人々がユニークな指紋を持っているのと同じように、すべての企業 重複が存在する場合でも、企業は差別化された製品を提供し、パーソナライズされたITインフラを確立し、独自のサードパーティベンダーを収集します。 大企業はプライベートクラウド経由でサービスを提供する場合がありますが、小規模なスタートアップはオンプレミス/パブリッククラウドインフラ サイバーセキュリティには”one size fits all”アプローチは存在しませんが、これらの六つの戦略は、サイバー脆弱性評価チェックリストを開発するための”ちょうどいい”アプローチを作成するのに役立ちます。
サイバー脆弱性評価とは何ですか?
サイバー脆弱性評価は、セキュリティ評価とも呼ばれ、組織のコンピュータネットワーク、ハードウェア、ソフトウェア、およびアプリケーションを特定すること
サイバー脆弱性評価の利点は何ですか?
サイバー脆弱性評価の一環として潜在的な脅威を特定し評価した後、組織はサイバーセキュリティ態勢を強化し、コンプライアンス態勢を成熟させる修復戦略に従事することができる。 さらに、サイバーセキュリティのコンプライアンス要件では、セキュリティとコンプライアンスプロファイルに影響を与える制御の弱点や新たな脅威を継続的に監視することがますます求められています。
サイバー脆弱性評価を開発することは、ビジネスに最も直接的に影響を与えるリスクを理解することを意味します。 ただし、悪意のあるアクターはさまざまな要因に基づいて組織を対象とするため、パーソナライズされたサイバー脆弱性評価を開発する必要があります。
6サイバー脆弱性評価を開発するための戦略
ビジネス戦略とIT戦略を合わせる
すべてのサイバー脆弱性評価は、会社の長期的なビジネス目標から始 ビジネス部門とIT部門の間のコミュニケーションは、継続的な活動である必要があります。 主に米国で運営されているeコマースビジネスは、カリフォルニア消費者保護法(CCPA)またはニューヨークStop Hacks And Improve Electronic Data Security(SHIELD)法によって規定されたセキュリテ ただし、業務を拡大し、欧州の顧客に焦点を当てることを計画している場合は、欧州連合の一般データ保護規則(GDPR)のセキュリティ要件を満たすことにつ 情報セキュリティ脆弱性評価プロセスの一環として、社内のすべての利害関係者がコミュニケーションをとることを確実にすることは、効果的なセ
IT資産の識別
これは明らかな最初のステップのように思えますが、多くの組織はすべてのネットワーク、ハードウェア、ソフトウェア、クラウドベースのIT資産を識別するのに苦労しています。 組織がデジタル変革を受け入れるにつれて、デジタル資産の数、種類、場所が増えます。 同様に重要なことに、他の企業と合併または買収した組織は、サイバー脆弱性評価の一環としてこれらの新しい資産を組み込む必要があります。
クラウドのスケーラビリティは、ワークロードとオブジェクトの数が一瞬の通知で変更される可能性があるため、組織はクラウドベースのリソースの監視に苦労することがよくあります。 すべてのクラウドベースの資産を識別することは、悪意のあるアクターからデータを保護しながら、ビジネスを拡大しようとする組織にとって圧倒的
固有のリスクの特定
固有のリスクとは、ある種のビジネスまたは業界に関連するリスクです。 たとえば、製造業に関連する固有のリスクは、SCADAおよび産業用モノのインターネット(IIoT)です。 一方、eコマースの固有のリスクは、カード会員データとネットワークの分離に焦点を当てています。
別の固有のリスクは、組織の地理的位置である可能性があります。 たとえば、global cybersecurity insightsの調査によると、ネットワークセキュリティのリスクは欧州諸国では北米諸国よりも大きいことが示されています。 組織の地理的位置を簡単に変更することはできませんが、セキュリティ体制を強化するために、最も重要な固有のリスクに優先順位を付けること
リスク許容度レベルの設定と監視
組織のリスク許容度は、特定されたリスクを管理できるか、ほとんどの場合から保護できるかに基づいています。 組織は、企業構造とリソースに基づいて、リスクを受け入れ、軽減、移転、または拒否することを選択できます。 ただし、サイバー脆弱性評価の一環として、リスク許容度レベルを継続的に確認する必要があります。
たとえば、組織が事業運営を拡大するにつれて、クラウドベースのリソースを追加する可能性があります。 オープンソースのセキュリティツールを使用するなど、以前に特定のリスクを受け入れた企業は、新しいリスクを軽減するためにツールを購入するか、より多
レビュー制御リスク
制御リスクは、多くの場合、手動レビューに関連付けられています。 脆弱なコントロールは、パッチが適用されていないファイアウォールや公開されているAWS S3バケットなど、デジタルである可能性がありますが、脆弱な 圧倒されたIT管理者がファイアウォールを更新するのを忘れたか、開発者がS3バケットの構成設定を変更するのを忘れた可能性があります。
制御リスクレビューの一環として、すべての手動タスクをレビューすることから始めたいと考えています。 多くの場合、これらのタスクを自動化すると、制御リスクが少なくなります。
継続的な監視と保証プログラムを確立
悪意のあるアクターは、脅威の方法論を進化させます。 マルウェアとランサムウェアは、悪意のあるアクターがネットワーク、システム、ソフトウェアにアクセスするために使用する最も一般的な脅威ベ これまでに発見されていない脆弱性の悪用、または”ゼロデイ”攻撃は大きな見出しを作りますが、これらの攻撃には多くの時間と労力がかかります。 ほとんどのマルウェアおよびランサムウェアプログラムは、以前に知られていたコードの進化です。 場合によっては、悪意のあるアクターは、単にダークウェブ上のウイルスを購入することができます。 他のケースでは、彼らはちょうど知られているプログラムを微調整することができます。 いずれにしても、それらは安価および配置し易い。
それを念頭に置いて、今日の組織を効果的に保護するコントロールは、明日のリスクを軽減しない可能性があります。 管理リスクと手動タスクレビューと組み合わせて、新しいリスクを警告し、リスクを優先し、新しいリスクをより迅速に修復して組織をより適切に保護するための自動継続的監視ソリューションを利用することができます。
SecurityScorecardがサイバー脆弱性評価を可能にする方法
SecurityScorecardのサイバーセキュリティ評価プラットフォームは、組織のセキュリティ態勢を”一目で”洞察できます。 インターネット上から公開されているさまざまな情報を使用して、当社のプラットフォームは、AからFの評価システムを使用して、あなたのコ
私たちは、DNSの健全性、IPレピュテーション、ネットワークセキュリティ、webアプリケーションセキュリティを含む十の要因を監視します。 私たちは、全体的な評価を提供するだけでなく、あなたがあなたの最も脆弱な分野への洞察を得ることができるように、私たちはあなたが十の要因に
私たちの自動化は、圧倒的なログレビューなどの手動タスクに関連するヒューマンエラーのリスクを軽減します。 SecurityScorecardのセキュリティ評価を使用すると、セキュリティ活動の優先順位付け、修復手順の文書化、サイバーセキュリティプログラムに対するガバナンスの証明