EPSS vs CVSS：脆弱性対応の優先順位付けという悩ましい問題を解消するには？

EPSS vs. CVSS: What’s the Best Approach to Vulnerability Prioritization?

2024/09/26 TheHackerNews — 脆弱性の深刻さの評価と修正の優先順位付けが行われる際に、数多くの企業で利用されるのは、Common Vulnerability Scoring System (CVSS) である。この CVSS スコアでは、脆弱性の潜在的な影響について一定の洞察が提供されるが、悪用される可能性といった実際の脅威データは考慮されていない。毎日のように新たな脆弱性が発見されている状況において、現実のリスク軽減につながらない脆弱性の修正に費やす時間や予算は、脆弱性対応チームにとって削減したいものとなる。そこで CVSS と EPSS を比較してみた。脆弱性の優先順位付けプロセスにとって、EPSS の利用が画期的な理由については、以下の詳細な説明を参考にしてほしい。

脆弱性の優先順位付けとは？

脆弱性の優先順位付けとは、組織に及ぼす可能性のある影響に基づき、それぞれの脆弱性を評価してランク付けするプロセスである。ここでの、セキュリティ・チームの目的は、対処すべき脆弱性の特定と、修正までの時間的な猶予の算出にあるが、その前提として、修正する必要性の有無を判断できるようにしなければならない。このプロセスにより、最も重大なリスクが軽減されることになるため、攻撃対象領域の管理おいて不可欠なパートとなっている。

すべての発見された脆弱性を、直ちに修正できるセキュリティ・チームが理想ではあるが、それは不可能であり、非効率でもある。ある調査によると、解決したいと思う脆弱性の、約 10％～15% しか修正できないチームが大半であるため、効果的な優先順位付けは極めて重要である。

つまり、脆弱性の優先順位付けを適切に行うことで、ユーザー組織はリソースを最大限に活用できることになる。なぜ、それが、企業にとって重要なのかと言うなら、変化を生まないものに費用はかけられないからだ。また、リスク管理のための対価は、現実のリスクを軽減するために費やされるべきだ。

脆弱性の優先順位付けにおける CVSS の制限

歴史的に見て、脆弱性の優先順位付けを行う組織が、最も頻繁に利用するのは CVSS ベースのスコアとなる。

CVSS ベース・スコアは、脆弱性の悪用における容易さと技術的な手段、および、悪用が成功した場合の結果などの、それぞれのユーザー環境とは乖離した要因により決定される。これらの要因は定量化され、組み合わせられ、0.0 〜 10.0 の最終スコアとして生成される。つまい、スコアが高いほど、重大度が高くなる。

CVSS スコアは、重大度を評価するためのベース・ラインと、標準化された方法を提供するため、コンプライアンスにおいて必要とされるケースもある。ただし、このスコアだけに頼ると、リアルタイムのデータソースに参照するケースと比べて、非効率になってしまうという制約もある。

CVSS スコアには、脆弱性における実際の悪用の有無などの、現実の脅威の状況が考慮されないという制約がある。つまり、奏氏も CVSS スコアの高い脆弱性が、組織が直面している最も重要な問題になるとは限らないのだ。ひとつの例として、脆弱性 CVE-2023-48795 を見てみよう。この記事の執筆時点における CVSS スコアは 5.9 であり、Medium と評価されている。しかし、EPSS などの脅威インテリジェンス・ソースを考慮すると、今後の 30 日以内に悪用される可能性が高いことが分かる。

それが浮き彫りにするのは、CVSS スコアに限定するのではなく、脅威インテリジェンスをリアルタイムで考慮するという、より総合的なアプローチによる、脆弱性の優先順位付けの重要性である。

エクスプロイト・データによる優先順位付けの改善

脆弱性の優先順位付けを改善する組織は、CVSS スコアを超えて、実際に特定されたエクスプロイト活動などの要素を考慮する必要がある。そのための貴重なソースは、FIRST により開発されたモデルである EPSS だ。

