Relying on CVSS alone is risky for vulnerability management
2023/07/31 HelpNetSecurity — Rezilion によると、脆弱性の優先順位付けを CVSS のみに依存する管理の手法は、最善ではないことが判明しているようだ。実際のところ、それぞれの脆弱性のリスクを評価するために、CVSS の深刻度スコアのみに依存することは、脆弱性をランダムに選択して修復することに変わりないという。よりスケーラブルで効果的な優先順位の決定戦略を可能にするためには、さらなるコンテキストが必要となる。このコンテキストには、標的環境の内部的な情報源 (資産に関する重要性/緩和策/到達可能性) だけでなく、外部的な情報源も必要になる。
今年の初めに Rezilion は、CISA KEV カタログに関するレポートにおいて、パッチが利用可能な状態であっても、何百万ものシステムが既知の脆弱性 (KEV) にさらされているという、顕著な問題を特定した。
Rezilion の脆弱性研究者たちは新たな調査を通じて、CISA KEV カタログに掲載されていない、EPSS (Exploit Prediction Scoring System) スコアの高い 30種類以上のアクティブに悪用される脆弱性を明らかにし、CISA KEV カタログ内のカバレッジ・ギャップも浮き彫りにしている。
効果的な脆弱性管理の鍵
今回の Rezillion レポートでは、EPSS スコアが低い脆弱性よりも、EPSS スコアが高い脆弱性の方が、悪用の可能性が高いことが経験的に立証されている。
Rezilion の Director of Vulnerability Research である Yotam Perkal は、「これらの調査結果は、効果的な脆弱性管理のためには、1つの指標だけでは不十分である」と強調している。
彼は、「私たちの調査では、CVSS/EPSS/CISA KEV を相互に作用させることが、脆弱性を管理するための最も包括的なアプローチを提供することが示された。これらのコンポーネントのどれかを無視すると、組織のセキュリティ態勢にギャップが生じる可能性がある。これらのツールを適切に組み合わせることで、正確な優先順位付けが可能となり、最も危険な脆弱性に迅速に対処できるようになる」と付け加えている。
脆弱性の優先順位をつけるための、従来からの方法には不十分な点がある。CVSS/EPSS/CISA KEV を含む総合的なアプローチと、検出された脆弱性が出現するコンテキストでの、悪用の可能性を判断するためのランタイム検証との組み合わせが、最善の防御策を提供する。
組織のパッチ適用能力には限界がある
新たに発見された脆弱性が、KEVカタログに追加されるまでに時間がかかるため、それだけでは不十分である。EPSS スコアが高い脆弱性は悪用される可能性が高ため、優先順位付けにおいて、この情報の重要性が強調される。
ほとんどの組織においては、自由に使えるツール/プロセス/スキルに制約があるため、パッチ適用において限られた能力のみを持つのが一般である。したがって、課題となるのは、リスク削減の観点から、最も重要な脆弱性へ向けて、その限られたパッチ適用能力を振り向けることである。したがって、ノイズの中からシグナルをふるいにかける作業が、ますます重要になってきている。
内部環境の状況 (到達可能性分析/資産の重要性など) と CVSS、そして EPSS/CISA KEV のような追加的な脅威インテリジェンス・ソースを考慮したパッチ適用戦略は、情報に基づいたリスク・ベースの脆弱性管理の意思決定を行う組織の、全体的なセキュリティ態勢の改善に有効である。
脆弱性の内部的な要因を数値化する CVSS (Common Vulnerability Scoring System) に加えて、外的な要因を数値化する EPSS (Exploit Prediction Scoring System) が登場するようです。この指標が利用されるようになると、個々の脆弱性 (CVE) が動的な情報へと変化するようになると思われます。いまも、CVSS 式が変化することがありますが、それは小さな変化です。しかし、EPSS の場合は、PoC の登場や悪用の状況などにより、刻々と変化するものになるはずです。また、CVSS 式が提供されないという、脆弱性が発見されたばかりの早期の時点でも、CVE と EPSS のセットにより、脆弱性対策が進められるというケースも生じるでしょう。なお、EPSS で検索してみたら、以下のページが見つかりました。
First : Exploit Prediction Scoring System (EPSS)
Arxiv : Enhancing Vulnerability Prioritization
IoT OT Security News 
You must be logged in to post a comment.