NIST SP 1800-31 一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行
こんにちは、丸山満彦です。
NISTがパッチ管理についてのガイド(SP 800-40 Rev.4)と、プラクティスガイド (SP 1800-31) の最終版を公開していますね。。。
- SP 800-40 Rev.4 組織全体のパッチ管理計画のためのガイド:技術についての予防的保守
- NIST SP 1800-31 一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行
です。
ゼロトラストアーキテクチャーにおいては、パッチ管理の重要性は高まっていますよね。。。資産管理とかちゃんとしないといけない、、、ということでサイバー衛生の重要性も理解しないといけませんよね。。。
「言うは易し、行うは難し」がこのパッチ管理ですよね。。。特に可用性が重要なシステムについてのパッチ適用については、非常に難しいですよね。。。
● NIST - ITL
SP 1800-31 Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways | SP 1800-31 一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行 |
Abstract | 概要 |
Patching is the act of applying a change to installed software – such as firmware, operating systems, or applications – that corrects security or functionality problems or adds new capabilities. Despite widespread recognition that patching is effective and attackers regularly exploit unpatched software, many organizations cannot or do not adequately patch. There are myriad reasons why, not the least of which are that it’s resource-intensive and that the act of patching can reduce system and service availability. Also, many organizations struggle to prioritize patches, test patches before deployment, and adhere to policies for how quickly patches are applied in different situations. To address these challenges, the NCCoE collaborated with cybersecurity technology providers to develop an example solution that addresses these challenges. This NIST Cybersecurity Practice Guide explains how tools can be used to implement the patching and inventory capabilities organizations need to handle both routine and emergency patching situations, as well as implement isolation methods or other emergency mitigations as alternatives to patching. It also explains recommended security practices for patch management systems themselves. | パッチを当てるとは、ファームウェア、オペレーティングシステム、アプリケーションなど、インストールされたソフトウェアに変更を加えることで、セキュリティや機能の問題を修正したり、新しい機能を追加したりする行為です。パッチを当てることは効果的であり、攻撃者は定期的にパッチを当てていないソフトウェアを悪用するという認識が広く浸透しているにもかかわらず、多くの組織は適切なパッチを当てられていないか、当てていません。その理由はいろいろありますが、その中でも特に重要なのは、パッチ適用にはリソースが必要であることと、パッチ適用によってシステムやサービスの可用性が低下する可能性があることです。また、多くの組織では、パッチの優先順位付け、展開前のパッチのテスト、状況に応じたパッチの適用速度に関するポリシーの遵守などに苦労しています。このような課題に対処するため、NCCoEはサイバーセキュリティ技術プロバイダーと協力して、これらの課題を解決するソリューション例を開発しています。このNIST サイバーセキュリティ実践ガイドでは、日常的なパッチ適用と緊急時のパッチ適用の両方に対応するために組織が必要とするパッチ適用およびインベントリ機能を実装するために、ツールをどのように使用できるか、またパッチ適用に代わる分離手法や、その他の緊急緩和策をどのように実施できるかについて説明しています。また、パッチ管理システム自体の推奨セキュリティ対策についても説明しています。 |
・[PDF] SP 1800-31
目次。。。
1 Summary | 1 まとめ |
1.1 Challenge | 1.1 課題 |
1.2 Solution | 1.2 ソリューション |
1.3 Benefits | 1.3 メリット |
2 How to Use This Guide | 2 このガイドの使用方法 |
2.1 Typographic Conventions | 2.1 凡例 |
3 Approach | 3 アプローチ |
3.1 Audience | 3.1 想定読者 |
3.2 Scope | 3.2 対象範囲 |
3.3 Assumptions | 3.3 前提条件 |
3.4 Scenarios | 3.4 シナリオ |
3.4.1 Scenario 0: Asset identification and assessment | 3.4.1 シナリオ0:資産の識別と評価 |
3.4.2 Scenario 1: Routine patching | 3.4.2 シナリオ1:定期的なパッチ適用 |
3.4.3 Scenario 2: Routine patching with cloud delivery model | 3.4.3 シナリオ2: クラウド配信モデルによる定期的なパッチ適用 |
3.4.4 Scenario 3: Emergency patching | 3.4.4 シナリオ3:緊急時のパッチ適用 |
3.4.5 Scenario 4: Emergency mitigation (and backout if needed) | 3.4.5 シナリオ4:緊急時対応策(必要に応じてバックアウトも行う) |
3.4.6 Scenario 5: Isolation of unpatchable assets | 3.4.6 シナリオ5:パッチ適用不可能な資産の隔離 |
3.4.7 Scenario 6: Patch management system security (or other system with administrative privileged access) | 3.4.7 シナリオ 6: パッチ管理システムのセキュリティ (または管理者権限でアクセスできる他のシステム) |
3.5 Risk Assessment | 3.5 リスク評価 |
