環境をセキュアに保つための最大の課題の1つは、脆弱性改善策の優先順位付けです。Nexposeが各スキャンで何百何千もの脆弱性を発見した場合、どの脆弱性またはアセットに最初に対処すべきかどのように判定すればよいでしょう?
各脆弱性には、どの程度エクスプロイトしやすいか、またエクスプロイト実行後に攻撃者が環境に何を行えるかを示す、多数の特徴があります。これらの特徴が、組織にもたらされる脆弱性リスクを構成しています。
またアセットにも、組織のセキュリティに対してどれだけ敏感であるかに基づくリスクが、関連付けられています。例えば、クレジットカード番号を含むデータベースが危険にさらされた場合、組織が被るダメージはプリンタが危険にさらされた場合よりはるかに大きくなります。
本アプリケーションは、リスクを計算するための複数の戦略を提供します。各戦略が特定の特徴に重点を置き、組織独自のセキュリティニーズまたは目的に従ってリスク分析できるようになっています。またカスタム戦略を作成して、それらを本アプリケーションへと統合可能です。
リスク戦略を選択したら、以下の方法でそれを使用可能です:
リスク戦略に取り組むには、以下のアクティビティを行います:
各リスク戦略は、侵害の可能性、侵害の影響力、アセットの重要性といった要因を計算する式に基づいています。各式により、異なる範囲の数値が生成されます。例えば、リアル・リスク戦略では生成される最大スコアは1,000ですが、時間的戦略では上限がなく、一部のリスクの高い脆弱性のスコアは十万単位に達します。これに留意することは、異なるリスク戦略を異なるスキャンデータのセグメントへと適用する場合に重要です。リスク戦略を変更し過去のスキャンデータを再計算するをご参照ください。
多くの利用可能なリスク戦略がリスクの評価に同じ要因を使用しており、それぞれの戦略が異なる方法で関連要因を評価・集約しています。よくあるリスク要因は3つのカテゴリ、脆弱性の影響、初期エクスプロイトの困難度、脅威露出へとグループ化されています。脆弱性の影響および初期エクスプロイトの困難度の要因は、共通脆弱性評価システム(CVSS)で利用されている6つのベース評価基準です。
選択を行う前に、各モデルの要旨をレビューしてください。
この戦略は、エクスプロイトまたはマルウェア・キットが開発されている脆弱性の改善策の優先順位付けに使用可能であるため、推奨されます。環境を単純なエクスプロイトに露出させるセキュリティ・ホール、または広くアクセス可能なマルウェア・キットにより開発された感染は、かなりの確率で即座の対処が必要です。リアル・リスク・アルゴリズムは、各脆弱性に固有のエクスプロイトおよびマルウェア露出評価基準を、CVSSベースの可能性・影響評価基準に適用します。
特に本モデルは、脆弱性の機密性への影響、整合性への影響、および可用性への影響に基づき、0~1,000の最大影響を算出します。この影響は、常に1未満の分数である可能性要因により乗算されます。可能性要因には、CVSS(アクセスベクトル、アクセスの複雑さ、認証要件)からの脆弱性の初期エクスプロイトの困難度評価基準に基づく初期値があります。当該可能性は、脅威露出(脆弱性の齢により高まる可能性)により変わり、時間とともに1に近づいて行きます。時間とともに可能性が高くなる率は、エクスプロイトによる脆弱性の露呈およびマルウェア露出に基づいています。脆弱性のリスクは、CVSS影響評価基準により定められる最大影響を超えて高くなることは、決してありません。
リアル・リスク戦略はベース影響として要約され、侵害の初期可能性により変更され、経時的な脅威露出の高まりにより変わります。可能な最大リアル・リスク・スコアは、1,000です。
時間的戦略と同様、時間的プラスは、脆弱性の存在が知られるようになった期間の長さを重視します。しかし、部分的な影響ベクトルのリスク要因を拡張して、脆弱性の影響のより細分な分析を提供します。
時間的プラス戦略は、機密性への影響、整合性への影響、可用性への影響をアクセスベクトルと併せて使用して、脆弱性の近接ベースの影響度を集約します。影響度は、エクスプロイト難易度評価基準(アクセスの複雑さおよび認証要件)の集約により加減されます。その後リスクは時間とともに、脆弱性の齢に従い高くなります。
時間的プラス戦略に上限はありません。一部の高リスクの脆弱性スコアは十万単位に達します。
この戦略では、影響値が「部分的」である脆弱性に関連するリスクと、同一ベクトルに関する影響値が「なし」である脆弱性に関連するリスクを区別します。これは特に、これらを同等に扱う時間的戦略から、時間的プラス戦略に切り替える場合に留意しておくことが重要です。この切り替えを行うと、環境内ですでに検出されている多くの脆弱性のリスク・スコアが上昇します。
この戦略では、脆弱性の存在が知られるようになった期間の長さを重視しますので、改善策に関して古い脆弱性を優先するために役立つ可能性があります。古い脆弱性はエクスプロイトされやすいと見なされています。なぜなら、攻撃者は長い間それらについて把握しているからです。また脆弱性の存在が長く知られているということは、あまり一般的でないエクスプロイトが存在する可能性が高くなります。
