脆弱性インテリジェンスインサイトの中でも注目すべき3つのもの
本日、Tenable Researchによりリリースされた脆弱性インテリジェンスレポートは、現在の脆弱性開示トレンドの概要とエンタープライズ環境での脆弱性デモグラフィクスの現状についてのインサイトを提供します。ここでは、Tenable Researchが注目した3つの事柄について取り上げたいと思います。
脆弱性はTenable Researchの研究全ての中心となるものであり、脆弱性エコシステムの現状は弊社にとって特に関心のある分野です。
脆弱性のエコシステムを広範囲に検分するには、まず脆弱性リサーチと開示に関する開発とトレンドを考慮する必要があります。この側面はよく研究されており、多くのベンダーや業界の企業は定期的にCommon Vulnerabilities and Exposures (CVE)や脆弱性情報データベース(NVD) に対するコメントを公開しています。脆弱性の共通弱点の多様性、成長と進化を知ることで、脆弱性がどのようなものであるかを知ることができますが、提供されているのは記述された情報のみです。CVEとNVDによると脆弱性は理論上のみに存在するもので、実際にエクスプロイト可能であるかは評価されていないため、アクティブな脆弱性に対するインサイトは提供されていません。
実際にどのような脆弱性が存在しているかを理解するためには、エンドユーザーの行動やテレメトリーなど、Tenable Researchが提供する独自のインサイトが必要となります。弊社は、存在する脆弱性の高いユーザーを把握しています。1999年から公開されている107,710の識別されたCVE中、22,625(23パーセント)がエンタープライズ環境内に実際に存在しています。これがエコシステムの真の脆弱性です。残りは絶滅してしまったか、または検知できない深いところに隠れています。
相対的・絶対的な脆弱性の数は継続的に増加しています。 2017年に、15,038件の新しい脆弱性が公開されました。これは2016年の9,837件と比較すると53パーセントの増加です。2017年前期と2018年前期を比較し、今年は18,000~19,000件の新しい脆弱性、すなわち27パーセントの増加が予測されます。現実的に、この予測は低めに見積もられていると思われます。
効果的な脅威と脆弱性管理は今や、規模、複雑性、ボリュームと速度―分散した、モバイル型や異なるネットワークとユーザーの複雑性、結果として生じる脆弱性のボリューム、新しい脆弱性が開示され実際に悪用される速度により決まってきます。今までにないほど、アクションが可能なインテリジェンスが必要とされています。Tenable Researchでもこの必須条件に基づき、皆様にお伝えしていることを実行しています。V脆弱性インテリジェンスレポートは、その結果です。弊社ではフルディスクロージャとインテリジェンスの共有を信じ、弊社のコミュニティと本レポートをシェアしています。
このレポートは、こちらからご覧いただけます。ここでは、Tenable Researchが注目した3つの事柄について取り上げたいと思います。
CVSSバージョン3は優先順位付けの問題を悪化させる
CVSSバージョン3は2015年に、特にバージョン2が行う脆弱性が及ぼす影響の評価におけるいくつかの制約を解消するために導入されました。バージョン3のスコアは古い脆弱性向けではありませんが、2016年からのほとんどの脆弱性がCVSSv3スコアで評価されています。バージョン3はリリースされた時から現場や第三者レポートからその弱点について批評を受けています。弊社独自の分析は、CVSSv3は、大半の脆弱性を高および緊急と評価しているという批評をサポートしています。
図1で示されているように、CVSSv2ではCVEの31パーセントを重大度高としていますが、CVSSv3では重大度高・緊急は60パーセントとなっています。
CVSSv3のみを利用すると、優先順位付けの課題を解決するどころか悪化させてしまいます。これは、CVSSv2の使用を支持している、というわけではありません。バージョン2はその他のシステムコンポーネントに対する脆弱性リスクを確実に反映しないため、バージョン3が有効であることには変わりません。
図1:全CVE - CVSS重大度分布
古いソフトウェアの脆弱性が依然として攻撃に利用される
