オペレーショナルテクノロジー ハードウェア脆弱性アセスメント
オペレーショナルテクノロジー (OT) ハードウェア脆弱性アセスメント (HVA) アプリケーションを使用すると、インベントリ内の OT デバイスのファームウェア脆弱性を評価し、影響を受ける OT デバイスに対して脆弱性一致アイテム (VIT) を作成できます。
ハードウェア脆弱性アセスメントの概要
ハードウェア脆弱性アセスメント は、ファームウェアディスカバリーモデルの正規化されたコンテンツを使用してアセスメントを実行します。正規化されたコンテンツには、メーカー、ファームウェアバージョン、製品モデルなどの OT デバイスデータが含まれています。これは、 エンタープライズ資産管理 で利用可能な正規化プロセスに基づいています。OT デバイスの正規化されたコンテンツは、脆弱性情報データベース (NVD) によって提供される共通プラットフォーム一覧 (CPE) 形式に従ってマッピングされます。NVD データベースで利用可能な共通脆弱性識別子 (CVE) データが、CPE でマッピングされた正規化されたコンテンツで利用可能な OT デバイスデータと一致する場合、OT デバイスはリスクがあると見なされます。産業用ワークスペース で利用可能な [ハードウェア脆弱性アセスメント] メニューには、リスクのある OT デバイスが表示されます。
HVA は、正規化されたコンテンツがなく、CPE にまだマッピングされていないファームウェアディスカバリーモデルを評価できます。 HVA は、マッチングスコアアルゴリズムを使用して、CPE 値を既存のファームウェアディスカバリー値と比較します。照合アルゴリズムは、同じディスカバリーパブリッシャー名、モデル名、およびバージョンを持つ OT デバイスに一致する CPE を検索します。HVAマッチングアルゴリズムは、CPE とマッピングされていないファームウェアディスカバリーモデルのデータを比較します。比較に基づいて、マッチングアルゴリズムは、マッピングされていないファームウェアディスカバリーモデルに対して可能な限り最適な CPE 一致を評価します。結果が完全に正確ではない場合でも、CPE でマッピングされた正規化されたコンテンツが利用可能になるまでは、脆弱性アセスメントに役立ちます。
- CPE に利用できないバージョン情報がある場合は、特定の OT デバイスのパブリッシャーとモデルで利用可能な範囲情報を使用してハードウェア脆弱性アセスメントが実行されます。
- バージョンの場合、比較アルゴリズムを使用して、入力バージョンが範囲内にあるかどうかを判断します。
- Hardware Vulnerability Assessment - Full
- Hardware Vulnerability Assessment - Delta
必要な オペレーショナルテクノロジー ロールと ハードウェア脆弱性アセスメント ロール
ハードウェア脆弱性アセスメント (HVA) メニューを使用するには、次のロールが必要です。
- sn_vul.manage_exposure_assessment:必要に応じてアドミンユーザーまたはユーザーグループにロールをアサインし、 HVAのプロパティを表示または編集できるようにします。
- sn_otvr.vul_event_manager (OT 脆弱性イベントマネージャー):必要に応じて HVA ユーザーまたはユーザーグループにロールをアサインし、アセスメントレコードを表示し、それに応じて行動できるようにします。
ユースケース
- OT デバイスのサイバーセキュリティリスクを特定します。
- OT デバイスデータに対する完全に一致するアセスメントにより、高リスクの脆弱性に焦点を当てます。
- 完全に一致したアセスメントのための脆弱性一致アイテムの自動作成を設定します。
- 部分的に一致するアセスメントを調査して対処し、潜在的なリスクを特定し、それに応じて行動します。
- 完全ディスカバリー待ちまたはコンテンツ更新待ちの未処理の OT デバイスを [ 正規化待ち ] タブから監視します。
HVA のタブ
HVAメニューにはHVAOT デバイス用に作成されたレコードが表示されます。これらのアセスメントレコードは、多くの基準に基づいて作成されます。たとえば、CVE 脆弱性、リスクのある OT デバイス、共通脆弱性スコアリングシステム (CVSS) スコア、信頼スコア、デバイスの重要度などです。
- [ 完全に一致したアセスメント (Fully matched assessments)] タブには、CVE が OT デバイスのメーカー、製品モデル、ファームウェアバージョンと完全に一致するアセスメントレコードが表示されます。完全に一致したアセスメントとは、OT デバイスが CVE で指定されたすべての脆弱性要因に一致することを意味します。
- [部分的に一致したアセスメント (Partially matched assessments)] タブには、CVE が OT デバイスのファームウェアバージョンまたはメーカーとモデルと部分的に一致するアセスメントレコードが表示されます。また、 HVA は、ファームウェアバージョンを利用できない正規化されたディスカバリーモデルの部分的なアセスメントを作成します。一致アルゴリズムを使用して、パブリッシャーとモデルが同じ OT デバイスの正規化されたコンテンツからのバージョン情報を使用して、アセスメントが作成されます。
- [ 脆弱性一致アイテム ] タブには、自動的に作成された VIT またはアセスメントに基づいて手動で作成された VIT が表示されます。
- [ 無視されたアセスメント ] タブには、無視することを選択したデバイスのアセスメントが表示されます。
- [ 正規化待ち ] タブには、正規化されたデータがなく、アセスメントに使用されていない OT デバイスデータが表示されます。
- 自動 VIT を作成するプロパティが有効になっている場合、[ 完全に一致したアセスメント] タブにはデータが表示されません。この情報は [ 脆弱性一致アイテム ] タブで表示できます。
- エンタープライズ資産管理 でファームウェアディスカバリーモデルのオプトイン機能を有効にして、OT デバイスデータを正規化できるようにします。詳細については、「Opt-in to Enterprise Asset Management Content Service」を参照してください。