脆弱性へのパッチ適用：どうする優先順位？ どうする AI 活用？

Toward Better Patching — A New Approach with a Dose of AI

2023/02/23 securityweek —2024年を通じて毎月ごとの発表が予測される、2,900件の新しい脆弱性を分析／トリアージすることを、セキュリティ・チームに期待するのは無理である。１ヶ月に 20件でも十分な成果なのである。効果的なパッチを当てることは、侵入を減らす方法として認められている。しかし、それを達成するのは、ほとんど不可能だ。なにが問題かというと、既知の脆弱性の数が非常に多いこと、そして、それぞれのセキュリティ・チームにおいて、優先的にパッチを当てるべき脆弱性の選別が難しいことに集約される。

独自のセキュリティ・ラボを持つサイバー保険会社 Coalition が、この問題について検証している。もし、同社の手助けにより顧客のパッチ・サイクルが改善されるなら、保険金請求が減り、利益が増えるだろう。脆弱性の問題が悪化しているという、難しい問題がある。つまり、脆弱性の管理に介入しなければ、より多くの侵害の発生が避けられないわけだ。

問題点

個々の脆弱性に潜む脅威とは対照的に、脆弱性の総量から生じる脅威の定量化も重要である。そのために、Coalition の研究者たちが行ったことは、時系列データの予測で多用される自己回帰積分移動平均 (ARIMA：autoregressive integrated moving average）モデルの (AI?) 学習である。報告された結果 (PDF) は、2024年には 34,888件の新たな脆弱性が公表されるという予測である。それを、月ごとに平均すると 2,900件であり、2023年1月〜10月と比較すると、25％の増加になる。

単純に見て、”追加的な支援” を持たないセキュリティ・チームが、効果的にトリアージするには多すぎる数である。Coalition 独自の保険金請求データによると、パッチが適用されていない重要な脆弱性が１つでもあると、その契約者に対する保険金の請求額が、33% も高くなる可能性があるという。

ただし、現状における “追加的な支援” は役に立つというよりも、混乱を招くものである。その一部はメディアの報道によるものであり、また、CVE に紐づけられた CVSS スコアによるものとなる。前者の問題は、脅威が誇張される可能性があることであり、後者の問題は、CVE データベースが必ずしも 100％ 信頼できるとは限らないことである。

その例として挙げられるのは、2023年10月の Exim の脆弱性である。2023年9月27日の ZDI 公表には、CVE (訳者追記 CVE-2023-42115) および CVSS 9.8 のスコアと、追記事項としての RCE の特定が記されているが、それ以上の情報はない。公式の CVE データベースに飛ぶと、その番号に Reserved とされているだけだ (JSON の説明は state”: “RESERVED”, “ownning_cna”:”[REDACTED]” となっている。当時もそう書いてあったし、５ヶ月ほど経った今も、そう書いてある。ここで、メディアに話を移そう。ArsTechnica は、「Exim の重大な脆弱性、世界 250k以上のメールサーバを脅かす」という見出しの記事を掲載した。CVSS：9.8 と250k 台の脆弱なサーバという組み合わせは、警鐘を鳴らすには十分だった。

Coalition は、さらに詳しく調べた。この脆弱性は Exim の特定のコンフィグレーションにのみ影響するものだ。そこで Coalition は、同社の顧客をスキャンし、脆弱なコンフィグレーションが４件のインフラに存在することを発見した。つまり、メディアに反応し、CVE データベースを検索し、脆弱性 CVE-2023-42115 と自社の IT 資産との関連性を把握しようとすることは、残りの顧客にとってリソースの浪費でしかなかったことになる。

First Org が所有／運営する評価基準 CVSS (Common Vulnerability Scoring System) は、脆弱性の重大度スコアとされるものを決定するための方式である。しかし、そのスコアは個々の組織により決定されるものではなく、単一の場所に保存されるものでもない。デフォルトでは、NIST が運営する NVD (National Vulnerability Database) が CVSS スコアの真の情報源である。しかし、NVD は CVE データベースから、そのエントリを取得している。したがって、完成した CVE エントリが存在しなければ、NVD へのエントリもないため、直ちに検証が可能な、信頼できる CVSS スコアも存在しないことになる。

