Why CVE Management as a Primary Strategy Doesn’t Work
2022/11/12 DarkReading — セキュリティ研究者である私にとって、一般的な脆弱性と暴露 (CVE) は問題だが、その理由は、あなたが思うものではない。IT とセキュリティのチームは、CVE がもたらす脅威と膨大な修正作業のために CVE を嫌っているが、私が悩むのは、セキュリティための手続きと CVE との関係についてである。私たちが本当に必要としているのは、ハッカー中心のアプローチであるはずなのだが、私たちの緩和戦略は脆弱性管理に集中し、CVE 中心になってしまっている。
主要な戦略として見るなら、脆弱性管理には、それほどの効果はない。米国国立標準技術研究所 (NIST) によると、2021年だけで 20,158件の新たな脆弱性が発見され、5年連続で脆弱性の発見数は過去最高となり、この傾向は 2022年も続く可能性が極めて高いようだ。そしてセキュリティ・チームは、年間2万件もの新たな脆弱性に合理的にパッチを当てることは不可能であり、また、仮にできたとしても、そうすべきではない。
あなたの直感に反するように聞こえるかもしれないが、そうでは無いと納得てもらえる理由もある。1つ目の理由は、最近の研究において、実際に悪用可能な脆弱性は 15% 程度であることが明らかになっていることだ。したがって、膨大なタスクを抱えるセキュリティ・チームにとって、すべての脆弱性にパッチを当てることは、時間を有効に活用することにならない。2つ目の理由は、仮にネットワーク上の CVE に対して、100% パッチを維持できたとしても、ハッカーを阻止するだけの、効果を得られない可能性が高いということだ。
ハッカーの戦略は多岐に渡る
ハッカーが採用している戦略リストは、フィッシング/スピアフィッシング/ソーシャル・エンジニアリング/漏えいした認証情報/デフォルトの認証情報/標準インターフェース (FTP/SMB/HTTP) を介した認証不要のアクセス/パスワードなしでアクセス可能なホットスポット/ネットワーク・ポイズニング/パスワードクラッキングといった具合に多種多様である。
さらに、それらの多くは、組織が危険であるとみなす深刻なレベルの CVE さえ、まったく必要としないケースを生み出している。最近の Uber における情報漏えいのインシデントでは、最新の CVE や複雑な攻撃方法は利用あされずに、組織をターゲットにするハッカーが成功を収めた顕著な例である。
Uber の Slack チャンネルでハッカーが主張したことを信じるのか、最近の Uber のコメントを信じるのかにより、その先の推論は変わってくる。このハッカーは、巧みなソーシャル・エンジニアリングとスピアフィッシング攻撃により、Uber のスタッフからデータを流出させた18歳の若者なのか?それとも、ダークウエブから入手したリーク情報に基づき、スピアフィッシング攻撃を行った南米のハッカー集団 Lapsus$ のなのか?
ただし、いずれのケースにおいても、複雑なコーディングや脆弱性の悪用は行われていない。その代わりに、昔ながらの戦術のバリエーションとして、試行錯誤が繰り返されている。
重要なのは、脆弱性ではなく、そのベクターだ
パッチが非常に重要だという点については、誤解してほしくない。パッチは極めて重要であり、強固なセキュリティ体制の重要な一部であり、あらゆるセキュリティ戦略の重要な構成要素である。そして、問題となるのは、今日の多くのツールが、共通脆弱性スコアリング・システム (CVSS) のスコアだけに基づき、修復勧告の優先順位を決めている点だ。つまり、重要な 15% の脆弱性と、その他の 85% の脆弱性を、どのように区別するかという理解が失われているのだ。
イスラエル国防軍で侵入テストの経験を持ち、Pentera ではペンテスターやレッドチームを率いる研究担当副社長として私が学んだことは、重要なのは脆弱性ではなく、ベクターであるということだ。攻撃が深刻な脆弱性で始まらないからと言っても、その攻撃が重大な脆弱性で完結しないとは限らない。ある組織にとって最も危険な脆弱性は、CVSS スコアが 5.7 に過ぎず、高スコアの誤検知のリストの、一番下に隠されているものかもしれない。
漏洩した認証情報はより大きな脅威である
平均的な組織にとって、漏洩した認証情報は、今後に発表される 12個の CVE を合わせたよりも、はるかに大きな脅威となる可能性が高い。その一方で、多くの組織においては、Web の暗黒地帯に漂っている自社の認証情報を、発見するためのプロトコルが整備されていないのが現状である。私たちは、ハッカーが膨大な時間を費やして CVE に対するエクスプロイトを開発しているかのように捉えているが、実際のところ彼らは、私たちのネットワークにアクセスするための、最も効率的な方法を探しているに過ぎないのだ。今日の脅威アクターの多くは金銭的な動機があり、他の一般的な組織と同様に、時間に対する最高の ROI を望んでいる。認証情報の入手や購入が可能なのに、時間をかけて複雑な攻撃を仕掛ける理由はない。
今、私たちの防御は機能していない。私たちセキュリティ専門家は、どこに弱点があるのかを、再検討する必要がある。脆弱性管理が、有意義なセキュリティ戦略の中核をなすことに間違いはないが、主要な方法論としては、脆弱性管理から離れる必要がある。その代わりに、ハッカーが利用している戦略を観察し、それを阻止する方法を、セキュリティ戦略の基本に据える必要がある。もし、セキュリティの効果を高めて、我々の被害を減らしたいのであれば、ハッカーが我々を攻撃するために使っている、現実の技術や方法論を理解することに、重点を置く必要があるだろう。
先ほどの「CISA が SSVC を公開:パッチの優先順位決定に役立つディシジョン・ツリー・モデル」と一緒に読んでもらいたい記事です。おそらく、CISA の発表に合わせて、この記事を用意してくれたのだと思います。このあたりが、DarkReading の素敵なところです。お隣のキュレーション・チームと、たまに話すのですが、神経と労力を費やしながら CVSS 値を探し出すにしても、その有効性については、自問自答しながらの作業になるとことです。いま、キュレーターとしてできることは、CISA の KEV に対応するレポートを、どのようにしたら効率よく作成できるのかという点らしいです。パッチ適用を優先すべき脆弱性を、絞り込むための方式へと、この世界は動き始めているようです。
IoT OT Security News 
You must be logged in to post a comment.