出典:Nico El Nino(Alamy Stock Photoより)
Root Evidenceは、蔓延する脆弱性パッチ管理の問題に取り組むために新しいアプローチを採用しており、その鍵は数学にあります。
課題が存在するのは、毎日ますます多くの脆弱性が報告されているためです。知識が不足しているのではなく、膨大な量の脆弱性情報があることで、組織が優先順位をつけるのが難しくなっています。サイバーセキュリティのスタートアップであるRoot Evidenceは、証拠に基づく脆弱性管理プラットフォームを立ち上げ、組織が侵害や財務損失につながる可能性が最も高い欠陥に集中できるよう支援します。
創業者には、CEOのJeremiah Grossman、CTOのRobert Hansen、COOのHeather Konold、CPOのLex Arquetteが含まれます。Root Evidenceは今週、シードラウンドで1,250万ドルを調達しました。
懸念されるのはわずか1%
立ち上げ前、創業者たちは世界中の脆弱性管理企業と会い、課題が何かを調査しました。彼らの調査により、侵害や損失は2つの攻撃ベクトル――ソーシャルエンジニアリングとリモートソフトウェアの悪用――から発生していることが確認されました。しかし同時に、誰もが脆弱性の山に埋もれており、どれを修正すべきか分からない状況であることも強調されたとGrossman氏は警告します。
「秘密を教えましょう。約30万件のCVEのうち、実際に悪用されたのはわずか1%で、さらにそのごく一部が実際にみんなをハッキングしているのです」とGrossman氏はDark Readingに語ります。「当社の目標は、みんながハッキングされるごく一部の脆弱性だけを集中的にターゲットにすることです。」
この目標を効果的に達成できれば、Grossman氏はリモート悪用攻撃ベクトルの部分を制限できるため、侵害や損失を50%削減できることを期待しています。しかし、そのためには全く新しい技術プラットフォームと新たなデータポイントが必要でした。Grossman氏はインシデント対応(IR)チームに目を向け、調査から得られる重要なデータを引き出しました。彼の戦略は「彼らにそれを求める」ことでした。
創業者たちはまた、CVE情報や脆弱性レポートも精査し、脆弱性パッチ管理には新しいコンセプトが必要だと確信しました。
「IRが根本原因を調査するとき、実際に重要な脆弱性を把握しています」と彼は言います。「攻撃者は、みんなが思っているほど頻繁に新しい脆弱性を使うわけではありません。みんながハッキングされているのは、同じ数百件の脆弱性なのです。」
焦点を絞る
同社は、組織が特定し修正すべき脆弱性の数を絞り込み、管理を推測ゲームではなくすることを目指しています。そして、こうした課題は当初から存在していました。25~30年前、業界はリモートで悪用可能または認証不要の欠陥に注目していましたが、特徴のリストは増え続けています。
共通脆弱性評価システム(CVSS)は、組織が深刻度を理解するのに役立ちますが、同時に懸念すべき、分析すべき欠陥も増やしました。これは、多くの組織、特に中小企業にとっては時間的余裕がありません。さらに、脆弱性は高い評価や重大な評価にもかかわらず、企業ごとに影響が異なります。
「[業界は]より多くの証拠を得ようとし、今ではAIで脆弱性予測をしています」とGrossman氏は言います。「これまで推測してきた理由は、実際の保険数理データを知らなかったからです。」
Root Evidenceは、Grossman氏とHansen氏による最新のサイバーセキュリティ事業です。以前、彼らはBit Discoveryという攻撃対象領域管理プラットフォームを設立し、2022年にTenableに買収されました。しかし、侵害の50%削減という可能性が、脆弱性パッチ管理への転換を促したとGrossman氏は明かします。
「サイバーセキュリティの他の分野では、これほどのインパクトを与えられる場所はありません」と彼は言います。