時間的戦略は、機密性への影響、整合性への影響、可用性への影響を、アクセスベクトルと併せて使用して、脆弱性の近接ベースの影響度を集約します。影響度は、エクスプロイト難易度評価基準(アクセスの複雑さおよび認証要件)の集約による除算により、加減されます。その後リスクは時間とともに、脆弱性の齢に従い高くなります。
時間的戦略に上限はありません。一部の高リスクの脆弱性スコアは十万単位に達します。
加重的戦略は、サイトに重要性レベルを割り当てる場合に、またはターゲットアセット上で実行中のサービスに関連するリスクを評価したい場合に有用です。本戦略は主にサイト重要性、アセットデータ、および脆弱性タイプに基づいており、以下の要因を重視します:
PCI ASV 2.0リスク戦略は、ペイメントカード業界データセキュリティ基準(PCI DSS)バージョン2.0に基づくスコアを、すべての発見された脆弱性に適用します。スケール範囲は、1(最低の深刻度)~5(最高の深刻度)です。本モデルを利用して、認定済みのスキャンベンダー(ASV)およびその他のユーザーは、PCI 2.0スコアに基づく脆弱性を分類しPCIレポート内のこれらのスコアを閲覧して、PCIの見地からリスクを評価可能となります。また5ポイントの深刻度スケールにより、リスクの評価が一目でわかるシンプルな方法が、組織へと提供されます。
現在のリスク戦略の変更を選択して、環境内のリスクについて別の見解を得ることが可能です。この変更を行うと今後のスキャンで、過去のスキャンのリスク・スコアとはかなり異なるリスク・スコアが表示される可能性があるため、過去のスキャンデータのリスク・スコアを再計算するオプションも用意されています。
上記を行うと、経時的なリスク追跡に連続性が生じます。リスク傾向チャートを持つレポートを作成する場合、特定のスキャン日範囲のスコアを再計算して、これらのスコアに今後のスキャンのスコアとの一貫性を持たせることが可能です。これにより、リスク傾向レポート内での連続性が確保されます。
例えば、露出ベースのリスク分析を行うため、12月1日に時間的リスク戦略からリアル・リスク戦略へと変更したとします。第一四半期の終わりに改善策のリソースに投資したことがリスク軽減にプラスの影響を与えていることを、組織内の管理職に実証したいと考えているとします。そこで、戦略としてリアル・リスクを選択して、4月1日からのすべてのスキャンデータのリアル・リスク・スコアを計算することにしました。
計算時間はそれぞれ異なります。再計算されるスキャンデータの量により、処理に数時間かかる場合があります。進行中の再計算はキャンセルできません。
注意: 再計算の進行中に、スキャンやレポートといった通常のアクティビティを実行可能です。しかし、再計算中にリスク・スコアが組み込まれたレポートを実行すると、スコアの一貫性が失われる可能性があります。レポートには、以前使用したリスク戦略からのスコア、および新しく選択した戦略からのスコアを組み込むことが可能です。
リスク戦略を変更して過去のスキャンデータを再計算するには、以下のステップを行います:
リスク戦略ページに移動します。
コンソールに管理ページが表示されます。
セキュリティ・コンソールにグローバル設定パネルが表示されます。
セキュリティ・コンソールにリスク戦略ページが表示されます。
情報には、当該戦略とその計算された要因の説明、戦略のソース(内蔵またはカスタム)、および現在選択されている場合は使用されている期間が含まれます。
これにより、異なるリスク戦略がすべてのスキャンデータに、どのように適用されたかを見ることができます。この情報は、リスク傾向の一貫性にギャップが生じないようにするため、どれだけの量のスキャンデータを再計算すべきかを厳密に決定するために役立ちます。また、なぜリスク傾向データのセグメントの一貫性がなくなるかの判定にも役立ちます。
完了成功しなかった計算が示されている、ステータスコラムに注目してください。これを参考にもう1度計算を実行して、リスク傾向データ内の一貫性のないセクションのトラブルシューティングに役立てることが可能です。
このセクション内の表には、異なるリスク戦略が適用された各インスタンス、影響を受けた日付範囲、および変更を行ったユーザーがリストされます。またこの情報は、リスク傾向の非一貫性のトラブルシューティングやその他の目的にも有用である場合があります。
過去のスキャンデータのリスク・スコアを再計算します。
コンソールに、再計算が完了した割合を示すボックスが表示されます。
組織のセキュリティ目標に固有の視点からリスクを分析するカスタム戦略を利用して、リスク・スコアを計算したいと場合があるかと思います。カスタム戦略を作成して、Nexpose内で使用可能です。
