« 英国 NCSC Annual Review 2021 国家サイバーセキュリティセンター2021年報告書 | Main | SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守 »

2021.11.19

NIST SP 1800-31(ドラフト)一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行

こんにちは、丸山満彦です。

NISTがパッチ管理についての2つのドラフトを公開し、意見募集をしています。

です。

ゼロトラストアーキテクチャーにおいては、パッチ管理の重要性は高まっていますよね。。。資産管理とかちゃんとしないといけない、、、ということでサイバー衛生の重要性も理解しないといけませんよね。。。

「言うは易し、行うは難し」がこのパッチ管理ですよね。。。

NIST - ITL

・2021.11.17 SP 1800-31 (Draft) Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways

SP 1800-31 (Draft) Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways SP 1800-31(ドラフト)一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行
Announcement 発表内容
The National Cybersecurity Center of Excellence (NCCoE) has released two draft publications on enterprise patch management for public comment. Patching is a critical component of preventive maintenance for computing technologies—a cost of doing business, and a necessary part of what organizations need to do in order to achieve their missions. However, keeping software up-to-date with patches remains a problem for most organizations. National Cybersecurity Center of Excellence(NCCoE)は、組織全体のパッチ管理に関する2つの文書のドラフトを公開し、パブリックコメントを求めています。パッチ適用は、コンピュータ技術の予防的保守の重要な要素であり、ビジネスを行う上でのコストであり、組織がミッションを達成するために必要なことです。しかし、多くの組織全体では、ソフトウェアを最新のパッチで維持することが課題となっています。
Draft NIST Special Publication (SP) 800-40 Revision 4, Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology, discusses common factors affecting enterprise patch management and recommends creating an enterprise strategy to simplify and operationalize patching while also improving reduction of risk. Draft SP 800-40 Revision 4 will replace SP 800-40 Revision 3, Guide to Enterprise Patch Management Technologies. ドラフト版NIST Special Publication (SP) 800-40 第4版 「組織全体のパッチ管理計画のためのガイド:技術についての予防的保守」では、組織全体のパッチ管理に影響を与える一般的な要因について説明し、パッチの適用を簡素化して運用するとともに、リスクの低減を向上させるための組織全体戦略の策定を推奨しています。SP 800-40 第4版草案は、SP 800-40 第3版 「組織全体のパッチ管理技術ガイド」に代わるものです。
Draft NIST Special Publication (SP) 1800-31, Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways, builds upon the work in SP 800-40 Revisions 3 and 4. SP 1800-31 describes an example solution that demonstrates how tools can be used to implement the inventory and patching capabilities organizations need for routine and emergency patching situations, as well as implementing workarounds and other alternatives to patching.  NIST Special Publication (SP) 1800-31「既存ツール活用とより良い方法によるプロセスの実行」 は、SP 800-40 第3版および第4版 の作業を基に作成されています。SP 1800-31では、インベントリとパッチ機能を実装するためにツールをどのように使用できるかを示すソリューション例を紹介しています。
Abstract 概要
Despite widespread recognition that patching is effective and attackers regularly exploit unpatched software, many organizations do not adequately patch. There are myriad reasons why, not the least of which are that it’s resource-intensive and that the act of patching can reduce system and service availability. Also, many organizations struggle to prioritize patches, test patches before deployment, and adhere to policies for how quickly patches are applied in different situations. To address these challenges, the NCCoE is collaborating with cybersecurity technology providers to develop an example solution that addresses these challenges. This NIST Cybersecurity Practice Guide explains how tools can be used to implement the patching and inventory capabilities organizations need to handle both routine and emergency patching situations, as well as implement workarounds, isolation methods, or other alternatives to patching. It also explains recommended security practices for patch management systems themselves. パッチを当てることは効果的であり、攻撃者は定期的にパッチを当てていないソフトウェアを悪用するという認識が広く浸透しているにもかかわらず、多くの組織は適切なパッチを当てていません。その理由はいろいろありますが、その中でも特に重要なのは、パッチ適用にはリソースが必要であることと、パッチ適用によってシステムやサービスの可用性が低下する可能性があることです。また、多くの組織では、パッチの優先順位付け、展開前のパッチのテスト、状況に応じたパッチの適用速度に関するポリシーの遵守などに苦労しています。このような課題に対処するため、NCCoEはサイバーセキュリティ技術プロバイダーと協力して、これらの課題を解決するソリューション例を開発しています。このNIST サイバーセキュリティ実践ガイドでは、日常的なパッチ適用と緊急時のパッチ適用の両方に対応するために組織が必要とするパッチ適用およびインベントリ機能を実装するために、ツールをどのように使用できるか、またパッチ適用に代わる回避策、隔離方法、その他の代替手段をどのように実施できるかについて説明しています。また、パッチ管理システム自体の推奨セキュリティ対策についても説明しています。