レポートの第2部では、エンタープライズ環境に実際に存在する脆弱性の蔓延について調査しました。この分析は2018年3月から8月の間に行われたスキャンに対して行った90万以上の評価のデータに基づいています。また、エクスプロイトキットやその他のクライアント側での攻撃によるウェブブラウザとアプリケーションの脆弱性を深く分析しました。弊社がすぐに気が付いたことは何でしょう?企業で検出されている脆弱性のほとんどが古いソフトウェア、またはレガシーソフトウェア内のものであるということです。
図2から、Firefoxの脆弱性が2012年から2017年まで、2015年をピークとして集中しているのがわかります。Firefoxはブラウザのマーケットシェアで10パーセント強にすぎませんが、弊社のデータセット内では重大度高の脆弱性の53パーセントを占めています。Firefoxの脆弱性は修正されていません。
図2:エンタープライズ環境内で重要度高となっているウェブブラウザのCVEの広がりが目立っている
図3でわかるように、Microsoft OfficeとOracle Javaで類似した現象が起きています。
図3:エンタープライズ環境内で重要度高となっているアプリケーションのCVEの広がりが目立っている
ビジネス上、レガシーシステムやソフトウェアを維持する正当な理由があるかもしれません。特に Javaはでバージョンに対する依存度が課題になっていることが知られています。これらのケースでは、脆弱なシステムをセグメント化したり、ソフトウェアを仮想システムにインストールすることができます。ビジネス上の正当な理由がない限り、これらのアプリケーションによるリスクは避けることができます。
エクスプロイトの可能性は優先順位の条件として十分ではない
脆弱性が発見されると、それは理論的なリスクとなります。エクスプロイトが発表されると、エンタープライズシステム内の脆弱性は潜在的リスクとなりますが、弊社の調査によると、 2017年に開示された脆弱性の中で、一般的なエクスプロイト攻撃となったのは7%のみです。企業は751の脆弱性に優先順位を付けなければなりませんが、CVSSv3のみを利用するよりも対象となる脆弱性の量を大幅に減らすことができます。CVSSv3のみを利用するとCVSSv3スコア7.0またはそれ以上の優先順位で8,120件の脆弱性(全体の54パーセント)が検知されます。CVSSv3 9.0~10のみに絞り込んだとしても、1,804件の緊急な脆弱性が残ります(12パーセント)。
この情報はVAソリューション内のほとんどのユーザーが利用することができ、検知された脆弱性とエクスプロイト攻撃の可能性のデータに関連付けることによって自動的に運用できます。
609の重大度の高いアプリケーションの脆弱性を弊社のデータセット内で分析した結果、一般的なエクスプロイト攻撃の可能性のある脆弱性はセキュリティ更新プログラムを適用することにより修正できることが分かりました。図4に示されているように、エンタープライズ環境では、一般のエクスプロイトは、重大度の高いAdobe Flashの脆弱性に対するセキュリティ更新プログラムが適用されていない場合、79%を占めます。Adobe PDFでは96%です。インターネット上でFlashにより有効化されたコンテンツが少なくなっており、2020年にサポート切れになることを考慮すると、Flashをインストールしておく価値はほぼありませんが、これには多大なリスクの危険性があります。データセットで公開されている一般的なエクスプロイトのある脆弱性に対処するセキュリティ更新プログラムが適用されていないケースは、全てのアプリケーショングループ内で最も低くても41%ありました。
図4:一般的なエクスプロイトは、重大度の高いAdobe Flashの脆弱性対するセキュリティ更新プログラムが適用されていない場合、79%を占めます。
脆弱性が即時に対応を必要とするリスクになるかどうかを評価するための条件としてエクスプロイトの可能性が重要視されていて、その情報は広く入手可能であるため、この発見は驚くべきことでした。このシンプルかつ効果的な優先順位付けの条件に対するコミュニティ内の認識を高めていくことが必要です。
注目すべき主な情報はわずか3つです。完全なレポートは こちらからご覧いただけます。
詳細はこちら:
- 脆弱性インテリジェンスレポートをダウンロード。
- 電子書籍を読む: サイバーセキュリティの優先順位の付け方: CISO 向けの入門書。
- エグゼクティブブログをお読みください。 脆弱性インテリジェンスレポート:優先度付けにおける脅威を重視したアプローチ。