各リスク戦略は、XML文書です。カスタム戦略用の固有の内部識別子である、id属性を含むRiskModel要素が必要です。
RiskModelには以下の必須サブ要素が含まれます。
注意: Rapid7プロフェッショナル・サービス・オーガニゼーション(PSO)が、カスタム・リスク評価開発を提供します。詳細については、アカウントマネージャーにお問い合わせください。
カスタムリスク戦略XMLファイルには以下の構造が含まれます:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<RiskModel id="custom_risk_strategy">
<name>Primary custom risk strategy</name>
<description>
このカスタムリスク戦略は数々の重要要因を重視します。
</description>
<VulnerabilityRiskStrategy>
[formula]
</VulnerabilityRiskStrategy>
</RiskModel>
注意: 本アプリケーションの予測どおりの動作を確保するために、カスタム戦略XMLファイルが適切に構成されており、すべての必須要素を含むことを確認してください。
カスタムリスク戦略をNexpose内で利用可能とするには、以下のステップを行います:
[installation_directory]/shared/riskStrategies/custom/globalへとコピーします。
カスタム戦略が、リスク戦略ページのリストの上部に現れます。
リスク戦略の順序を設定するには、任意のorderサブ要素を追加して、以下の例にみられるように0を超える数値を指定します。0を指定すると、戦略が最後に現れるようになります。
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<RiskModel id="janes_risk_strategy">
<name>Jane’s custom risk strategy</name>
<description>
ジェーンのカスタムリスク戦略は、ジェーンにとって重要な要素を重視しています。
</description>
<order>1</order>
<VulnerabilityRiskStrategy>
[formula]
</VulnerabilityRiskStrategy>
</RiskModel>
表示順を設定するには:
リスク戦略をリスク戦略ページ上にリストする順序を変更可能です。これは、多くの戦略がリストされており、最も頻繁に利用するものを上部近くにリストしたい場合に、有用である可能性があります。順序を変更するには、リスク戦略のXMLファイル内の任意のorder要素を利用して、各戦略に順序の番号を割り当てます。これは、RiskModel要素のサブ要素です。カスタムリスク戦略を利用する をご参照ください。
例:組織内の3人が以下のカスタムリスク戦略を作成しました:ジェーンのリスク戦略、ティムのリスク戦略、およびテリーのリスク戦略。各戦略に順序番号を割り当て可能です。また、内蔵リスク戦略にも順序番号を割り当て可能です。
結果として表示順序は以下のようになります:
注意: 内蔵戦略の順序は、製品アップデートの度にデフォルトの順序へとリセットされます。
カスタム戦略は常に、内蔵戦略より上に表示されます。つまり、カスタム戦略と内蔵戦略に同じ番号を割り当てた場合、さらには内蔵戦略に上位の番号を割り当てた場合でさえも、カスタム戦略の方が常に先に表示されます。
リスク戦略に番号を割り当てない場合、対応するグループ(カスタムまたは内蔵)の最下部に表示されます。以下は、1つのカスタム戦略と2つの内蔵戦略の順序が1と番号付けられた場合の、順序の例です。
1つのカスタム戦略と1つの内蔵戦略に番号が付けられていません:
ティムのカスタム戦略は、2つの内蔵戦略より下位の番号が付けられていますが、それらより上に表示されていることに注目してください。
アセットは、スキャンが完了ステータスになるまで、複数のスキャン・フェーズを経ていきます。すべての必須スキャン・フェーズを経ていないアセットは、進行中のステータスとなります。Nexposeは、完了のスキャンステータスを持つアセットに基づくリスク・スコアのみを計算します。
スキャンが一時停止または停止した場合、本アプリケーションはリスク・スコアの計算に、完了ステータスを持たないアセットからの結果は使用しません。例:10アセットが同時にスキャンされました。7つは完了スキャンステータスを持ち、3つは持っていません。当該スキャンは停止されました。完了ステータスを持つ7つのアセットの結果に基づき、リスクが計算されます。3つの進行中のアセットについては、最後に完了されたスキャンのデータが使用されます。
スキャンステータスを判定するには、スキャンログを参照してください。スキャンログを表示する をご参照ください。