質の高い脆弱性情報を見極めるための3つのヒント

質の高い脆弱性情報を見極めるための3つのヒント | TechRepublic

サイバーセキュリティ EDR ツールの比較。 — 画像: Michael Traitov/Adobe Stock

脆弱性インテリジェンスは、一般的な脆弱性やエクスポージャーといった脆弱性情報に特化した脅威インテリジェンスと定義され、脆弱性管理における非常に現実的な問題を解決します。一般的な脆弱性スコアリングシステムなどの従来の方法で脆弱性の優先順位付けを行うと、ネットワーク内の脆弱性の70～80%はほぼ即座に「対応が必要」になります。これは持続可能な作業負荷ではなく、脆弱性管理プログラムが失敗する主な理由です。この問題に対するより良い解決策は、脆弱性インテリジェンスを活用して修復の優先順位付けを支援することです。

市場には、データフィード経由で利用可能な脅威インテリジェンス製品が数多く存在し、それらを独自に相関分析することができます。これらの製品を脆弱性スキャナーやアグリゲーション製品に統合することで、他のスキャナーから取得したデータを拡充し、検索、ダッシュボード、レポート作成などの機能を提供できます。多くのセキュリティ専門家は、CVSSだけに頼るのではなく、市場に出回っているほぼあらゆる脆弱性インテリジェンス製品を利用することを望んでいます。

参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)

しかし、脆弱性インテリジェンスツールを選ぶ際には、考慮すべき重要な差別化要因がいくつかあります。すべての脆弱性インテリジェンスが同じように作られているわけではないからです。質の高い脆弱性インテリジェンスの3つの特性を見てみましょう。

質の高い脆弱性情報を特定するための3つのヒント

エクスプロイトデータを超えて侵害データも考慮

脆弱性インテリジェンスが、エクスプロイトが実際に存在するかどうかを伝えるだけで、それらのエクスプロイトの普及度や信頼性について何も教えてくれない場合、プログラムの成功率は低くなります。質の高い脆弱性インテリジェンスフィードや製品には、リスクは低いものの、エクスプロイト可能な脆弱性の例がいくつか含まれています。

脆弱性が悪用可能でありながらリスクが低いと言えるのはなぜでしょうか？理由は様々です。利用可能なエクスプロイトが使いにくい場合や、信頼性が低い場合、あるいはノイズが多すぎる場合などです。脆弱性インテリジェンスフィードや製品を評価する際には、MS08-067やHeartbleedといった有名な脆弱性について言及されている内容だけに着目するのではなく、脆弱性スキャナーでは悪用可能とフラグ付けされているものの、フィードでは低リスクと表示されている事例を探してみてください。

フィードにこれらのいずれも含まれていない場合、脆弱性が侵害データに現れるかどうかは考慮されていないため、2010 年代初頭からスキャナーのみから取得できた情報と比べてそれほど有用ではありません。

侵害データはエクスプロイトデータよりもはるかに有用です。脅威アクターが最近の侵害で特定の脆弱性を悪用することに成功した場合、同じ脆弱性をあなたに対しても悪用しようとする可能性が高くなるのは当然です。

なぜそれが重要なのかを裏付けるデータと分析を提供する

数年前、当時使用していた脆弱性インテリジェンス製品に基づいて、ある脆弱性を最重要リスクとしてフラグ付けしました。アップデート自体は簡単でしたが、IT部門のメンバーがそこに隙を感じ、それを利用することにしました。

それは情報漏洩の脆弱性でした。彼は立ち上がり、「レッドハット社はこの脆弱性の深刻度は低いと言っています。あなたはレッドハット社よりも賢いとでも言うのですか？」と言いました。

残念ながら、私が頼りにできたのは脆弱性情報プロバイダーから提供されたいくつかの属性だけでした。情報源の1つが侵害データでその情報を確認していましたが、それ以上の分析はなく、情報源の名前さえも分かりませんでした。Red Hatの方がより強力な主張を展開しました。

こうした議論への最善の対策は、必要な時に優れた分析結果を利用できるようにすることです。優れた脆弱性インテリジェンスは、脆弱性をなぜそのように評価したのか、どのような緩和策や代替策が利用可能かなど、強力な根拠を構築し、有能なセキュリティ専門家が合理的な判断や推奨を行うのに十分な情報を、単なるアイコンではなく、実際の言葉で提供します。

分析は「5W1H」に答える

品質分析は、誰が、何を、いつ、どこで、なぜ、どのようにといった典型的な質問に可能な限り答えようとします。これを脆弱性インテリジェンスに適用してみましょう。

誰がその脆弱性を利用しているのか、また誰がその活動を発見したのか?
どのようなマルウェアキットがこの脆弱性を悪用するのか、また脅威の攻撃者はこの脆弱性を利用して何を達成しようとしているのか?
活動の証拠はいつ表面化し始めましたか?
彼らはどこをターゲットにしているのでしょうか?
この脆弱性が注目に値するその他の理由は何ですか?
攻撃はどのように機能しますか?

脆弱性インテリジェンスフィードや製品でランダムに脆弱性を検索した際に、分析結果にこれらの質問や類似の質問に対する回答が少ないほど、評価は低くなります。脆弱性が重大な評価を受けている場合は、これらの質問のうち4つか5つ、あるいはそれらに非常に類似した質問に回答できるはずです。

脆弱性インテリジェンスフィードや製品が、重要と判断される項目について、これらの質問のうち4つか5つに答えられない場合、それは質の高いフィードとは言えません。プロバイダーは、攻撃の仕組みを説明し、脆弱性に関連する何らかの活動の証拠を提示できる必要があります。

脆弱性脅威インテリジェンスの評価

人間の心は扱いにくいものです。批判は褒め言葉の7倍も重く受け止める傾向があります。脆弱性インテリジェンスフィードが87.5%の確率で正しいとしたら、実際には50%くらいにしか感じられません。脆弱性インテリジェンスフィード、あるいは他のセキュリティ製品を評価する際には、このことを念頭に置いてください。

私たち自身にも正直になる必要があります。本稿執筆時点で、既知のCVEは18万8000件を超えています。ほとんどの組織にとって、それらをすべて自社で分析・評価するのは現実的ではありません。また、ご存知ない方もいるかもしれませんが、現在、優秀な修復担当者やセキュリティアナリストが不足しています。優れた脆弱性インテリジェンス製品を購入することは、社内の人材を最大限に活用する賢明な方法です。人材に情報を提供することで、その情報を活用し、より生産的かつ効果的に業務を遂行できるようになります。