ITハードウェアおよびソフトウェア製品とサービスに報告される共通脆弱性と露出(CVE)の総数は、2024年にも増加を続ける見込みであり、サイバー保険専門のCoalitionによる新たなデータによると、CVEのボリュームは約25%増加し、約34,888件に達すると予測されています。これは、毎月約2,900件の新たな脆弱性が報告されることを意味します。
CVEは、新たに公開されたセキュリティ上の欠陥に付けられる一意の識別子であり、ゼロデイを含む。これらは、最初の数字が年を表し、2番目の数字がブロックから割り当てられた番号である、CVE-2024-XXXXXの形式に従います。
CVEプログラムは、MITRE Corporationによって米国で監督されており、サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)の支援を受けていますが、MITREが常にCVE番号を割り当てるわけではありません。これは通常、CVE番号機関(CNA)によって行われ、Cisco、IBM、Microsoft、Oracleなどのサプライヤーやセキュリティ企業、研究者が多数存在します。
このシステムは、セキュリティ専門家や防御者が脆弱性を迅速かつ簡単、信頼性高く認識するためのものであり、セキュリティコミュニティにとっては、パッチやその他の解決策の開発を調整するのに役立ちます。
しかし、このシステムは完璧ではありません。CVEの数は指数関数的に増加しており、セキュリティチームは既に十分に負担がかかっています。さらに、実際の世界での悪用を強調する装置が備わっていないため、ユーザーはしばしば、MOVEitインシデントやCitrix Bleedの背後にある「セレブCVE」のような、研究者やメディアの報道に依存しなければなりません。
Coalitionの研究責任者であるTiago Henriquesは、「新たな脆弱性が急速なペースで公開され、増加しています。新たな脆弱性が多数、異なるフラグシステムを介して出現するため、サイバーリスクエコシステムを追跡するのは困難です。多くの組織がアラート疲れと、全体的な露出とリスクを限定するために何を最初にパッチすべきかについての混乱を経験しています」と述べています。
今日のサイバーセキュリティ環境では、組織は自分たちだけで全ての脆弱性を管理することは期待できません。セキュリティ上の懸念を管理し、修復の優先順位付けを支援する必要があります。
Coalitionは、脆弱性の急増に貢献しているいくつかの要因を指摘しています。これには、サイバー犯罪活動の商業化と専門化、およびエクスプロイトキット、資格情報、侵害されたネットワークへのアクセスが販売される地下フォーラムの使用の増加が含まれます。
また、CNAの数の増加により、注目される脆弱性の数が増加しています。
さらに、バグ報奨金プログラムの人気が高まっていることも影響を与えており、倫理的なハッカーがそれ以外では見過ごされがちな問題を探すことに動機付けられています。
Coalitionは、脆弱性の数の増加が、脅威アクターによる新たな脆弱性の発見にも焦点を当てるようになっていると指摘しています。
これはすべて、セキュリティチームにとって頭痛の種となっており、すでにリソースが不足している中、毎月最大3,000件の問題に対応することは不可能です。
Coalitionは、Web全体から収集した広範なデータ、およ
ティ, 脆弱性, ハッキング, パッチ管理
ITハードウェアおよびソフトウェア製品とサービスに報告される共通脆弱性および露出(CVE)の総数は、2024年にも引き続き増加する見込みであり、サイバー保険専門のCoalitionによる新たな数値予測では、CVEのボリュームは約25%増加し、34,888件に達すると予測されています。これは、毎月約2,900件のCVEが報告されることを意味します。
CVEは、新たに公開されたセキュリティ上の欠陥に付けられる一意の識別子であり、ゼロデイを含みます。これらは同じ形式、CVE-2024-XXXXXで追跡され、最初の数字は年を表し、二番目の数字は割り当てられたブロック内の番号を表します。
CVEプログラムは、米国のMITRE Corporationによって監督され、サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)の支援を受けていますが、MITREが常にCVE番号を割り当てるわけではありません。この作業は通常、CVE番号機関(CNA)によって行われ、CNAにはCisco、IBM、Microsoft、Oracleなどのサプライヤーやセキュリティ企業、研究者が含まれます。
このシステムは、セキュリティ専門家や防御者が脆弱性を迅速かつ簡単に認識し、セキュリティコミュニティがパッチやその他の解決策の開発を調整するのに役立ちます。
しかし、このシステムは完璧ではありません。CVEの数は指数関数的に増加しており、セキュリティチームはすでに十分に負担がかかっています。さらに、このシステムは実際の世界での悪用を強調する装備がないため、ユーザーはしばしば研究者やメディアのカバレッジに依存しています。
Coalitionの研究責任者であるTiago Henriquesは、「新しい脆弱性が急速なペースで公開され、増加しています。新しい脆弱性が多数あり、異なるフラグシステムを介してしばしば発生するため、サイバーリスクエコシステムを追跡することは困難です。ほとんどの組織は、アラート疲れと、全体的な露出とリスクを制限するために最初に何を修正すべきかについての混乱を経験しています」と述べています。
脆弱性の急増にはいくつかの要因があります。これには、サイバー犯罪活動の商業化と専門化、およびエクスプロイトキット、資格情報、侵害されたネットワークへのアクセスが販売される地下フォーラムの使用の増加が含まれます。
また、CNAの数の増加により、報告される脆弱性の数が増加しています。
さらに、バグ報奨金プログラムの人気の高まりも影響を与えている可能性があります。これは、倫理的なハッカーがそれ以外では見過ごされる可能性のある問題を探すことを奨励しています。
Coalitionは、脆弱性の数の増加が脅威アクターによる新たな脆弱性の発見にも焦点を当てるようになっていると指摘しています。
これは、セキュリティチームにとって頭痛の種となっており、資源が不足している状態で、毎月最大3,000件の問題に対応することは不可能です。
Coalitionは、ウェブ全体から収集した広範なデータ、およびハニーポットのネットワークを利用して、サイバーリスクを理解し、顧客とセキュリティコミュニティとの間で実用的な洞察を共有することができると主張しています。
また、同社は独自のエクスプロイトスコアリングシステムを開発し、保険加入者が毎月第2火曜日に盲目的にパッチを当てるのではなく、リスクベースで優先順位をつけたアプローチを採用できるようにすることを期待しています。
引用元: https://www.computerweekly.com/news/366570913/CVE-volumes-set-to-increase-25-this-year