緊急パッチ管理

Windowsシステム

NiCEは次の場合は、影響を受けるCXone Mpowerシステムにできるだけ早くパッチを適用する必要があります。

  • 考えられるエクスプロイトに関して概念実証コードが公開されています。

  • 新しい緊急セキュリティパッチがリリースされました。

これらのパッチの目的は、組織のクラウド環境における脆弱性を即座に除去することです。 Microsoft重要なアップデートとその他のパッチは、テストサイクルで実行され、定期的なスケジュールで適用されます。 このスケジュールは通常、Microsoftのパッチ火曜日から始まる30日間のパッチサイクルです。 NiCEも同様の優先度のLinuxパッチ適用スケジュールを維持します。 クリティカルパッチは翌月のパッチを待つべきではありません。

パッチとアップグレードは、変更管理録音 (CCR) に記載されています。 これらは、NiCE変更管理委員会によって次の点についてレビューされる必要があります。

  • 影響。

  • リスク分析。

  • 承認前に必要な処置。

パッチとアップグレードは、ピアレビューとテクニカルレビューでも確認する必要があります。

パッチとアップグレードは、最初にCXone Mpowerラボでテストされ、次にアルファおよびベータクラスタでテストされ、次に本番環境でテストされます。 NiCEは、予期しない重大な問題に対する緊急変更管理プロセスを維持します。

テストは、専用の品質保証 (QA) 部門によって更新時に実行されます。 この部門はNiCEガイドライン内の実践を活用しています。 これらのガイドラインは次のとおりです。

  • セキュリティ開発ライフサイクル (SDLC)。

  • ポリシーと手順のドキュメント。

NiCE運用チームは、該当するすべてのCXone Mpowerデバイスを更新またはパッチ適用します。 パッチ適用は、設定されたメンテナンス時間中に行われ、通常は場所に応じて毎晩3時間のオフピーク時間がカバーされます。 保守期間は顧客の契約の一部として開示されます。 メンテナンスにより、サーバの再起動中やクラスタのフェイルオーバー中に短時間中断することがあります。

Windowsのシステムおよびソフトウェア

Linuxおよびその他の非Windowsオペレーティングシステムとデバイスには、予定されたアドホックベースでパッチが適用されます。 これらは、上記と同じ変更管理委員会 (CCB) プロセスおよびサイクルに従います。 現在のバージョンは既知であり、関連する一般的な脆弱性と露出 (CVE) と比較された後、修復されます。

情報セキュリティは、サードパーティーまたは非Windowsソフトウェアを評価します。 以下を使用して実行します。

  • QAによるスキャン。

  • セキュリティセンター。

  • その他の検出コントロールとレポート。

情報セキュリティは、これらの脆弱性をそれぞれの所有者やグループ (SysOpsやR&Dなど) に通知します。「重要」または「高」にランク付けされた脆弱性は、30~90日以内にパッチを適用する必要があります。 これらの脆弱性内の特定の脅威は、30日以内に管理する必要があります。

ツール

インフラツールは、Windowsで使用される内部ツールです。 ソフトウェアとハードウェアのステータスの自動検出を実行します。 このツールはシステムオペレーショングループによって実行されます。 これにより、パッチが適用されていない機器やソフトウェアにフラグが立てられ、パッチが適用されます。

ファイアウォールは、脅威保護が有効になっているIDS/IPSの間にディープパケットインスペクションを実行します。

NiCEは、他の管理脅威ランドスケープ調査ツールを社内で採用しています。 ログSIEMは、適切なサーバからのログに異常がないか検査します。

サービスレベルの目的

NiCEは、パッチの適用時にサービスレベル目標を使用します。 これらの目的により、次のことが保証されます。

  • 既知の脆弱性は予定どおりに修正されます。

  • パッチは以下に準拠しています:

    • PCI-DSS

    • その他のスコープセキュリティインフラストラクチャ要件。

パッチおよびイベントリスクを表すためにスケールが使用されます。 内部デバイス所有者グループは、その有効性を「重要」、「高」、「中」、または「低」と評価しています。

  • 重要な脆弱性は30日以内に修正する必要があります。

  • い脆弱性は60日以内に修正する必要があります。

  • 程度の脆弱性は90日以内に修正する必要があります。

  • い脆弱性は、内部デバイス所有者グループによって設定された時間内にパッチを適用する必要があります。

情報セキュリティは、弱点に関する情報をセキュリティセンターに渡します。 これは脆弱性検査レポートで行われます。

修復サイクル

重大な脅威の分析は、検出後すぐに開始されます。 脅威の定義と行動計画は72時間以内に決定されます。 その後、計画は修復サイクルに入ります。 修復サイクルは次のように構成されます。

  1. ソリューションの設計。

  2. ソリューションのエンジニアリング。

  3. テストのためのラボでの実装。

  4. QAにソリューションを渡す。

  5. リリーススケジュール。

  6. 理事会のピアレビューと承認プロセスを変更します。

  7. 展開。

分析、定義、行動計画、修復サイクルは、検出から30日以内に実行する必要があります。 ビジネスユニットサービスが影響を受けた場合、進行状況の更新がビジネスユニットに通知されます。 修復サイクルの各ステップが実装されると、更新が配信されます。 修復が成功すると、インシデントに応じて、RCAが影響を受けるビジネスユニットに配信されます。

例外

手動修復とカタログ化は、次のものではないサーバとデバイスに対して実行されます。

  • WSUSサーバとの通信。

  • アップデートをプルできます。

パッチが適用されていないサーバのレポートは、可視性、追跡、および修復アクションのために情報セキュリティに提供されます。