プレスリリース
企業のサイバー・フィジカル・システム保護プラットフォームは、新しいリスク・フレームワーク、脆弱性優先順位付け手法、SBOMサポートを提供します。
ニューヨーク – 2023年9月13日 – サイバー・フィジカル・システム(CPS)保護会社の Clarotyは本日、SaaSプラットフォームの脆弱性と リスク管理 (VRM)機能の強化を発表しました。これにより、セキュリティチームは組織のCPSリスク体制の評価と強化をさらに強化できます。 この拡張機能には、独自のきめ細かな柔軟性のあるリスクスコアリングフレームワーク、業界標準の最大 11 倍の効率で脆弱性の優先順位付けワークフローを可能にする機能、 変化 ソフトウェア部品表(SBOM)環境のサポートが含まれます。
このリリースは、以下を含む重要なインフラセクター全体でCISOとセキュリティチームが直面する最も差し迫った問題に対処するという Clarotyのコミットメントを強化します。
CPSリスク態勢の評価を担当するCISOはこれまで以上に増えています。 重要インフラのCISOの推定 95% が、ITだけでなくCPSも確保する責任を負っています。そのうち98%は、経営幹部と共有されるより広範なリスクスコアにおいて、組織のCPSリスク態勢を定量化し、説明する必要があります。 財務面および規制面でのプレッシャーや、頼りになるリスク評価ツールキットの欠点が高まっているのは、こうした責任の課題を悪化させているだけです。
Conventional wisdom is at odds with the reality of managing CPS vulnerabilities: Nearly 70% of CPS vulnerabilities disclosed in 2022 received a CVSS v3 severity score of “high” or “critical,” yet less than 8% have been exploited, per Claroty’s State of XIoT Security Report: 2H 2022. この不一致は、CVSSスコア のみ に基づいて修正を優先することを推奨する従来の知恵とソリューションに関する懸念を提起します。 この推奨事項に従うセキュリティ・チームは、圧倒されるばかりでなく、悪用される可能性が 最も 低い脆弱性にリソースを誤って誘導し、最も 可能性の高い脆弱性を見逃している可能性もあります。
さらに、 2023 Gartner® Market Guide for CPS 保護 Platformsによると、CPSパッチ適用が非常に困難であると同時に、脆弱性の数は増加し続けています。 ほとんどのソリューション: 資産可視化 からのアウトプットを一般的な脆弱性とエクスポージャー(CVE)/メーカーのリコールデータベースおよびサードパーティの脆弱性リポジトリと関連付け、既知の悪用された脆弱性の優先順位付け、安全でないアプリケーションの使用とデフォルトのパスワードのフラグ付け、代替の補完コントロールを含む改善ガイダンスを提供し、アクションを追跡するためのチケット発行メカニズムを提供します。 より高度なソリューションには、ITスキャナがCPSに触れないようにするメカニズム、アセットの重要度と 可能性 エクスプロイトの可能性に基づいてコンテキスト化されたリスクスコアを提供するメカニズム、研究チームの実際の知識で調査結果とリスクスコアを強化するメカニズムが含まれます。
産業および医療機関向けの ClarotyのSaaSベースのソリューションである xDome とMedigateの新たな拡張機能は、すでに進歩したVRM機能に基づいて構築されています。
CPSリスクの姿勢を定量化する最も透明できめ細かな方法を提供する: Clarotyの新しいリスクフレームワークは、リスクを増加させる要因の範囲が拡大し、リスクを相殺できるコントロールの改善を補うため、これまで以上に正確です。 このフレームワークは事前設定済みで、CPSセキュリティを初めて利用したお客様でも、リスク体制を即座に計算し、運用を保護するための優先的な措置を講じることができます。
CPSリスク計算を顧客のニーズに合わせる能力をさらに強化する: Clarotyの新しいリスクフレームワークにより、顧客は既存のGRCプロセスとリスクの優先順位に合わせて調整し、CPSリスクポスチャー評価で異なる要因がどのように重み付けされるかをより細かく制御できるため、改善ステップを適切に優先順位を付ける能力をさらに高めることができます。
エクスプロイト 可能性 、アセットの重要度、影響に基づいて脆弱性を優先する: Clarotyは、既知の脆弱性(KEV)カタログおよびエクスプロイト予測スコアリングシステム(EPSS)の最新指標、ならびに影響を受けるアセットの重要度とリスクに基づいて、すべてのCPS脆弱性を優先度グループに自動的に割り当てるようになりました。 その結果、攻撃者が武器化する可能性が最も高い脆弱性を、より効果的に、最大 11 倍 効率的に優先順位付けできます。
変化SBOM環境のCPSリスクの影響に備える: 最近の規制の進展により、SBOMがソフトウェア サプライチェーン リスク管理の鍵であることは明らかになったため、 Claroty は顧客がSBOMをアップロードし、同僚がアップロードしたSBOMを閲覧し、関連するワークフローを今後サポートできるようになりました。
CISOとセキュリティチームは、時代遅れで安全でない資産や新しい脆弱性発見のリスクを緩和する上で、ますます厳しい戦いに直面しています。 CPSと重要なインフラストラクチャ環境の独自性により、すべてにパッチを適用することは不可能または複雑すぎることがよくあります Claroty。 Claroty SaaSポートフォリオのこれらのVRM強化により、顧客は最も厳しいサイバーセキュリティの質問に答えることができます。リスクを正確に評価する方法と、産業、臨床、またはその他のミッションクリティカルな環境で悪用される可能性に基づいて最初に軽減すべき脆弱性です。
KEV/EPSS、SBOMアップロード、およびリスク機能はすべて、現在、一般的に利用可能です。 SBOM分析と解析を可能にする機能は、 Q4 2023で利用可能になります。
Clarotyの新しいVRM機能の詳細については、 Clarotyのブログをご覧いただくか、 xDome およびMedigate VRMソリューションブリーフをダウンロードするか、 デモをリクエストしてください。 Claroty また、9月 18-21 日にネバダ州ラスベガスのシーザーズパレスのブース#0705で開催されるCrowdstrike Fal.Con 2023でライブデモも開催されます。
1J. Jacobs, S. Romanosky, O. Suciu, B. Edwards and A. Sarabi, "Enhancing Vulnerability Prioritization: Data-Driven Exploit Predictions with Community-Driven Insights," in 2023 IEEE European Symposium on Security and Privacy Workshops (EuroS&PW), Delft, Netherlands, 2023 pp. 194-206.
2Gartner、CPS 保護プラットフォームのマーケットガイド、 29 June 2023、Katell Thielemann、Wam Voster
について Claroty
Claroty は、産業、医療、公共部門、商業環境、すなわち拡張モノのインターネット(XIoT)環境におけるサイバー物理システムを保護する権限を組織に提供します。 同社の統合プラットフォームは、顧客の既存のインフラストラクチャと統合され、可視性、リスクと脆弱性の管理、脅威の検出、安全なリモートアクセスのための幅広い制御を提供します。 世界最大の投資会社と産業用オートメーションベンダーに支えられ、 Claroty は世界中の何千もの拠点で何百もの組織に展開されています。 本社はニューヨーク市にあり、ヨーロッパ、アジア太平洋、ラテンアメリカに拠点を置いています。 詳細については、 claroty.com。
