悪用される可能性のあるソフトウェアへの露出を最小限に抑えたいと考えている組織は、セキュリティバグに関する言及がないかTwitterをスキャンし、共通脆弱性評価システム(CVSS)を使用するべきだとKenna Securityは主張している。
さらに良いのは、エクスプロイト コードが利用可能な脆弱性の情報がわかっている場合は、その脆弱性の修復を優先することです。
CVSSは、ソフトウェアの脆弱性(CVE番号で識別)の深刻度を1(最も深刻でない)から10(最も深刻である)までのスケールで評価するためのフレームワークです。米国を拠点とする非営利のコンピュータセキュリティ組織であるFirst.orgによって管理されています。
例えば、Log4j の初期の脆弱性 (CVE-2021-44228) の基本CVSSスコアは10.0でした。Log4j のCVSSスコアには、以下の追加データも添付されていました。
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
この文字の羅列は、フレームワークのバージョン (3.0)、攻撃ベクトル (ネットワーク)、攻撃の複雑さ (低)、必要な権限 (なし)、必要なユーザー操作 (なし)、影響を受ける可能性のあるリソースの範囲が変更されていないかどうか (変更あり)、および機密性、整合性、可用性を表す影響メトリックを要約したものです。
CVSSスコアは、組織が危険な脆弱性の修正に重点的に取り組むのに役立ちます。理想的には優先順位付けは必要ありませんが、大規模な組織では修正すべきバグが多すぎて、すべてを一度に修正することが現実的ではないことがよくあります。昨年は2万件を超えるCVEが公開されましたが、20年前はわずか1,000件強でした。
CVSS スコアは脆弱性の修復戦略の参考になるが、昨年シスコに買収された Kenna Security は、エクスプロイト コードの欠陥に焦点を当てたり、Twitter で脆弱性が言及された回数を数えたりするなど、より適切な優先順位付けのシグナルがあると主張している。
Kenna 氏は、First.org が管理する Exploit Prediction Scoring System (EPSS) の使用を主張しています。
EPSS は CVE データとエクスプロイト データを組み合わせて、脆弱性が悪用されるかどうか、またいつ悪用されるかを予測します。
「エクスプロイトコードで脆弱性を優先順位付けすることは、共通脆弱性評価システム(CVSS)スコアよりも11倍効果的で、悪用される可能性を最小限に抑えることができます」と、CTO兼共同創設者のエド・ベリス氏は水曜日のブログ投稿で述べています。「驚くべきことに、TwitterでのメンションはCVSSよりもはるかに優れた信号対雑音比(SN比)を持っています(約2倍)。」
以下のグラフは、修復速度と EPSS を使用して脆弱性修復戦略を評価しています。
画像出典: Kenna Security
Kenna Securityは、データサイエンス企業であるCyentia Instituteと協力し、脆弱性修復データセットの分析を行っています。Kennaは調査結果を一連のレポートで公開しており、最新のレポートは「Prioritization to Prediction Volume 8, Measuring and Minimizing Exploitability(優先順位付けから予測へ:第8巻、エクスプロイト可能性の測定と最小化)」です。
Cyentia Institute のパートナー兼共同設立者であるジェイ・ジェイコブス氏はThe Register への電子メールで、脆弱性の CVSS スコアが 10 であっても、その欠陥に対処する必要があることは明らかであり、Twitter は CVSS よりも優れた基準であると語った。
「この指標はCVSS全体のパフォーマンスを検証し、優先順位付け戦略として用いるため、企業がベーススコアに基づいて修復を行っていることを前提としています」とジェイコブス氏は述べています。「つまり、企業は自社環境内のすべてのCVSSスコア10から始めてそれらを修復し、次に次に高いCVSSスコアへと移行する、というように進めていくのです。レポートで説明されているように、修復能力が限界に達するまでこれを続けるのです。」
レポートの要点は、効果的な戦略を使用してパッチを優先順位付けすると、パッチを適用するための内部能力を拡大するよりも組織の攻撃対象領域を減らすことができるという点です。
- Sonicwall SMA 100 VPN ボックスのパッチを最新に保ってください – セキュリティホールのエクスプロイト情報が公開
- CISAがLog4jの脆弱性を修正するための緊急指令を発行
- インテルの最近のAtom、Celeron、Pentiumチップはデバッグモードに誘導され、システムの秘密が暴露される可能性がある。
- 報道によると、ブラックベリーはQNXを車載機器に搭載する計画を遅らせたが、BadAllocバグの影響を受けることを認めた。
インシデント対応およびセキュリティチームフォーラム(FIRST)のエグゼクティブディレクター、クリス・ギブソン氏は、The Register への電子メールで、CVSS と EPSS はそれぞれ重大度とリスクという異なるものを測定すると述べました。
「CVSSにおける最大の課題の一つは、エンドユーザーへの消費者教育です」と彼は述べた。「善意のCVSS消費者の多くは、自社製品で発見された脆弱性(CVE ID)をCVSSベーススコアで単純に順位付けし、その数値だけに基づいて対策/緩和策を策定しています。これは間違いなく最も簡単な方法ですが、同時に最も適切で正確性に欠ける方法でもあります。正確な評価を行うには、脅威や環境といった追加情報も考慮する必要があります。」
彼は、この問題を取り上げた First.org の Web サイトの記事を指摘し、CVSS ベース スコアだけでは悪意のある攻撃のリスクを伝えることを意図していないことを強調しました。
「これを出発点として、EPSSなどのリアルタイム脅威分析によって軽減され、セキュリティ要件(リスク許容度と呼ぶ人もいる)によって強化されると、スコアリングを行う消費者は、特定の脆弱性に対する適切な対応、優先度、緊急性をより正確に測定し、評価できるようになります」と彼は述べた。
Kenna/Cyentia のレポートには、EPSS に基づくさまざまな技術ベンダーの悪用可能性に関する注目すべきデータも含まれています。
マイクロソフトは、最も多くの脆弱性と最も悪用されやすい脆弱性を抱えているにもかかわらず、他のほとんどのベンダーよりも迅速にバグを修正しているという。脆弱性が未修正のまま放置されている期間と悪用されやすい脆弱性をグラフ化すると、HPとIBMが際立って遅れをとっている。
画像出典: Kenna Security
一方、Googleは、低い悪用可能性と迅速な修復時間で高く評価されています。「…Googleは、悪用可能性の低さと修復速度の高さにおいて、他に類を見ない存在です」とレポートは述べています。®
