クラウドの
脆弱性管理

Orcaは20以上の脆弱性データソースを活用して、クラウドエステート全体で脆弱性を発見して優先順位付けを行います。
電子ブック 実際に機能する
クラウドセキュリティ
->
クラウドの友達または敵?

エージェントとネットワーク スキャナはマークを見逃します

従来の脆弱性管理ソリューションは、クラウド向けに構築されていません。 エージェントまたはネットワーク スキャナのデプロイメントが必要であり、リソースが集約的であり、カバレッジのギャップにつながります。 これらのツールにはコンテキストへの認識が欠け、効果のないリスク優先順位付けが生じます。

  • すべてのマシンにエージェントをインストールするにはコストがかかり、組織の摩擦を生み出し、アプリケーションのパフォーマンスにも影響します。

  • 認証されたネットワークスキャナは、各ホスト上で開いているポート、特権アカウントを必要とし、かなりのリソースを消費します。

  • 認証されていないネットワーク スキャナは、ワークロードを見ることができないため、カバレッジは限定されています。

脆弱性管理を次のレベルに引き上げる

Orcaのエージェントレスプラットフォームは、数分以内にクラウド資産全体の脆弱性を検出し、CVSSスコアに加えて、アクセシビリティと潜在的なビジネスへの影響を考慮して、最もリスクの高い脆弱性に優先順位を付けます。

高いエージェントレス可視性を達成

OrcaはSideScanning™テクノロジーを利用して、パフォーマンスに影響を与えることなく、既知の脆弱性を検出するためにクラウド環境のソフトウェアインベントリを作成します。

  • Orcaのソフトウェアインベントリには、OSパッケージ、アプリケーション、ライブラリ、バージョン、その他の識別特性に関する情報が含まれます。
  • Orca脆弱性データベースには、NIST 全国脆弱性データベースおよびその他の20を超えるデータ脆弱性ソースからの集約データが含まれています。
  • 脆弱性ごとに、Orcaはアセット間の関係を可視化し、効果的なコンテキストベースのリスク優先順位付けと効率的な修復を可能にします。

脆弱性データソース

  • 全国脆弱性データベース(NVD)
  • WPVulnDB
  • US-CERT
  • Node.jsセキュリティワーキンググループ
  • OVAL - Red Hat、Oracle Linux、Debian、Ubuntu、SUSE
  • Ruby諮問データベース
  • JVN
  • 安全DB(Python)
  • Alpine secdb
  • PHPセキュリティアドバイザリデータベース
  • Amazon ALAS
  • RustSec諮問データベース
  • Red Hatセキュリティアドバイザリ
  • Microsoft MSRC、KB
  • Debianセキュリティバグトラッカー
  • Kubernetesセキュリティアナウンス
  • データベースを悪用する
  • Drupalセキュリティアドバイザリ
  • JPCERT

20以上の信頼できる脆弱性データソース

重要なリスクを最前線に引き出す

脆弱性はCVSSスコア以上のものです。 Orcaはビジュアルコンテキストマップを作成し、クラウドエステートのコンテキスト内で脆弱性が深刻であるかを理解します。 Orcaは次のようにして行います:

  • クラウドアセットを発見する:Orcaはワークロードのホスト構成(実行中のサービス、ファイアウォール構成)を含む深いワークロード検出とクラウド構成の詳細(IAMロール、VPC、セキュリティグループなど)を組み合わせます。
  • アセットの役割の特定:Orcaは、各アセットが果たす役割(たとえば、アセットが実行するように構成されていること、アセットが持つ権限の種類)を決定します。
  • 接続の識別:Orcaは、公開されているネットワークと公開されていないネットワークなどの接続を識別します(たとえば、VPCはインバウンドインターネットトラフィックを許可するかなど)。
  • リスクを優先順位付けする:Orcaはこのすべてのデータをグラフでコンテキスト化して、クラウド環境のコンテキスト上の脆弱性の真のリスクを測定します。
Bring critical risks to the forefront

BeyondTrust社は、 Orcaのサポートを受けて、社名が意味するところに忠実であり続けます

位置

San Diego, California, USA

業界

IT Technology

クラウド環境

AWS, Azure

“私は20年以上にわたり脆弱性評価ソリューションに取り組んできました。 脆弱性管理戦略を構築する方法について本を書いたこともあります。 これまで、Orca Securityプラットフォームのようなものは見たことがありません。 まさに逸品です。”

Morey HaberCTO & CIO
BeyondTrust

ケーススタディを読む