・[PDF] Draft SP 1800-31

20211119-53100

エグゼクティブサマリーの一部です。。。

Executive Summary  エグゼクティブサマリー 
For decades, cybersecurity attacks have highlighted the dangers of having computers with unpatched software. Even with widespread awareness of these dangers, however, keeping software up-to-date with patches remains a problem. Deciding how, when, and what to patch can be difficult for any organization. Each organization must balance security with mission impact and business objectives by using a risk-based methodology. To address these challenges, the NCCoE is collaborating with cybersecurity technology providers to explore approaches for improving enterprise patching practices for general information technology (IT) systems. These practices are intended to help your organization improve its security and reduce the likelihood of data breaches with sensitive personal information and other successful compromises. The practices can also play an important role as your organization embarks on a journey to zero trust.  何十年もの間、サイバーセキュリティ攻撃によって、パッチが適用されていないソフトウェアを使用しているコンピュータの危険性が指摘されてきました。しかし、このような危険性が広く認識されているにもかかわらず、ソフトウェアにパッチを適用して最新の状態に保つことは、依然として問題となっています。どのように、いつ、何にパッチを当てるかを決めるのは、どの組織にとっても難しいことです。各組織は、リスクベースの手法を用いて、セキュリティとミッションへの影響やビジネス目標とのバランスを取る必要があります。このような課題に対処するため、NCCoEはサイバーセキュリティ技術プロバイダーと協力して、一般的なITシステムに対する組織全体のパッチ適用方法を改善するためのアプローチを検討しています。これらのプラクティスは、組織のセキュリティを向上させ、機密性の高い個人情報を含むデータの漏洩やその他の成功した侵害の可能性を低減することを目的としています。また、これらの対策は、組織がゼロトラストへの道を歩み始める際に重要な役割を果たします。
CHALLENGE  課題 
There are a few root causes for many data breaches, malware infections, ransomware attacks, and other security incidents, and known—but unpatched—vulnerabilities in software is one of them.  多くのデータ漏洩、マルウェア感染、ランサムウェア攻撃、その他のセキュリティインシデントにはいくつかの根本的な原因があり、既知でありながらパッチが適用されていないソフトウェアの脆弱性もその一つです。
Implementing a few security hygiene practices, such as patching operating systems, applications, and firmware, can prevent many incidents from occurring, lowers the potential impact of incidents that do occur, and increases the cost to the attacker. Unfortunately, security hygiene is easier said than done. Despite widespread recognition that patching is effective and attackers regularly exploit unpatched software, many organizations do not adequately patch. There are myriad reasons why, not the least of which are that it’s resource-intensive and that the act of patching can reduce system and service availability. Many organizations struggle to prioritize patches, test patches before deployment, and adhere to policies for how quickly patches are applied in different situations. Delaying patch deployment gives attackers a larger window of opportunity.   オペレーティングシステム、アプリケーション、ファームウェアへのパッチ適用など、いくつかのセキュリティ衛生対策を実施することで、多くのインシデントの発生を防ぎ、発生したインシデントの潜在的な影響を低減し、攻撃者のコストを増加させることができます。しかし残念ながら、セキュリティ対策は「言うは易し、行うは難し」です。パッチを当てることは効果的であり、攻撃者はパッチの当たっていないソフトウェアを定期的に悪用するという認識が広く浸透しているにもかかわらず、多くの組織は適切なパッチを当てていません。その理由は無数にありますが、その中でも特に重要なのは、リソースを必要とすることと、パッチを当てることでシステムやサービスの可用性が低下することです。多くの組織全体は、パッチの優先順位付け、展開前のパッチのテスト、状況に応じたパッチの適用速度のポリシー遵守などに苦労しています。パッチの適用が遅れると、攻撃者はより大きな機会を得ることになります。 
This practice guide can help your organization:  この実践ガイドは、以下の点でお客様をサポートします。
・overcome common obstacles involving enterprise patching for general IT systems  ・一般的な IT システムへのエンタープライズパッチ適用に関する一般的な障害を克服する。
・achieve a comprehensive security hygiene program based on existing standards, guidance, and publications  ・既存の標準、ガイダンス、および本文書に基づいた、包括的なセキュリティ衛生プログラムの実現 
・enhance its recovery from incidents that occur, and minimize the impact of incidents on the organization and its constituents  ・発生したインシデントからの復旧を強化し、インシデントが組織とその構成員に与える影響を最小化する 
SOLUTION  ソリューション 
To address these challenges, the NCCoE is collaborating with cybersecurity technology providers to develop an example solution. It will demonstrate how tools can be used to 1) implement the inventory and patching capabilities organizations need to handle both routine and emergency patching situations, as well as 2) implement workarounds, isolation methods, or other alternatives to patching. The solution will also demonstrate recommended security practices for patch management systems themselves.  これらの課題に対処するために、NCCoEはサイバーセキュリティ技術プロバイダーと協力して、ソリューション例を開発しています。このソリューションでは、1)日常的なパッチ適用と緊急時のパッチ適用の両方に対応するために組織が必要とするインベントリとパッチ適用の機能を実装するために、ツールをどのように使用できるか、また2)回避策、隔離方法、またはパッチ適用の他の代替手段をどのように実装できるかを示します。また、このソリューションは、パッチ管理システム自体に推奨されるセキュリティ手法を示すものでもあります。
The NCCoE is assembling existing commercial and open source tools to aid with the most challenging aspects of patching. The NCCoE is building upon previous NIST work documented in NIST Special Publication (SP) 800-40 Revision 3, Guide to Enterprise Patch Management Technologies and NIST SP 800-184, Guide for Cybersecurity Event Recovery.   NCCoEは、パッチ適用の最も困難な局面を支援するために、既存の商用およびオープンソースのツールを集めています。NCCoEは、SP 800-40 第3版 「組織全体のパッチ管理技術ガイド」およびNIST SP 800-184「サイバーセキュリティイベントの回復のガイド」に記載されているNISTの過去の取り組みを基にしています。 

