https://www.darkreading.com/attacks-breaches/cisco-s-kenna-security-research-shows-the-relative-likelihood-of-an-organization-being-exploited
組織は、最初にリスクの高い脆弱性を公開エクスプロイトコードで修正し、高い修復能力を持たせることで、侵害の可能性、つまり「エクスプロイト性スコア」を最大29倍まで大幅に減らすことができます。
新しい調査により、脆弱性管理と組織全体の悪用可能性に関するさまざまな戦略の成功が定量化され、サイバーセキュリティの実践に関するリスクベースのプレイブックが拡大しました。
現在シスコの一部であり、リスクベースの脆弱性管理のマーケットリーダーであるKennaSecurityとCyentiaInstituteが実施した調査によると、脆弱性にパッチを適用する組織の能力を高めるよりも、脆弱性に適切な優先順位を付けて修正する方が効果的です。
「以前は、脆弱性セキュリティチームが優先すべき最良の指標は、実際のエクスプロイトでした。今では、特定の組織がエクスプロイトされる可能性を示すことができます。これは、私たちが常に望んでいたことです」と、共同で述べたEdBellis氏は述べています。
この調査は、CVSSスコアに基づく脆弱性の修正を優先することから離れ、代わりにリスクの高い脆弱性に焦点を当てることが賢明であることを示唆する最近のサイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)指令を確認しています。
「このレポートのデータと調査結果に基づいて、悪用可能性への移行が大きな違いを生むことは明らかです。CISAの公開された脆弱性の分析は、この調査を行っているときに、CVSSスコアからコースを遠ざける可能性があることを示唆しています。 「CyentiaInstituteのパートナー兼共同創設者であるWadeBakerは述べています。 「計算を行う際に修復速度を考慮するために、さらに一歩進んだ。これにより、セキュリティチームにより良い情報が提供されるはずだ。」研究はまたそれを示唆している: ほぼすべて(95%)のIT資産には、悪用可能な脆弱性が少なくとも1つあります。 エクスプロイトコードで脆弱性に優先順位を付けることは、エクスプロイト性を最小限に抑える上でCVSSよりも11倍効果的です。 ほとんど(87%)の組織は、アクティブな資産の少なくとも4分の1に未解決の脆弱性があり、41%は、4つの資産のうち3つに脆弱性を示しています。 脆弱性の62%の大多数は、悪用される可能性が1%未満です。 CVEの5%のみが10%の確率を超えています。 追加リソース シスコについて Cisco(NASDAQ:CSCO)は、インターネットを強化するテクノロジーの世界的リーダーです。シスコは、アプリケーションを再考し、データを保護し、インフラストラクチャを変革し、グローバルで包括的な未来のためにチームに力を与えることで、新しい可能性を刺激します。 The Networkで詳細を確認し、Twitterでフォローしてください。CiscoおよびCiscoのロゴは、米国およびその他の国におけるCiscoおよび/またはその関連会社の商標または登録商標です。シスコの商標のリストは、www.cisco.com / go / trademarksにあります。記載されているサードパーティの商標は、それぞれの所有者に帰属します。パートナーという言葉の使用は、シスコと他の企業との間のパートナーシップ関係を意味するものではありません。
シスコのKennaSecurity Researchは、組織が悪用されている可能性を示しています。
security summary
コメント