トリアージ
トリアージは、脆弱性管理ライフサイクルの第2段階です(検出、トリアージ、分析、修正)。
トリアージは、各脆弱性を評価し、どれを今すぐに対処する必要があるか、どれがそれほど重要でないかを判断する継続的なプロセスです。高リスクの脆弱性は、中または低リスクの脅威から分離されています。すべての脆弱性を分析して修正することが可能または実現可能とは限りません。リスク評価フレームワークの一環として、トリアージは、リソースが最も効果的な場所に適用されるようにします。脆弱性のトリアージは頻繁に行うのが最善です。そうすることで、トリアージサイクルごとの脆弱性の数を少なく、管理しやすくすることができます。
トリアージフェーズの目的は、各脆弱性を確認または無視することです。確認された脆弱性は分析フェーズに進みますが、無視された脆弱性は進みません。
セキュリティダッシュボード、セキュリティインベントリ、および脆弱性レポートに含まれるデータを使用して、脆弱性のトリアージを効率的かつ効果的に行うことができます。
スコープ
トリアージフェーズのスコープには、まだ評価されていないすべての脆弱性が含まれます。
脆弱性レポートをフィルタリングして、トリアージが必要な脆弱性を特定します:
- 状態: トリアージが必要
リスク評価
リスク評価フレームワークに従って脆弱性のトリアージを実施する必要があります。業界または地理的な場所によっては、フレームワークへのコンプライアンスが法律で義務付けられている場合があります。そうでない場合は、次のような信頼できるリスク評価フレームワークを使用する必要があります:
通常、脆弱性に費やす時間と労力は、そのリスクに比例する必要があります。たとえば、トリアージ戦略では、重大度と優先度の高い脆弱性のみを分析フェーズに進め、残りは無視するようにします。この決定は、脆弱性のリスクしきい値に従って行う必要があります。
脆弱性のトリアージ後、そのステータスを次のいずれかに変更する必要があります:
- 確認済み: この脆弱性をトリアージし、分析が必要であると判断しました。
- やめる: この脆弱性をトリアージし、分析しないことを決定しました。
脆弱性を無視する場合は、無視された理由を説明する簡単なコメントを入力する必要があります。無視された脆弱性は、その後のスキャンで検出されても無視されます。脆弱性レコードは永続的ですが、脆弱性のステータスはいつでも変更できます。
トリアージ戦略
これらの戦略を試して、最も重要な脆弱性に最初に焦点を当ててください。
重大なリスクのある脆弱性を優先する
脆弱性をそのリスクに応じて優先します。
- 脆弱性の優先順位付けCI/CDコンポーネントを使用して、脆弱性の優先順位付けを支援します。たとえば、CISAの既知の悪用された脆弱性(KEV)カタログにある脆弱性は、悪用されていることがわかっているため、最高の優先度で分析および修正する必要があります。
- グループごとに、セキュリティインベントリに移動して、保護する必要のあるアセットを視覚化し、セキュリティ対策状況を改善するために実行する必要のあるアクションを理解します。
- グループごとに、セキュリティダッシュボードに移動し、プロジェクトのセキュリティ状態パネルを表示します。これにより、プロジェクトが最も重大度の高い脆弱性によってグループ化されます。このグループ化を使用して、各プロジェクトの脆弱性のトリアージの優先順位を付けます。
- 最優先度の高いプロジェクト(たとえば、顧客にデプロイされたアプリケーション)で、脆弱性のトリアージの優先順位を付けます。
- プロジェクトごとに、脆弱性レポートを表示します。脆弱性を重大度別にグループ化し、クリティカルおよび高重大度のすべての脆弱性のステータスを「確認済み」に変更します。
リスクの低い脆弱性を無視する
最も重要なものに焦点を当てるために、リスクの低い脆弱性を一括してトリアージします。
- 脆弱性は検出されることがありますが、後続のCI/CDパイプラインでは検出されませんでした。このインスタンスでは、脆弱性のアクティビティーは検出されませんでしたとラベル付けされています。その重大度がlow(低)またはinfo(情報)の場合、これらの脆弱性を無視することを選択できます。フィルターアクティビティーを使用します: 検出されませんでしたを脆弱性レポートで選択し、ステータスをやめるに変更します。脆弱性管理ポリシーを使用すると、これも自動化できます。
- 識別子で脆弱性を無視します。脆弱性がアプリケーションレイヤー外のコントロールによって軽減される場合、それらを無視することを選択できます。識別子フィルターを脆弱性レポートで使用して選択し、ステータスをやめるに変更します。