Cyentia と FIRST の調査によると、EPSS は脆弱性の悪用の予測において優れたパフォーマンスを示している

Tenable がスポンサーとなって Cyentia と FIRST が行った調査で、脆弱性の悪用は非常に多様である一方で、EPSS の悪用されうるものを予測する能力は向上していることがわかりました。

毎年公開される CVE の数は増え続けていることから、脆弱性管理チームの注意を要する CVE を予測することが、ますます重要になっています。Cyentia Institute と Forum of Incident Response and Security Teams (FIRST) の新しい調査によると、チームが脆弱性の優先順位付けを行う上で、エクスプロイト予測評価システム (EPSS) がより情報に基づいた決定を下すのに役立つ有用な情報であることがわかりました。

この広範な調査では、悪用のタイミング、蔓延状況、悪用された数を調査し、EPSS のパフォーマンスに関するフィードバックを収集して分析することを目指しました。この取り組みの結果が、最初のレポートである A Visual Exploration of Exploitation in the Wild にまとめられました。このレポートでは、EPSS を活用する大規模かつ成長を続けるエンタープライズユーザーおよびセキュリティ製品のコミュニティに役立つデータポイントと分析について説明されています。この 2 部構成のブログ記事シリーズでは、調査から得られた重要な発見と知見のいくつかを紹介します。この第 1 部では、次の疑問点を明らかにします。

• どの程度脆弱性が悪用されているのか
• 典型的な悪用パターンは何か
• 組織に対する悪用は、全体的にどの程度広まっているのか
• EPSS は、悪用の予測をどのように行うのか

どの程度脆弱性が悪用されているのか

信じられないかもしれませんが、公開されている CVE の数は 25 万に近づいています。そしてこの数字は、過去 7 年間で 16% の割合で増加しています。これらすべての脆弱性に対処する時間やリソースを持っている人は誰もいません。そのため、最も深刻な脆弱性を特定し、優先順位を付けることが重要となります。優先順位付けの取り組みにおける重要なステップの 1 つは、悪用されうる脆弱性の数を追跡および予測することにあるのです。

図 1 では、左側のグラフに、時間の経過とともに悪用された 13,807 個の CVE の累積が表示されています。悪用された既知の脆弱性の数が着実に 15,000 個に近づいていることがわかります。右側のグラフでは、公開された CVE の数を時間の経過と共にパーセンテージで表示しています。公開されたすべての CVE の約 6% が悪用されており、その割合は安定していることがわかります。

図 1：脆弱性と悪用に関するグラフを示す画像

典型的な悪用パターンは何か

そこで、悪用の典型的なパターンは何かを調査しましたが、その結果、パターンは 1 つではないことがわかりました。

図 2 では、2023 年の CVE において、5 つの異なる方法で悪用されていることが示されています。それぞれ独自の方法で悪用されていました。

• CVE の悪用パターンで最も多かったのは、短期間で散発的に行われるもの
• 2 番目の CVE の悪用パターンは、平日にかなり定期的なアクティビティがあるもの
• 3 番目の CVE 悪用パターンは、毎日から毎週、悪用を試み、12 月中旬に急増するもの
• 4 番目の CVE 悪用パターンは、第 1 四半期から第 2 四半期にかけて特に高く継続的に毎日悪用されているもの
• 5 つ目の CVE 悪用パターンは、一貫して極めて高い確率でアクティビティがあるもの

したがって、悪用には、その強度と期間の程度が異なるということがわかります。「悪用されたか、されなかったか」という二元論で考えるのではなく、強度や期間などを考慮して深く掘り下げ、優先順位を決めて取り組む方が賢明と言えるでしょう。

図 2：観察された悪用の差異を示す図

組織に対する悪用は、全体的にどの程度広まっているのか

「悪用されたか、されなかったか」の二元論で扱うべきではないという点に関連して、世界中に分散している 100,000 を超える組織の大規模な集団で観察された悪用の蔓延状況を見てみましょう。すると驚くべきことに、特定の脆弱性を狙った悪用の試みを目にする組織はそれほど多くありません。10 組織のうち 1 組織以上を攻撃するような悪用はまれです (5% 未満)。脆弱性が実際に悪用されていると報告された場合、一般的に、その脆弱性はあらゆる場所で悪用されていると考えられます。したがって、すべての悪用に関する報告を等しく扱うべきではないことがわかります。

図 3：悪用の蔓延を示す画像

EPSS は、悪用の予測をどのように行うのか

FIRST は、EPSS を「ソフトウェアの脆弱性が実際に悪用される可能性 (確率) を推定するためのデータ主導な取り組み」と定義しています。EPSS は、今後 30 日間のすべての既知の CVE を毎日推定し、悪用されうる可能性を 0 ～ 1 (または 0 ～ 100%) の範囲の確率スコアで示します。

図 4 に示されているように、EPSS の各バージョンは、悪用を予測する能力において、より高いパフォーマンスを出していることがわかります。EPSS における、パフォーマンスを測定する 3 つの指標を以下に示します。

1. 対象範囲: 悪用の優先順位付けの完全性を測定 (すべての既知の悪用された脆弱性のうち、正しく優先順位付けされた脆弱性の割合)
2. 効率性: 優先順位付けの精度を測定 (緩和の優先順位が付けられた脆弱性のうち、実際に悪用された脆弱性の割合)
3. 作業負荷: 優先順位付け戦略によって作成された全体的な作業負荷を測定 (すべての脆弱性のうち、優先順位付けされた脆弱性の割合)

図 4 に基づくと、EPSS スコアが 0.6 以上の脆弱性を修正すると、対象範囲が約 60% になり、効率性は 80% になります。一方、EPSS スコアが 0.1 以上の脆弱性を修正すると、対象範囲が 80% になり、効率性は 50% になることがわかります。各組織のリスク許容度は異なるので、それが優先順位付け戦略に影響を与えます。対象範囲、効率性、作業負荷の指標を理解することにより、組織は脆弱性管理プログラムに使用する特定の戦略について、より情報に基づいた意思決定を行えるようになります。

図 4：エクスプロイト予測評価システム (EPSS) のパフォーマンスを示すグラフ

素晴らしい研究です。次の一歩は?

さらに詳しい情報については、レポートの完全版をダウンロードしてください。また、Nessus 10.8.0 の EPSS サポートを無料トライアルで活用するか、ライセンスをご購入いただくことも可能です。このブログ記事シリーズのパート 2 も、乞うご期待ください。