このドキュメントの内容は次のとおりです。
- Security RX におけるアプリケーションの脆弱性の優先順位の確認方法
- 脆弱性の優先順位にどのようなデータが考慮されるか
- 優先順位付けを使用してアプリケーションのセキュリティ問題を解決する方法
Security RX での優先順位の表示
アプリケーションの脆弱性の優先順位を表示するには、 one.newrelic.com > All capabilities> Security RX > アプリケーション > すべての脆弱性に移動します。
優先順位は、脆弱性に関するすべての既知のデータに基づいて決定されます。 Reason to prioritize [優先順位を付ける理由]列は、主要な CVSS (共通脆弱性評価システム)、EPSS (エクスプロイト予測評価システム)、および既知のアクティブなランサムウェア データの概要と重み付けです。
優先順位に影響を与えるデータ
Severity [重大度は]脆弱性の CVSS スコアに基づきます。 オープンな業界標準である CVSS は、複数のアクセスと影響のメトリックの式を使用して脆弱性の重大度を計算します。
この表には、CVSS スコアに対応して割り当てたタグが表示されます。
重大度 | CVSS範囲 |
|---|
致命的 | 9.0~10.0 |
高 | 7.0~8.9 |
ミディアム | 4.0 - 6.9 |
低 | 0.1~3.9 |
情報 / なし | 0.0 |
アクティブなランサムウェアとは、既知のランサムウェア キャンペーンで使用された脆弱性のことです (このデータは New Relic の公式パートナー ネットワークから取得されています)。 ランサムウェア インシデントの影響は深刻であるため、これらの脆弱性は優先度の高いものとなっています。
サイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA)は、ランサムウェアを「デバイス上のファイルを暗号化し、ファイルやそれに依存するシステムを利用不能にするように設計された、進化し続けるマルウェア」と定義しています。 悪意のある攻撃者は、復号化と引き換えに身代金を要求します。 ランサムウェアの攻撃者は、身代金が支払われない場合、盗み出したデータや認証情報を売却または漏洩すると脅迫することが多い。」
詳細については、CISA の既知の悪用された脆弱性カタログのページをご覧ください。
悪用確率スコアは、脆弱性が実際に悪用される可能性を評価する EPSS に基づいています。 このような場合、脆弱性を利用した攻撃者が存在することが知られています。 EPSS スコアは、文脈を無視すると低く見える場合がありますが、セキュリティ専門家は、悪用確率が 85 パーセンタイルを超えるすべての脆弱性に対して高い優先順位を与えることを推奨しています。 これは、その脆弱性が悪用される重大なリスクを示しています。
詳細については、FIRST のEPSS モデルのページをご覧ください。
この表には、エクスプロイトの可能性の各レベルに割り当てたタグが表示されます。
悪用の確率 | EPSS パーセンタイル |
|---|
悪用される可能性が非常に高い | 95%
|
悪用される可能性が非常に高い | 90%
|
悪用の可能性 | 85%
|
ランキングロジックの例
EPSS が「悪用される可能性が高い」という重大度が「高い」脆弱性は、悪用される可能性が 85 パーセンタイル未満の EPSS レベルを持つ「重大」な重大度の脆弱性よりも高いランクになる可能性があります。
ワークフローで優先順位を使用する
アプリケーションの脆弱性を修正する場合:
- まず優先度の高い脆弱性に焦点を当てる- 複数のリスク要因(高CVSS + 高EPSS + アクティブなランサムウェア)を持つ脆弱性から始める
- アプリケーションのコンテキストを考慮する- 公開アプリケーションにおける優先度の高い脆弱性は、内部ツールにおける同じ脆弱性よりも緊急の対応が必要です。
- 暴露期間を追跡- アプリケーション内で脆弱性がパッチされないままの期間を監視します
- アラートの設定- 重要なアプリケーションにおける新たな高優先度の脆弱性に関する通知を設定します
次は何ですか?
アプリケーションの脆弱性がどのように優先順位付けされるかを理解したところで、