3.5.1 Threats, Vulnerabilities, and Risks | 3.5.1 脅威、脆弱性、およびリスク |
3.5.2 Security Control Map | 3.5.2 セキュリティコントロールマップ |
4 Components of the Example Solution | 4 ソリューション例の内容 |
4.1 Collaborators | 4.1 協力者 |
4.1.1 Cisco | 4.1.1 シスコ |
4.1.2 Eclypsium | 4.1.2 Eclypsium |
4.1.3 Forescout | 4.1.3 Forescout |
4.1.4 IBM | 4.1.4 IBM |
4.1.5 Lookout | 4.1.5 Lookout |
4.1.6 Microsoft | 4.1.6 マイクロソフト |
4.1.7 Tenable | 4.1.7 テナブル |
4.1.8 VMware | 4.1.8 ヴイエムウェア |
4.2 Technologies | 4.2 技術 |
4.2.1 Cisco Firepower Threat Defense (FTD) & Firepower Management Center (FMC) | 4.2.1 Cisco Firepower Threat Defense (FTD) & Firepower Management Center (FMC) |
4.2.2 Cisco Identity Services Engine (ISE) | 4.2.2 Cisco Identity Services Engine (ISE) |
4.2.3 Eclypsium Administration and Analytics Service | 4.2.3 Eclypsium 管理・分析サービス |
4.2.4 Forescout Platform | 4.2.4 Forescout プラットフォーム |
4.2.5 IBM Code Risk Analyzer | 4.2.5 IBM Code Risk Analyzer |
4.2.6 IBM MaaS360 with Watson | 4.2.6 IBM MaaS360 with Watson |
4.2.7 Lookout | 4.2.7 Lookout |
4.2.8 Microsoft Endpoint Configuration Manager | 4.2.8 Microsoft Endpoint Configuration Manager |
4.2.9 Tenable.io | 4.2.9 Tenable.io |
4.2.10 Tenable.sc and Nessus | 4.2.10 Tenable.scとNessus |
4.2.11 VMware vRealize Automation SaltStack Config | 4.2.11 VMware vRealize Automation SaltStack Config |
Appendix A Patch Management System Security Practices | 附属書A パッチ管理システムのセキュリティ対策 |
A.1 Security Measures | A.1 セキュリティ対策 |
A.2 Component Support of Security Measures | A.2 コンポーネントによるセキュリティ対策支援 |
A.2.1 Cisco FTD Support of Security Measures | A.2.1 Cisco FTD によるセキュリティ対策支援 |
A.2.2 Cisco ISE Support of Security Measures | A.2.2 Cisco ISE によるセキュリティ対策支援 |
A.2.3 Eclypsium Administration and Analytics Service Support of Security Measures | A.2.3 Eclypsium Administration and Analytics Service によるセキュリティ対策支援 |
A.2.4 Forescout Platform Support of Security Measures | A.2.4 Forescout Platformによるセキュリティ対策支援 |
A.2.5 IBM Code Risk Analyzer Support of Security Measures | A.2.5 IBM Code Risk Analyzer セキュリティ対策支援 |
A.2.6 IBM MaaS360 with Watson Support of Security Measures | A.2.6 IBM MaaS360 with Watson セキュリティ対策支援 |
A.2.7 Lookout MES Support of Security Measures | A.2.7 Lookout MESによるセキュリティ対策支援 |
A.2.8 Microsoft Endpoint Configuration Manager (ECM) Support of Security Measures | A.2.8 Microsoft Endpoint Configuration Manager(ECM)によるセキュリティ対策支援 |
A.2.9 Tenable.sc Support of Security Measures | A.2.9 Tenable.scによるセキュリティ対策支援 |
A.2.10 VMware vRealize Automation SaltStack Config Support of Security Measures | A.2.10 VMware vRealize Automation SaltStack Config によるセキュリティ対策支援 |
Appendix B List of Acronyms | 附属書B 頭字語の一覧 |
List of Tables | 表の一覧 |
Table 3-1: Mapping Security Characteristics of the Example Solution for Scenarios 0-5 | 表 3-1: シナリオ 0~5 に対応するソリューション例のセキュリティ特性のマッピング |
Table 3-2: Mapping Security Characteristics of the Example Solution for Scenario 6 | 表 3-2: シナリオ 6 に対するソリューション例のセキュリティ特性のマッピング |
Table 4-1: Technologies Used in the Build | 表 4-1: 構築に使用した技術 |
参考
・SP 800-40 Rev.2 (2005) についてはIPAに翻訳がありますね。。。
● IPA - セキュリティ関連NIST文書
・[PDF] SP 800-40 ver.2 Creating a Patch and Vulnerability Management Program パッチおよび脆弱性管理プログラムの策定
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.04.08 NIST SP 800-40 Rev.4 組織全体のパッチ管理計画のためのガイド:技術についての予防的保守
・2021.11.19 NIST SP 1800-31(ドラフト)一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行
・2021.11.19 SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守
・2021.11.19 米国 CISA サイバーセキュリティインシデント対応と脆弱性対応のプレイブックを発表
Comments