目次。。。

1 Summary 1 まとめ
1.1 Challenge 1.1 課題
1.2 Solution 1.2 ソリューション
1.3 Benefits 1.3 メリット
2 How to Use This Guide 2 このガイドの使用方法
2.1 Typographic Conventions 2.1 凡例
3 Approach 3 アプローチ
3.1 Audience 3.1 想定読者
3.2 Scope 3.2 対象範囲
3.3 Assumptions 3.3 前提条件
3.4 Scenarios 3.4 シナリオ
3.4.1 Scenario 0: Asset identification and assessment 3.4.1 シナリオ0:資産の識別と評価
3.4.2 Scenario 1: Routine patching 3.4.2 シナリオ1:定期的なパッチ適用
3.4.3 Scenario 2: Routine patching with cloud delivery model 3.4.3 シナリオ2: クラウド配信モデルによる定期的なパッチ適用
3.4.4 Scenario 3: Emergency patching 3.4.4 シナリオ3:緊急時のパッチ適用
3.4.5 Scenario 4: Emergency workaround (and backout if needed) 3.4.5 シナリオ4:緊急時の回避策(必要に応じてバックアウトも行う)
3.4.6 Scenario 5: Isolation of unpatchable assets 3.4.6 シナリオ5:パッチ適用不可能な資産の隔離
3.4.7 Scenario 6: Patch management system security (or other system with administrative privileged access) 3.4.7 シナリオ 6: パッチ管理システムのセキュリティ (または管理者権限でアクセスできる他のシステム)
3.5 Risk Assessment 3.5 リスク評価
3.5.1 Threats, Vulnerabilities, and Risks 3.5.1 脅威、脆弱性、およびリスク
3.5.2 Security Control Map 3.5.2 セキュリティコントロールマップ
4 Components of the Example Solution 4 ソリューション例の内容
4.1 Collaborators 4.1 協力者
4.1.1 Cisco 4.1.1 シスコ
4.1.2 Eclypsium 4.1.2 Eclypsium
4.1.3 Forescout 4.1.3 Forescout
4.1.4 IBM 4.1.4 IBM
4.1.5 Lookout 4.1.5 Lookout
4.1.6 Microsoft 4.1.6 マイクロソフト
4.1.7 Tenable 4.1.7 テナブル
4.1.8 VMware 4.1.8 ヴイエムウェア
4.2 Technologies 4.2 技術
4.2.1 Cisco Firepower Threat Defense (FTD) & Firepower Management Center (FMC) 4.2.1 Cisco Firepower Threat Defense (FTD) & Firepower Management Center (FMC)
4.2.2 Cisco Identity Services Engine (ISE) 4.2.2 Cisco Identity Services Engine (ISE)
4.2.3 Eclypsium Administration and Analytics Service 4.2.3 Eclypsium 管理・分析サービス
4.2.4 Forescout Platform 4.2.4 Forescout プラットフォーム
4.2.5 IBM Code Risk Analyzer 4.2.5 IBM Code Risk Analyzer
4.2.6 IBM MaaS360 with Watson 4.2.6 IBM MaaS360 with Watson
4.2.7 Lookout 4.2.7 Lookout
4.2.8 Microsoft Endpoint Configuration Manager 4.2.8 Microsoft Endpoint Configuration Manager
4.2.9 Tenable.io 4.2.9 Tenable.io
4.2.10 Tenable.sc and Nessus 4.2.10 Tenable.scとNessus
4.2.11 VMware vRealize Automation SaltStack Config 4.2.11 VMware vRealize Automation SaltStack Config
