連邦サイバーセキュリティ機関は、米国政府外の人々が悪用されたバグのカタログに脆弱性を報告するための新しい経路を作成しました。
サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は木曜日に推薦フォームの作成を発表しました。これにより「研究者、ベンダー、業界パートナー」が既知の悪用脆弱性カタログに追加する必要があるバグを報告できるようになります。このカタログはサイバーセキュリティコミュニティにとって重要なリソースとなっています。
「毎日、CISAはセキュリティ研究者と業界パートナーと協力して、悪用された脆弱性を特定し報告しています。この新しい報告機能により、CISAが重大な脅威情報を特定し、検証し、迅速に共有する能力が向上します」とCISAのサイバーセキュリティ担当代行副局長クリス・ビューテラ氏は述べました。
「早期検出と調整された脆弱性の開示は、大規模なリスク削減に役立つ最強のツールの1つです。CISAは研究者と組織が脆弱性の脅威を共有し、アメリカ国民が毎日依存しているシステムを保護するのを支援することを強く推奨しています。」
専門家は推薦フォームまたはメール経由で脆弱性を報告でき、バグに関する情報とその悪用の証拠を提供する必要があります。
KEVとして通俗的に知られているこのカタログは、連邦政府内のサイバーセキュリティディフェンダーに、一定の期間内(通常3週間以内)にパッチが必要なソフトウェアおよびハードウェアの脆弱性の権威あるリストを提供するためのものです。
これにより、ディフェンダーはハッカーや国家主体によって積極的に悪用されている脆弱性の修復に焦点を当てることができました。
同庁は、CISAにバグを報告することは「国家のサイバーセキュリティ態勢に不可欠であり、悪用された脆弱性が早期に発見され、責任を持って伝えられ、連邦、民間、および重要インフラネットワーク全体で迅速に軽減されることを確認するのに役立つ」と述べました。
3月に退職する前にCISAの情報責任者を約5年間務めたロバート・コステロ氏は、新しい提出フォームは機関がサイバーセキュリティ研究コミュニティとのパートナーシップを非常に実用的な方法で運用する方法だと述べました。
「標準化された推薦プロセスを通じた悪用インテリジェンスのクラウドソーシングは、より迅速なKEV追加を意味し、最終的にはエコシステム全体でより迅速なディフェンシブアクションをもたらします」と彼は述べました。
「AIが脆弱性の発見と悪用の両方を加速させており、早期の調整された開示をこれまで以上に重要にしているペースで行われているため、これは適切な時期の正しい動きです。」
2021年のデビュー以来カタログが成長するにつれて、連邦政府外のサイバーディフェンダーは、どのバグがターゲットにされているかを知るための参照ポイントとしてそれを採用しています。専門家は、KEVに追加された脆弱性は非KEVバグの3.5倍高速に修復されることを発見しました。
ディフェンダーがAIによって発見された脆弱性の急増にどう対処するかを解明する中で、それはさらに重要になっています。その多くは重要度が低く、悪用される可能性は低いです。
Qualysのマユレシュ・ダニ氏は、CISAは以前メール経由で提出を受け入れていたと述べていますが、このメールアドレスへの提出に基づいてKEVに追加された脆弱性の数に関する外部レポートがないことに注目しました。新しいフォームは提出者に重要な詳細情報を追加することを強制します。
「うまくいけば、この機能は提出後に何が起こるかについての可視性を提供するでしょう」とダニ氏はRecorded Future Newsに語りました。「見る必要があるのは、この情報がCISAによってどのように検証されるか、そしてCISAによって不正および虚偽の報告に対する何がどのような措置が講じられるかであり、実際で検証された悪用の観察だけがKEVリストに到達することです。」
ダニ氏は、KEVの商用の代替案が利用可能であり、一部の人々はそれを脆弱性悪用の遅行指標と見なしているため、CISAは追いつこうとしている可能性があると付け加えました。
KEVに初期に追加されたほぼすべてのバグに3週間の修復期限が与えられたが、3日および24時間のパッチ期限さえ与えられた脆弱性の数は昨年増加しました。
今月初め、ロイターは報告したCISAの代行局長ニック・アンダーソン氏とU.S.国家サイバーディレクターショーン・ケアンクロス氏が、ハッカーが現在強力な新興AI技術を使用してより短い時間で脆弱性のエクスプロイトを開発することへの懸念から、すべての新しいバグのKEV期限を3日に制限する可能性を提案したことを報告しました。
専門家は、民間部門との調整の新しい努力は、防御努力、脆弱性開示、および悪用追跡を加速するために設計されたと述べました。
「このような改善はKEVの信号品質と適時性を強化するのに役立つことができ、最終的には理論的重大度よりも現実世界のリスクを優先しようとするディフェンダーに利益をもたらします」とJupiterOneのクリス・ドイル氏は述べました。
翻訳元: https://therecord.media/cisa-to-allow-researchers-to-report-vulnerabilities-kev
