QRadar Vulnerability Manager 脆弱性検査のカテゴリー
IBM® QRadar® Vulnerability Manager は、ネットワーク内の複数のタイプの脆弱性を検査します。
脆弱性は、以下の大まかなカテゴリーに分類されます。
- リスクの高いデフォルト設定
- ソフトウェア機能
- 構成ミス
- ベンダーの欠陥
リスクの高いデフォルト設定
デフォルト設定をそのままにしておくと、ネットワークが攻撃に対して脆弱になることがあります。 以下に、ネットワークが脆弱になる可能性がある状況の例を示します。
- IIS インストール済み環境でサンプルのページまたはスクリプトをそのままにしておく
- 3Com のハブ/スイッチでデフォルト・パスワードを変更しない
- SNMP 対応デバイスで SNMP コミュニティー名を「public」または「private」のままにする
- MS-SQL サーバーで sa ログイン・パスワードを設定しない
ソフトウェア機能
システムまたはアプリケーションの一部のソフトウェア設定は、使いやすさを向上させるために設計されていますが、ネットワークに対するリスクが生じることがあります。 例えば、Microsoft NetBIOS プロトコルは内部ネットワークで役立ちますが、インターネットまたは非トラステッド・ネットワーク・セグメントに公開されると、ネットワークにリスクが生じます。
以下の例では、ネットワークをリスクにさらす可能性があるソフトウェア機能やコマンドを示します。
- ICMP タイム・スタンプまたはネットマスク要求
- sendmail の expand または verify コマンド
- 実行中のプロセスの所有者を識別する ID プロトコル・サービス
構成ミス
QRadar Vulnerability Manager は、デフォルト設定の誤った構成を識別するだけでなく、以下のような広範囲の誤った構成を識別することができます。
- SMTPリレー
- 無制限の NetBios ファイル共有
- DNS ゾーン転送
- FTP 全ユーザー書き込み可能ディレクトリー
- パスワードが設定されていないデフォルト管理アカウント
- NFS 全ユーザー・エクスポート可能ディレクトリー
ベンダーの欠陥
ベンダーの欠陥は、バッファー・オーバーフロー、ストリング・フォーマットの問題、ディレクトリー横断、クロスサイト・スクリプティングなどのイベントが含まれる大まかなカテゴリーです。 パッチまたはアップグレード・フィックスを必要とする脆弱性は、このカテゴリーに含まれます。