それにも拘らずセキュリティ・チームは、脆弱性パッチのトリアージにおいて、示唆される CVSS 値を主要な要因として使用する。つまり、 スコアが高ければ高いほど、悪用の可能性が高いと認識され、侵害の可能性も高いと判断される。しかし、そのスコアは、脆弱性リサーチャーにより適用された可能性が高いのだ。

遅延と混乱は避けられない。その要因となるのは、いわゆる、責任ある情報公開と、CVE データベース投稿の遅延、CVSS スコアに対する主観である。Coalition は、「CVEス コアリングの遅れにより、脆弱性管理における防御者は、２つの困難な戦いに直面することが多くなる。第一に、１ヶ月あたり何千にもなる CVE のうちの、どれにパッチを当てるべきかを決定する、優先順位付けの方法が決まっていない。第二に、これらの CVE を脅威アクターが悪用し、組織を標的にする前に、パッチを当てる必要がある」と指摘している。

実用的な脆弱性情報を、適切な人々にタイムリーに届ける、より良い方法が必要だと、Coalition は結論づけている。

解決策

もう１つの、広く使われている脅威指標としての CISA KEV リストがある。しかし、米国中心であること、そして、タイミングが遅いという弱点がある。つまり、脆弱性の悪用が起こるかもしれないという警告ではなく、悪用が起こっているという警告になっている。Coalition は、「脆弱性の優先順位付けの問題とは、これらの異なるデータソースを、どのように重み付けして、組み合わせるかということだ」と述べている。

この重み付けと組み合わせが、Coalition における脆弱性リスク優先順位決定ソリューションの基礎となっている。具体的に言うと、ベンダーのセキュリティ勧告および、CVSS スコア、KEV カタログなどのソースをスキャンし、過去の CVE 記述と比較した後に、機械学習を用いて Coalition ESS (Exploit Scoring System) を生成する。

このシステムは、セキュリティ・リスク管理者に対して、正真性の高い情報を早期に提供することを目的としエクスプロイトの有効確率 (Exploit Availability Probability) と、エクスプロイトの悪用確率 (Exploit Usage Probability) のスコアを生成する。また、動的なものであり、新しい情報の収集に応じて継続的に更新されるという。同社は、「それらが、CVSS のような従来からのアプローチとは異なる点である」と述べている。

Coalition のアプローチは、これで終わりではない。ハニーポット・ネットワークも運営している。ハニーポットは、インターネット上の悪意を捕捉するための優れたツールだが、善意と悪意の区別が難しく、また、悪意の背後にある特定の目的の認識も難しいという問題を抱えている。とは言え、20-20 Vision の源泉になることもある。

Progress がセキュリティ勧告を発表する、２週間以上も前のことだった。MOVEit に対するスキャンが 1,000% も急増したことを、Coalition のハニーポットが検知したが、その重要性には気付けなかった。その後の Cl0p 感染のスピードが示唆しているのは、ユーザー企業が被害者になる可能性を知る前に、攻撃者が被害者を探し出していたという現実である。

現在も Coalition は、ハニーポットの活動から悪意を発見する方法を研究している。同社のチームは、「ハニーポットのトラフィックを迅速にレビューし、分類できるようにするために、AI を活用したタグ付けルールを徐々に導入している。トラフィックのタグ付けを強化することで、異常なハニーポット・トラフィックをリアルタイムで、より正確に把握できるようになる」と述べている。

早期のアクティビティ警告と、動的な被害確率スコアの組み合わせは、より正確でタイムリーな脆弱性トリアージ作業を、間違いなく強化していくだろう。Coalition は保険会社である。その主な動機は、顧客のセキュリティを高め、保険金請求を減らし、それにより自社の利益を増やすことにある。

とは言え、Coalition が、この手法の開発に対して、ここまで私財を投じているという事実からは、現在の脆弱性優先順位付けアプローチからノイズを除去し、混乱を切り抜けることの重要性が示唆されている。そのために AI を使用することが、脆弱性トリアージへの、AI 支援アプローチのエキサイティングな未来を示しているのだろう。

いまの脆弱性対応における問題点を、簡潔に整理してくれる、なかなか読み応えのある記事ですね。保険会社 Coalition が調査／分析したレポート “Cyber-Threat-Index_2024” は、セキュリティ・ベンダーからの情報とは別の視点を持っているように感じられます。なお、文中の Exim の脆弱性ですが、NVD を調べてみたら、”CVE ID Not Found” に変化していました。このレポートでの指摘を見て、直したのかとも思えます。