論文の概要: To Patch or Not to Patch: Motivations, Challenges, and Implications for Cybersecurity
- arxiv url: http://arxiv.org/abs/2502.17703v1
- Date: Mon, 24 Feb 2025 22:52:35 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-02-26 15:23:52.550178
- Title: To Patch or Not to Patch: Motivations, Challenges, and Implications for Cybersecurity
- Title(参考訳): パッチをパッチするかどうか - サイバーセキュリティへのモチベーション、課題、意味
- Authors: Jason R. C. Nurse,
- Abstract要約: パッチ適用に関する質問を新たに検討し、なぜ組織がパッチ適用を選択したのか、それに反対したのかを批判的に調査する。
主な動機は、組織的なニーズ、IT/セキュリティチームとベンダーとの関係、法的および規制的な要求である。
また、この決定がパッチが適用されない理由として、多くの重要な理由が発見されている。
- 参考スコア(独自算出の注目度): 2.7195102129095003
- License:
- Abstract: As technology has become more embedded into our society, the security of modern-day systems is paramount. One topic which is constantly under discussion is that of patching, or more specifically, the installation of updates that remediate security vulnerabilities in software or hardware systems. This continued deliberation is motivated by complexities involved with patching; in particular, the various incentives and disincentives for organizations and their cybersecurity teams when deciding whether to patch. In this paper, we take a fresh look at the question of patching and critically explore why organizations and IT/security teams choose to patch or decide against it (either explicitly or due to inaction). We tackle this question by aggregating and synthesizing prominent research and industry literature on the incentives and disincentives for patching, specifically considering the human aspects in the context of these motives. Through this research, this study identifies key motivators such as organizational needs, the IT/security team's relationship with vendors, and legal and regulatory requirements placed on the business and its staff. There are also numerous significant reasons discovered for why the decision is taken not to patch, including limited resources (e.g., person-power), challenges with manual patch management tasks, human error, bad patches, unreliable patch management tools, and the perception that related vulnerabilities would not be exploited. These disincentives, in combination with the motivators above, highlight the difficult balance that organizations and their security teams need to maintain on a daily basis. Finally, we conclude by discussing implications of these findings and important future considerations.
- Abstract(参考訳): テクノロジーが社会に浸透するにつれ、現代のシステムのセキュリティは最重要課題となっている。
常に議論されているトピックの1つは、ソフトウェアやハードウェアシステムのセキュリティ脆弱性を修復するアップデートのパッチ、あるいはより具体的には、インストールである。
この継続的な議論はパッチ適用に関わる複雑さによって動機付けられており、特にパッチ適用を決定する際には、組織やサイバーセキュリティチームに対する様々なインセンティブや非インセンティブがある。
本稿では、組織やIT/セキュリティチームが、なぜパッチを当てるか、それに反対するか(明示的に、あるいは不作為か)をなぜ選択するか、という問題について、再検討する。
我々は,これらのモチベーションの文脈における人的側面を特に考慮して,パッチのインセンティブやインセンティブに関する著名な研究・産業文献を収集・合成することで,この問題に対処する。
本研究は,企業のニーズ,IT/セキュリティチームとベンダとの関係,ビジネスとスタッフの法的・規制的要件など,主要なモチベーション要因を明らかにする。
例えば、限られたリソース(人力など)、手動のパッチ管理タスクの課題、ヒューマンエラー、悪いパッチ、信頼性の低いパッチ管理ツール、関連する脆弱性を悪用しないという認識などだ。
