フィンテック・テクノロジー企業30社超が連合を結成し、AIを活用した攻撃の加速化からオープンソースソフトウェア(OSS)を守る取り組みを開始しました。
Athenaと名付けられたこの連合には、BNY、Chainguard、Cisco、Cloudflare、Corridor、DepthFirst、Docker、JPMorganChase、Kyndryl、LTM、PwCなど業界を代表する企業が参加しています。共通の目標は、OSS内の脆弱性を発見し、パッチが提供される前の段階からトリアージ・修正・悪用防止を実施することです。
各メンバーは、他のメンバーが提供できない独自の能力を持ち寄っています。公開前の脆弱性情報の提供から、エクスプロイトが通過する複数レイヤーにわたる拡張保護、セキュリティパッチの作成、そして大規模な修正配信手段まで、多様な機能が結集されています。
Athenaは、複数の保護レイヤーを重ね合わせた共有アクティブプラットフォームに基づいており、各メンバーの知見を集約・相関分析することで、上流の修正が提供されるまでの期間もカバレッジを確保します。
Athenaの活動の大部分は、設計上、外からは見えない形で展開されます。広く利用されているライブラリや重要インフラのシステムを守るため、緩和策は脆弱性が公知になる前に密かに適用されます。
Athenaはすべてのメンバー(フロンティアモデルを含む)からの報告を受け付け、Chainguard Librariesを通じて、パッチを公開開示前にメンバー組織へ展開します。脆弱性は、特定された単一の欠陥だけでなく、ライブラリ全体にわたって問題クラスごとにまとめて修正されます。
発見された情報は上流の活動と照合され、パッチが常に最新の状態に保たれます。また、パッチ以外の緩和策もインフラ・プラットフォーム・ネットワーク・セキュリティの各レイヤーで開示前に展開され、広範な影響を持つセキュリティ欠陥を無力化します。
さらに、サイバーセキュリティパートナーが提供する検知シグネチャや仮想パッチにより、独立した追加保護レイヤーも設けられています。
連合は上流での公開開示を調整するとともに、Chainguardはオープンソース向けの調整型セキュリティインシデント対応チーム(SIRT)の設立と「最後の砦としてのメンテナー」プログラムの運営について、Linux Foundationとの連携を目指しています。
審査を経た組織は、連合のウェブサイトから申請手続きを通じてAthenaに参加できます。メンバーは、信頼できる一部のメンバーのみ、または全メンバーに対して知見を共有することが可能です。
Athenaが設立された背景には、AIによるサイバー攻撃の加速化があります。フロンティアモデルはコードを読み解き、推論し、複数の欠陥を連鎖させる能力を数分〜数時間で発揮できるため、パッチの提供もマシンスピードで行う必要があるのです。
「悪用までの時間がマイナスになってきた。今や脆弱性が開示される前にエクスプロイトが届くことさえあります。Athenaの使命は、修復までの時間をさらにマイナスにすること、つまり脆弱性が公開される前に修正を完了させることです。これはいかなる単一企業にも単独では成し遂げられません。組織的な防御こそが唯一の答えです」と、ChainguardのCEO兼共同創設者のDan Lorencは述べています。
翻訳元: https://www.securityweek.com/tech-coalition-athena-targets-oss-vulnerabilities-ahead-of-disclosure/