EPSS とは何だろう？

EPSS とは、今後 30日以内に悪用される可能性のある脆弱性を、デイリーで推定するモデルのことである。このモデルが生成するスコアは 0 ～ 1 (0%～100%) であり、そのスコアが高いほど悪用される可能性が高くなる。

このモデルは、National Vulnerability Database (NVD)／CISA KEV／Exploit-DB などの各種のソースから、悪用アクティビティの証拠などを収集し、さまざまな脆弱性情報と統合することで機能している。機械学習によりモデルをトレーニングし、これらのデータ・ポイント間の微妙なパターンを識別することで、将来における悪用の可能性を予測できるようにしている。

CVSS と EPSS

EPSS スコアは、脆弱性の優先順位付けの改善において、どのように役立つのだろうか？

以下の図は、CVSS スコアが 7以上の脆弱性の修復が、優先順位付けされるシナリオを示している。青い円は、2023年10月1日に記録された全ての CVE を表している。赤い円は、その後の 30日間に悪用された、すべての CVE を表す。

ご覧のとおり、実際に悪用された脆弱性の数は、CVSS スコアが 7以上の脆弱性の中の少数となる。このデータを用いて、EPSS による脆弱性の優先順位付けシナリオと比較してみよう。ここでは、EPSS の閾値を 10% に設定している。

以下の２つの図の顕著な違いは、青い円のサイズである。それが示すのは、優先順位付けする必要があるとされる脆弱性の数である。この２つの青い円の大きさを比べればり、優先順位付け戦略に必要とされる労力の量が分かる。EPSS の閾値が 10% の場合には、優先順位付けする脆弱性が遥かに少なくなるため、労力も大幅に少なくなる。つまり、ユーザー組織においては、必要とされる時間とリソースが削減され、優先的に対処すべき脆弱性への集中が達成されるため、効率も大幅に向上する。

脆弱性の優先順位付け時に EPSS を考慮することで、実際の脅威の状況に合わせて、修復作業を調整できるようになる。たとえば、CVSS スコアが低い脆弱性であっても、悪用の可能性が高いと EPSS が示している場合には、その脆弱性への対応を優先させることが可能になる。

Intruder で脆弱性の優先順位付けを簡素化

Intruder は、ユーザー企業における攻撃対象領域を管理し、脆弱性が悪用される前に問題を特定できるように支援する、クラウド・ベースのセキュリティ・プラットフォームである。Intruder が提供する、継続的なセキュリティ監視／攻撃対象領域の管理／インテリジェントな脅威の優先順位付けなどにより、サイバー・セキュリティの簡素化が達成され、最も重要なリスクに集中できるようになる。

Intruder は、EPSS を活用することで、脆弱性の優先順位付けを行う機能をリリースする予定である。それは、機械学習を活用するものであり、今後の 30日間に悪用される可能性のある脆弱性を予測するモデルである。

間もなく、Intruder プラットフォーム内で EPSS スコアを表示できるようになり、現実世界のコンテキストを活用した、よりスマートな優先順位付けを行うことが可能になる。これらのスコアは、Intruder のセキュリティ専門家チームからの入力されるデータと、CVSS スコアを組み合わせるものであり、その結果をインテリジェントに優先順位付けするための、既存のスコアリング・システムと連携するビューが提供される。

新しいリリースに先行してサインアップしてほしい。14 日間の無料トライアルを開始できる。また、チャットで詳細を確認することも可能である。

ひさびさの EPSS（The Exploit Prediction Scoring System) 記事で、翻訳作業も楽しかったです。お隣のキュレーション・チームとも話すのですが、CVSS だけに頼るのは、かなりキツイ状況だと、皆さん感じているようです。それだけ、大量の脆弱性情報が提供され、CVSS 値が高いものが多いということです。よろしければ、2023/07/31 の「CVSS と CISA KEV だけに頼らない脆弱性管理：EPSS という新たな指標が登場」を、ご参照ください。

M	T	W	T	F	S	S
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30