. 事態はさらに悪化している, なぜなら 2022, の中で アクティブなサイバー戦争, サイバー犯罪はかつてないほどイニシアチブになっています, 違反の目標を達成するための革新的な方法を作成するサイバー犯罪者. 数年前, KrebsOnSecurityは、Enigmaと呼ばれる地下フォーラムが公開された記事を公開しました. これは、プライベートサイバー犯罪フォーラムの成長しているコミュニティの1つにすぎません, 標的型攻撃の意味を再定義した. Enigmaなどのビッドアンドアスクフォーラムは、特定のデータへのアクセスを探している詐欺師をつなぎます, 有能で意欲的な悪意のあるコーダーを備えたリソースまたはシステム.

より最近の統計では、 15 10億のユーザー資格情報 地下フォーラムでの販売. これらのクレデンシャルは、 100,000 データ侵害, 少なくとも 5 それらの10億はユニークです.

それにもかかわらず スピアフィッシング攻撃 現在人気があり、多くの人がこの方法で機密情報を取得するためにお金を払っても構わないと思っています, ゼロデイエクスプロイト 同様に過小評価されるべきではありません. 少なくとも, フィッシング攻撃は、特定のエクスプロイトを悪用することで指摘される可能性があります, 既知の脆弱性.

なぜゼロデイはそれほど永続的ですか? Googleのセキュリティ研究者であるMaddieStoneは、USENIXのEnigmaでのプレゼンテーションで指摘しました 2021 ソフトウェア開発者が欠陥のあるゼロデイパッチの配信を停止する必要があるという仮想会議. 彼女の主張を証明するために, 研究者は、で検出されたゼロデイエクスプロイトの概要を共有しました 2019.




ゼロデイ脆弱性は、より長期間にわたって悪用される可能性があります, それらをかなり危険なものにします. 24のそのような欠陥が検出されました 2020, で検出された数より4つ多い 2019. ストーンは、 24 ゼロデイ 2020 以前に開示された欠陥の変形でした. さらに, 欠陥の3つは不完全にパッチされました, 脅威アクターがエクスプロイトを簡単に作成できるようにする. 手短に, ゼロデイ攻撃の再発に関する問題は、部分的なパッチをリリースすると、ハッカーが悪意のある攻撃を実行する機会が生まれることです。.

このような攻撃は多くの組織で日常的なイベントであるため, インシデント対応は必須です.

インシデント対応 (IR) セキュリティ違反の影響に対処して管理するための組織化されたアプローチです. IRの目標は、被害を制限し、復旧費用を削減することにより、可能な限り最善の方法で違反に対処することです。. 優れたインシデント対応計画には、インシデントとは何かを定義し、攻撃が発生したときに厳密に従う必要があるステップバイステップのチュートリアルを管理するポリシーが含まれています.

SANS Instituteは、インシデント(別名)に対処するための6つのステップをまとめました。. 最も十分な方法での攻撃:

  • 準備. 企業は、更新されたセキュリティ対策の重要性について従業員とIT担当者を教育し、コンピュータとネットワークのセキュリティインシデントに迅速かつ適切に対応するようにトレーニングする必要があります。.
  • 身元. 違反の可能性が発生するたびに、対応チームに通知されます, それがセキュリティインシデントなのか他の何かなのかを判断する必要があります. チームはしばしばCERTコーディネーションセンターに連絡するようにアドバイスされます, インターネットのセキュリティ活動を追跡および記録し、ウイルスおよびワームに関する最新情報を収集します。.
  • 封じ込め:対応チームが問題の重大度と期間を決定します. 影響を受けるすべてのシステムとデバイスを切断して、さらなる損傷を防ぐこともできます.
  • 根絶. 対応チームは調査を進め、攻撃の原因を明らかにします. 問題の根本的な原因とすべての悪意のあるコードの残りが根絶されます.
  • 回復. データとソフトウェアはクリーンなバックアップファイルから復元されます, 脆弱性が残っていないことを確認する. システムは、欠陥の傾向の兆候がないか監視されます.
  • 学んだ教訓対応チームは、攻撃とその対処方法を分析します, 将来のより良い対応とインシデント防止のための推奨事項を準備します.
  • ミレーナ・ディミトロワ

    プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

    その他の投稿

    フォローしてください:
    ツイッター

    コメントを残す

    あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します