脆弱性の 4 分の 3 以上は、国家脆弱性データベースの公開前にオンラインで公開されています。
ニュース サイト、ブログ、ソーシャル メディア ページ、さらにはダーク ウェブ、ペースト サイト、犯罪フォーラムなどの Web のより遠隔な領域では、NIST の1 つの集中型国家脆弱性データベース (NVD) よりも頻繁に最初にバグが公開されました。
脅威情報企業の Recorded Future によると、「CVE に関する非公式と公式のコミュニケーションの間のこの不一致により、CISO とセキュリティ チームの負担が大きくなり、知らないうちに潜在的な攻撃にさらされ、セキュリティ戦略に関して戦略的かつ情報に基づいた決定を下すことができなくなります」。
2016 年の初めから収集され、12,500 件を超えるセキュリティ バグの分析に基づくデータによると、CVE 2 が明らかになってから最終的に NIST の NVD に公開されるまでの平均遅延は 7 日でした。
Recorded Futureによると、公開から公式通知までの通常7日間のタイムラグは、組織を重大な脅威リスクにさらし、公式情報開示チャネルの信頼性に疑問を投げかけています。ベンダーの発表とNVDの公開までのタイムラグはさらに長くなる場合があり、最も速いベンダーでも平均1日遅れてアラートを発信し、最も遅いベンダーでは平均172日の遅れで公開しています。MicrosoftとAdobeは迅速ですが、IBMとApacheは遅いです。
ベンダー別の脆弱性に関する最初の発表とNVDリリースの間のギャップ [出典: Recorded Futureのブログ投稿]
脆弱性の20件中1件(5%)はNVDの公開前にダークウェブで詳細が公開されており、これらの深刻度は予想よりも高いものでした。例えば、Dirty Cow脆弱性(CVE-2016-5195)は、概念実証(POC)がNVD公開の15日前にPastebinに投稿されました。元のセキュリティレポートはロシア語に翻訳され、最初の公開から2日後にエクスプロイトフォーラムに投稿されました。
Recorded Future の報告によると、2016 年に初めてオンラインで報告された 500 件以上の CVE が、依然として NVD の公開を待っているという。
Recorded Futureの最高経営責任者であるクリストファー・アールバーグ氏は次のように述べています。「脆弱性の開示において、非公式の情報源と公式の情報源の間には大きなタイムラグがあると長年考えられてきました。今回の調査は、NVDと公式の報告チャネルが、実際に存在する脆弱性(CVE)の量に対応しきれていないことを明確に示しています。組織が自組織を守るためには、有意義で実用的なインテリジェンスを適用するために、他の情報源に目を向ける必要があります。」
Recorded Future は、組織は、ダーク ウェブなどアクセスが困難であるものの、新たな脅威や潜在的なゼロデイ攻撃に関する情報を最初に目にするサイトからの情報を活用し、脆弱性に対処するための積極的かつリスクベースのアプローチを採用する必要があると結論付けています。®
1 NIST - 米国国立標準技術研究所。2
CVE - 共通脆弱性識別子(Common Vulnerabilities and Exposure)、セキュリティバグカタログシステム。