これらの不満は、上記のモチベーションと組み合わせて、組織とセキュリティチームが日々維持しなければならない困難なバランスを強調します。
最後に,これらの知見の意義と今後の重要な考察について論じる。
関連論文リスト
- Open Problems in Machine Unlearning for AI Safety [61.43515658834902]
特定の種類の知識を選択的に忘れたり、抑圧したりするマシンアンラーニングは、プライバシとデータ削除タスクの約束を示している。
本稿では,アンラーニングがAI安全性の包括的ソリューションとして機能することを防止するための重要な制約を特定する。
論文 参考訳(メタデータ) (2025-01-09T03:59:10Z) - Using AI Alignment Theory to understand the potential pitfalls of regulatory frameworks [55.2480439325792]
本稿では、欧州連合の人工知能法(EU AI法)を批判的に検討する。
人工知能における技術的アライメントの潜在的な落とし穴に焦点を当てたアライメント理論(AT)研究からの洞察を利用する。
これらの概念をEU AI Actに適用すると、潜在的な脆弱性と規制を改善するための領域が明らかになる。
論文 参考訳(メタデータ) (2024-10-10T17:38:38Z) - A Mixed-Methods Study of Open-Source Software Maintainers On Vulnerability Management and Platform Security Features [6.814841205623832]
本稿では,OSSメンテナの脆弱性管理とプラットフォームセキュリティ機能について考察する。
サプライチェーンの不信や、脆弱性管理の自動化の欠如が、最も困難であることに気付きました。
プラットフォームのセキュリティ機能を採用する上での障壁は、認識の欠如と、それらが必要ないという認識の欠如である。
論文 参考訳(メタデータ) (2024-09-12T00:15:03Z) - From Chaos to Consistency: The Role of CSAF in Streamlining Security Advisories [4.850201420807801]
Common Security Advisory Format (CSAF)は、セキュリティアドバイザリを標準化されたフォーマットにすることを目的としている。
CSAFは現在滅多に使われていない。
主な理由の1つは、システムがまだ自動化のために設計されていないことである。
論文 参考訳(メタデータ) (2024-08-27T10:22:59Z) - Security in IS and social engineering -- an overview and state of the art [0.6345523830122166]
すべてのプロセスのデジタル化とIoTデバイスのオープン化は、サイバー犯罪という新たな犯罪形態の出現を促している。
こうした攻撃の悪意は、ユーザーがサイバー攻撃のファシリテーターになるという事実にある。
予測方法、弱い信号と外れ値の特定、早期発見、コンピュータ犯罪への迅速な対応が優先課題であり、予防と協力のアプローチが必要である。
論文 参考訳(メタデータ) (2024-06-17T13:25:27Z) - An Investigation of Hardware Security Bug Characteristics in Open-Source Projects [4.526103806673449]
私たちは、バグレポートやバグ修正を含む、人気のあるOpenTitanプロジェクトについて深く掘り下げています。
バグを機能やセキュリティに関連するものとして手動で分類し、セキュリティバグの影響や位置といった特性を分析します。
その結果、OpenTitanのバグの53%が潜在的なセキュリティ上の影響があり、すべてのバグ修正の55%が1つのファイルだけを変更していることがわかった。
論文 参考訳(メタデータ) (2024-02-01T15:47:01Z) - AI for IT Operations (AIOps) on Cloud Platforms: Reviews, Opportunities
and Challenges [60.56413461109281]
IT運用のための人工知能(AIOps)は、AIのパワーとIT運用プロセスが生成するビッグデータを組み合わせることを目的としている。
我々は、IT運用活動が発信する重要なデータの種類、分析における規模と課題、そしてどのように役立つかについて深く議論する。
主要なAIOpsタスクは、インシデント検出、障害予測、根本原因分析、自動アクションに分類します。
論文 参考訳(メタデータ) (2023-04-10T15:38:12Z) - Proceedings of the Artificial Intelligence for Cyber Security (AICS)
Workshop at AAAI 2022 [55.573187938617636]
ワークショップは、サイバーセキュリティの問題へのAIの適用に焦点を当てる。
サイバーシステムは大量のデータを生成し、これを効果的に活用することは人間の能力を超えます。
論文 参考訳(メタデータ) (2022-02-28T18:27:41Z) - Security for Machine Learning-based Software Systems: a survey of
threats, practices and challenges [0.76146285961466]
機械学習ベースのモダンソフトウェアシステム(MLBSS)を安全に開発する方法は、依然として大きな課題である。
潜伏中の脆弱性と、外部のユーザーや攻撃者に暴露されるプライバシー問題は、ほとんど無視され、特定が難しい。
機械学習ベースのソフトウェアシステムのセキュリティは、固有のシステム欠陥や外敵攻撃から生じる可能性があると考えている。
論文 参考訳(メタデータ) (2022-01-12T23:20:25Z) - A System for Automated Open-Source Threat Intelligence Gathering and
Management [53.65687495231605]
SecurityKGはOSCTIの収集と管理を自動化するシステムである。
AIとNLP技術を組み合わせて、脅威行動に関する高忠実な知識を抽出する。
論文 参考訳(メタデータ) (2021-01-19T18:31:35Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。