脆弱性のスキャンと管理に関する業界のベストプラクティス？

ガートナーは、このテーマを分析的にカバーするかなりの数の研究論文を更新しました- http://blogs.gartner.com/anton-chuvakin/2015/12/29/a-quick -update-on-our-research /

ただし、これは多くの人がリソースを持っていないペイウォールです。 451 Groupは、ここにあるCORE INSIGHT製品の分析を行いました- http://www.coresecurity.com/system/files/attachments/451-Research-Reprint-Core-Security-Nov14 .pdf -一部のベンダーが名前を変更しているにもかかわらず、その分野で他の多くのベンダーについて言及している論文。

NIST CSFおよびその他の主要なフレームワークは、「脆弱性の管理を行う」以外のガイダンスをほとんど提供していません（すばらしい回答ではありません）。

私の推奨は、脆弱性管理、脆弱性評価、および脆弱性スキャンにすでに投資したもの、ならびに侵入テストとレッドチーミング分析、レッドチームエンゲージメント、およびサイバー演習を理解することです。特にサイバー演習についての参照の1つは、MITREです。私は本当に Cyber​​ Exercise Playbook を楽しんだ。

クラシック環境またはレガシー環境、特に説明する大規模インストールインフラストラクチャでは、通常、2つの主要な商用ベンダーのみがプレーしますが、おそらく、より大きな脆弱性管理の構図に参加している他のいくつかのベンダもいます。最高のTenableは、他のベンダー間での多くの統合が見られないため、Qualysが支配的なベンダーであるように思われます-Tripwire（以前のnCircle）が2番目です（NessusはCVEの数の事実上の標準ですが）特に認証されたスキャンでは、積極的にスキャンでき、必要な深さと精度が得られます-Qualysは認証されていないスキャンに優れています）。 Trustwave TrustKeeperやDell/EMC/RSAなどの他のものが頭に浮かびますが、たぶん、たぶん、コンプライアンス主導などの構造化されたプログラムの視点で考えられます。

私のサイバーモデルは上記の多くを排除しています。 NIST CSFまたは同様の標準の将来のバージョンに含まれることを期待している私のモデルでは、OpenGroup FAIRリスク分析モデルが最前線にあり、脅威の評価が全体像を動かしています-脆弱性は常に100％です。このモデルは、サイバーオペレーションチームが脆弱性スキャンと脆弱性管理を含む脆弱性管理と評価プロセスに責任を持つことを要求します。 EDRと組み合わせたアプリのホワイトリスト、または逆に、サンドボックス爆発マルウェア配布ネットワーク検出（または4つすべて）と組み合わせたネットワーク動作分析などの最新の制御により、脆弱性スキャンで深刻な問題が発生します（逆も同様）。したがって、脆弱性の管理と評価のための新しいモデルが必要です。

脆弱性の管理と評価のための新しいフレームワークの概念を構築するときに、いくつかの既知の優れた手法を考案しました。 1つ目は、継続的なスキャンと特定時点の評価を破棄することです。脆弱性の管理と評価の概念は、他の脆弱性、エクスプロイト、および脅威のデータで正規化されています。 SensePostはここでこの概念に私の心を開きました- https://www.sensepost.com/blog/2014/using-maltego-to-explore-threat-vulnerability-data/ -しかし、SplunkやvFeedプロジェクトを含む他の多くのプレイヤーがこの流れを続けています。未記述のフレームワークは、赤いチーミング分析と赤いチームエンゲージメントという2つの主要な概念に関係しています。レッドチーミング分析（RTA）は、特定の武器、TTP、および戦略的領域（例：ビーチヘッド）をテーブルに配置し、シナリオを処理して、予想される脅威とターゲットの理論化を伴う手法です。これは通常6か月の計画段階であり、その後に赤チームの関与、6週間の実践的な評価が続きます。

レッドチームエンゲージメントでは、従来の脆弱性評価およびスキャンツールが利用される場合と利用されない場合があります。 PowerShellEmpireなどの主要なツールキットには、nmap、Nessus、NeXpose、またはその他の脆弱性スキャナーが含まれていない場合があります。SPNスキャンやfind-fruitスクリプトなどの高度な回避技術（AET）がすでに含まれているためです。 Nessusプラグイン（特定の計画されたテストケースの場合）を含む多くのシナリオ、またはNeXposeを使用してフィンガープリントを作成する多くのシナリオを想像できます。 nmapは通常、AETを提供するためのパッチと変更を加えて、できるだけ低速で実行されます。一度に移植できるのは- pbscan 。これらのいずれかで活用できる他のAETツールは、SniffJokeやMcAfee Evaderです。今日、商用ツールはこれらの不快な機能を提供できません-私はどのロードマップでもそれを見たことがありません。

ほとんどすべての大規模インフラストラクチャは、RTAおよびレッドチームエンゲージメントに従事しているアナリストがデータ集約ツールを利用するように導きます。私の主な推奨事項はLAIRフレームワーク、Faraday、およびDradis Proです。ただし、Splunkは、長期的または相関のニーズ（つまり、脅威やエクスプロイトデータなどの他のデータポイントへの統合）の優れたソースになることは確かです。これは、安全な構成管理データを統合する方法という別のポイントに私を導きます。多くのフレームワークは、安全な構成管理について話します（たとえば、PCI DSSセクション2.2））が、主要なガイダンスは提供されていません。インターネットセキュリティセンターは、そのベンチマークといくつかのツールを無料で提供していますが、 CIS-CATツールおよびその他の要素はペイウォールの背後にロックされています。OVALを介した一部のMITER作業は、FOSSツール、ovaldi、および Joval を介して市販されています。 。一部のベンダーは、パッチ、脆弱性、および構成管理の間のギャップ分析を提供しますが、それらを構成することは困難です-Splunk Enterpriseなどのプラットフォームを使用したCyber​​ Operationsプログラムで成功する可能性が高いと思います。

Splunkは、最近のSplunkSec会議でこれらのパラダイムのいくつかを説明するのに優れています- https://conf.splunk.com/session/2015/conf2015_CMerchant_Oracle_SecurityCompliance_AffordableSecurityMakingThe.pdf -および脆弱性データ分析に関する最近の論文のSANS- https://www.sans.org/reading-room/whitepapers/metrics/applying-data-analytics-脆弱性データ36532