緊急パッチ管理

Windowsシステム

NICE CXoneは次の場合は、影響を受けるCXoneシステムにできるだけ早くパッチを適用する必要があります。

  • 考えられるエクスプロイトに関して概念実証コードが公開されています。

  • 新しい緊急セキュリティパッチがリリースされました。

これらのパッチの目的は、組織のクラウド環境における脆弱性を即座に除去することです。Microsoft緊急アップデートおよびその他のパッチは、テストサイクルを通じて実行され、定期的なスケジュールで適用されます。このスケジュールは通常、Microsoftのパッチ火曜日から始まる30日間のパッチサイクルです。NICE CXoneも同様の優先度のLinuxパッチ適用スケジュールを維持します。クリティカルパッチは翌月のパッチを待つべきではありません。

パッチとアップグレードは、変更管理録音 (CCR) に記載されています。これらは、NICE CXone変更管理委員会によって次の点についてレビューされる必要があります。

  • 影響。

  • リスク分析。

  • 承認前に必要な処置。

パッチとアップグレードは、ピアレビューとテクニカルレビューでも確認する必要があります。

パッチとアップグレードは、最初にNICE CXoneラボでテストされ、次にアルファおよびベータクラスタでテストされ、次に本番環境でテストされます。NICE CXoneは、予期しない重大な問題に対する緊急変更管理プロセスを維持します。

テストは、専用の品質保証 (QA) 部門によって更新時に実行されます。この部門はNICE CXoneガイドライン内の実践を活用しています。これらのガイドラインは次のとおりです。

  • セキュリティ開発ライフサイクル (SDLC)。

  • ポリシーと手順のドキュメント。

NICE CXone運用チームは、該当するすべてのCXoneデバイスを更新またはパッチ適用します。パッチ適用は、設定されたメンテナンス時間中に行われ、通常は場所に応じて毎晩3時間のオフピーク時間がカバーされます。保守期間は顧客の契約の一部として開示されます。メンテナンスにより、サーバの再起動中やクラスタのフェイルオーバー中に短時間中断することがあります。

Windows以外のシステムおよびソフトウェア

Linuxおよびその他のWindows以外のオペレーティングシステムとデバイスには、予定されたアドホックベースでパッチが適用されます。これらは、上記と同じ変更管理委員会 (CCB) プロセスおよびサイクルに従います。現在のバージョンは既知であり、関連する一般的な脆弱性と露出 (CVE) と比較された後、修復されます。

情報セキュリティは、サードパーティまたはWindows以外のソフトウェアを評価します。以下を使用して実行します。

  • QAによるスキャン。

  • セキュリティセンター。

  • その他の検出コントロールとレポート。

情報セキュリティは、これらの脆弱性をそれぞれの所有者やグループ (SysOpsやR&Dなど) に通知します。「重要」または「高」にランク付けされた脆弱性は、30~90日以内にパッチを適用する必要があります。これらの脆弱性内の特定の脅威は、30日以内に管理する必要があります。

ツール

インフラツールは、Windowsで使用される内部ツールです。ソフトウェアとハードウェアのステータスの自動検出を実行します。このツールはシステムオペレーショングループによって実行されます。これにより、パッチが適用されていない機器やソフトウェアにフラグが立てられ、パッチが適用されます。

ファイアウォールは、脅威保護が有効になっているIDS/IPSの間にディープパケットインスペクションを実行します。

NICE CXoneは、他の管理脅威ランドスケープ調査ツールを社内で採用しています。ログSIEMは、適切なサーバからのログに異常がないか検査します。

サービスレベルの目標

NICE CXoneは、パッチの適用時にサービスレベル目標を使用します。これらの目的により、次のことが保証されます。

  • 既知の脆弱性は期限内に修正されます。

  • パッチは次のものに準拠しています。

    • PCI-DSS

    • その他のスコープセキュリティインフラストラクチャ要件。

パッチおよびイベントリスクを表すためにスケールが使用されます。内部デバイス所有者グループは、その有効性を「重要」、「高」、「中」、または「低」と評価しています。

  • 重要な脆弱性は30日以内に修正する必要があります。

  • い脆弱性は60日以内に修正する必要があります。

  • 程度の脆弱性は90日以内に修正する必要があります。

  • い脆弱性は、内部デバイス所有者グループによって設定された時間内にパッチを適用する必要があります。

情報セキュリティは、弱点に関する情報をセキュリティセンターに渡します。これは脆弱性検査レポートで行われます。

修復サイクル

重大な脅威の分析は、検出後すぐに開始されます。脅威の定義と行動計画は72時間以内に決定されます。その後、計画は修復サイクルに入ります。修復サイクルは次のように構成されます。

  1. ソリューションの設計。

  2. ソリューションのエンジニアリング。

  3. テストのためのラボでの実装。

  4. QAにソリューションを渡す。

  5. リリーススケジュール。

  6. 理事会のピアレビューと承認プロセスを変更します。

  7. 展開。

分析、定義、行動計画、修復サイクルは、検出から30日以内に実行する必要があります。事業単位サービスが影響を受けた場合、進行状況の更新が事業単位に通知されます。修復サイクルの各ステップが実装されると、更新が配信されます。修復が成功すると、インシデントに応じて、RCAが影響を受ける事業単位に配信されます。

例外

手動修復とカタログ化は、次のものではないサーバとデバイスに対して実行されます。

  • WSUSサーバとの通信。

  • アップデートをプルできます。

パッチが適用されていないサーバのレポートは、可視性、追跡、および修復アクションのために情報セキュリティに提供されます。