Appendix A Patch Management System Security Practices 附属書A パッチ管理システムのセキュリティ対策
A.1 Security Measures A.1 セキュリティ対策
A.2 Component Support of Security Measures A.2 コンポーネントによるセキュリティ対策支援
A.2.1 Cisco FTD Support of Security Measures A.2.1 Cisco FTD によるセキュリティ対策支援
A.2.2 Cisco ISE Support of Security Measures A.2.2 Cisco ISE によるセキュリティ対策支援
A.2.3 Eclypsium Administration and Analytics Service Support of Security Measures A.2.3 Eclypsium Administration and Analytics Service によるセキュリティ対策支援
A.2.4 Forescout Platform Support of Security Measures A.2.4 Forescout Platformによるセキュリティ対策支援
A.2.5 IBM Code Risk Analyzer Support of Security Measures A.2.5 IBM Code Risk Analyzer セキュリティ対策支援
A.2.6 IBM MaaS360 with Watson Support of Security Measures A.2.6 IBM MaaS360 with Watson セキュリティ対策支援
A.2.7 Lookout MES Support of Security Measures A.2.7 Lookout MESによるセキュリティ対策支援
A.2.8 Microsoft Endpoint Configuration Manager (ECM) Support of Security Measures A.2.8 Microsoft Endpoint Configuration Manager(ECM)によるセキュリティ対策支援
A.2.9 Tenable.sc Support of Security Measures A.2.9 Tenable.scによるセキュリティ対策支援
A.2.10 VMware vRealize Automation SaltStack Config Support of Security Measures A.2.10 VMware vRealize Automation SaltStack Config によるセキュリティ対策支援
Appendix B List of Acronyms 附属書B 頭字語の一覧
List of Tables 表の一覧
Table 3-1: Mapping Security Characteristics of the Example Solution for Scenarios 0-5 表 3-1: シナリオ 0~5 に対応するソリューション例のセキュリティ特性のマッピング
Table 3-2: Mapping Security Characteristics of the Example Solution for Scenario 6 表 3-2: シナリオ 6 に対するソリューション例のセキュリティ特性のマッピング
Table 4-1: Technologies Used in the Build 表 4-1: 構築に使用した技術

 


参考

・SP 800-40 Rev.2 (2005) についてはIPAに翻訳がありますね。。。

● IPA - セキュリティ関連NIST文書

・[PDF] SP 800-40 ver.2 Creating a Patch and Vulnerability Management Program パッチおよび脆弱性管理プログラムの策定

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.19 SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

・2021.11.19 米国 CISA サイバーセキュリティインシデント対応と脆弱性対応のプレイブックを発表

 

|

« 英国 NCSC Annual Review 2021 国家サイバーセキュリティセンター2021年報告書 | Main | SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 英国 NCSC Annual Review 2021 国家サイバーセキュリティセンター2021年報告書 | Main | SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守 »