症状の治療をやめる。病気を治す。
脆弱性管理プログラムが十分に確立されている場合でも、これから始める場合でも、このコースを受講することで、脆弱性管理についてこれまでとは異なる考え方ができるようになります。このコースでは、誇大広告にとらわれず、ブロックされていないセキュリティ脆弱性にうまく優先順位をつけ、さまざまな理由で現在修復できないバックログにある残りの脆弱性に関連するリスクを明確かつ効果的に伝える方法を学びます。また、インフラとアプリケーション、クラウド環境と非クラウド環境の両方におけるセキュリティ脆弱性管理に関連する負担を軽減するために、成熟した組織がどのような取り組みを行っているかを学ぶことができます。LDR516は、PIACT(Prepare、Identify、Analyze、Communicate、Treat)モデルに基づいています。
LDR516は、企業セキュリティのプログラムを成熟させるために脆弱性管理について戦略的に考えることを支援するだけでなく、一般的な課題を克服するための戦術的なガイダンスも提供します。従来の運用環境とクラウドの運用環境の両方において多くの組織が直面する典型的な問題を理解し、その解決策を議論することで、今日と明日の課題に対応する準備が整います。また、多くの組織が従来の運用環境を管理し続けるだけでなく、クラウドサービスを導入していることを踏まえ、コース全体を通してさまざまなクラウドサービスの種類と、それらがプログラムに与えるプラスとマイナスの影響についても見ていきます。また、それぞれの環境で活用できるツールやプロセスを紹介し、新しいトレンドも紹介します。
「このコースは、確立された脆弱性管理チームにとっても、発展途上の脆弱性管理チームにとっても不可欠である。」- Robert Adams, CBC
「このコースは、VMPを作成し、実施する人々にとって素晴らしいものです。このコースは詳細で徹底しており、プログラムを成功させるための明確な期待値を設定しています。」- Rachel Parkhurst
脆弱性管理とは何か?
脆弱性管理とは、定義された測定可能な方法で、組織全体のシステムやソフトウエアに潜在するセキュリティに影響を与える欠陥や不具合を特定、分析、伝達、処置するためのプログラムと関連プロセスのことである。
ビジネス上の利点
このコースは、あなたの組織に役立ちます:
- 現代の脆弱性プログラムにおいて、何が有効で何が有効でないかを理解する。
- クラウド運用環境に関連する影響を予測し、計画する。
- コンテキストが重要な理由と、コンテキストデータの収集、保存、維持、効果的な活用方法を理解する。
- 主要な利害関係者に、脆弱性データとそれに関連するリスクを効果的かつ効率的に伝える。
- 現在の障害や欠陥を特定するために、脆弱性を有意義にグループ化する方法を決定する。
- どのメトリクスが組織内での採用と変革を促進するかを知る。
- 技術チームが脆弱性を解決し、プロアクティブに対応するために、どのような修復機能が利用できるかを理解する。
習得スキル
- 脆弱性管理プログラムを作成、実装、または成熟させ、利害関係者の賛同を得るためのステップ
- 企業やクラウドにおけるIT資産の正確で有用なインベントリーを構築し、維持するためのテクニック
- インフラストラクチャとアプリケーションの両方において、どのような識別プロセスとテクノロジーが効果的で、どのようにそれらを適切に構成するか。
- 識別ツールで注意すべき一般的な偽陽性または偽陰性は?
- さまざまな手法に基づいて、ブロックされていない脆弱性に優先順位をつけて治療する方法
- 組織内の脆弱性データを効果的に報告・伝達する
- ブロックされ、現在のところ改善の優先順位が付けられない脆弱性に関連するリスクを特定し、報告する能力。
- 最新の治療能力をよりよく理解し、治療チームとよりよく関わる方法
- 関係者全員にとって脆弱性管理をより楽しく魅力的なものにする才能
- アプリケーション層の脆弱性とインフラ層の脆弱性の対処方法の違い
- クラウドへの移行、プライベートクラウドの導入、組織内でのDevOpsの展開に伴い、戦略や手法がどのように変化するかを理解する。
実践的脆弱性管理トレーニング
LDR516は、Cyber42のリーダーシップ・シミュレーション・ゲーム、概略シナリオに基づいたクリティカル・シンキング・ラボ、およびデモンストレーションを使用して、VMの戦いを巧みに戦うために必要な情報を提供します。Cyber42は、受講生がコースを通して内容を吸収し、応用できるように支援します。このウェブベースの継続的な卓上演習では、受講生は架空の組織である「Everything Corporation」または「E Corp」において、セキュリティ文化の改善、予算とスケジュールの管理、特定の脆弱性管理能力の向上を目指します。この演習では、実際のシナリオを想定し、特定の事象に対応して組織の成熟度を向上させるためのさまざまな選択肢を考え抜くことが求められます。
以下は、セクションごとに異なるゲームコンポーネントとその他のラボの簡単な説明です:
- セクション 1:エブリシング・コーポレーション会社概要、ラウンド 1 イニシアチブ選択、実践イベント:イベント1~3:監査アクションアイテム - VMポリシーと標準、シャドウクラウドの使用、資産インベントリ、ポリシーと標準のレビュー、クラウドへの移行、資産管理 - 重要な属性、資産コンテキストの活用 Domo、Azure Data Explorer、Axoniusのデモンストレーション。
- セクション2:ラウンド2イニシアティブの選択、イベント4-6:カバレッジのギャップ、スペース・レース、ブロブ・ストレージの設定ミス、スキャン技術、スキャンの検証、パイプラインの統合
- セクション 3:イベント 7-9: ヘルスケア脅威インテリジェンスの共有、エラー - 計算されない、不正確なレポート、ラウンド 3 イニシアチブ選択、コンテキスト優先順位付け、ソリューショングループとタイプの追加 ServiceNow デモンストレーション
- セクション4:イベント10-12:パッチが当てられない、当てない、エイジングの問題、サードパーティ製アプリのダウンロード、ラウンド4イニシアティブの選択、文化の変化、ゴールドイメージパイプラインのデモ、修復の効果
- セクション5:出来事13-17プログラムへの支援、Eコマースの失敗、レガシー・システム、コード・カバレッジへの挑戦、宇宙開発競争 第2部-理事会、脆弱性管理への賛同
「素晴らしいラボ。脆弱性管理は想像以上に楽しい。」- Page Jeffery, Newmont
「このようなラボでのディスカッションや、他のユーザーから似たような意見を聞くのは本当に楽しい。このラボの形式は楽しいと思います。」- Isaac Philbrook, Premera
「Cyber42での素晴らしい経験!」- Yann Esclanguin, Caterpillar
シラバス概要
- セクション1:コースの概要、ポリシーと標準、クラウド設計の考慮事項、サイバー資産の攻撃対象領域管理
- セクション2:インフラとアプリケーションの両方にわたる課題、プロセス、技術の特定
- セクション3:効果的に行動に影響を与えるための分析、測定基準、コミュニケーション技術
- セクション4:一般的な処理または浄化プロセスと技術
- セクション5:賛同を得てプログラムを進める
その他の無料の参考資料
提供教材
- コースの全内容、ラボの紹介と報告を含む学生用マニュアル
- 授業ウェブサイト上のラボ教材や特典コンテンツ、ビデオへのアクセス
- Cyber42セキュリティ・リーダーシップ・シミュレーション・ゲームへのアクセス
- 全講座のMP3音声ファイル
次のステップ
