NISTの「LEV」方程式がバグの悪用可能性を判断

出典: Grandbrothers via Alamy Stock Photo

米国政府は、ソフトウェアやハードウェアの欠陥が脅威アクターによって野外で成功裏に標的にされた可能性を判断するための新しい基準を提供しています。

米国商務省の国立標準技術研究所（NIST）は、5月19日に「可能性の高い悪用脆弱性」、またはLEVと呼ばれる方程式を発表しました。この方程式は、脅威アクターによってバグが悪用された可能性を判断するために使用されます。これは、野外でそのような活動が明確に発見されていない状況でも適用されます。この指標は、CISAの既知の悪用脆弱性（KEV）カタログのような既存の脆弱性悪用リストをサポートします。

この新しいデータポイントは、効果的なパッチ管理戦略を実行するのに苦労しているSecOpsチームにとって恩恵となる可能性があります。一方で、チームは追跡すべき脆弱性シグナルが非常に多いため、LEVが既に高い山にさらにデータポイントを追加するだけかもしれません。しかし、LEVのようなものは、「限定的な悪用」が「広範な悪用」になる前に防御側が脆弱性に先んじるのを助けることができます。

Trend MicroのZero Day Initiativeの脅威認識部門の責任者であるDustin Childsは、LEVが成功裏に実装されれば、「ゲームチェンジャーになる可能性がある」と述べています。

「防御側はすべてが悪用されるわけではないことを理解しています。したがって、何が悪用される可能性が高いかに基づいて対応を集中させることができる指標を持てば、対応の速度に大きな影響を与えるでしょう」とChildsは言います。「NISTが有用であることが証明される実行可能な指標を提供できれば、コミュニティに歓迎されるでしょう。」

関連記事:Virgin Media 02の脆弱性が通話受信者の位置を露出

LEV方程式の導入は、今年の脆弱性分類分野における最新の進展であり、ヨーロッパの新しい脆弱性データベースや（幸いにも実現されなかった）CVEプログラムの資金削減への脅威に加わるものです。

大きなLEV方程式

この方程式は、元NIST科学者のPeter MellがNIST在籍中に関連研究を行い、CISAのJonathan Springと共にホワイトペーパーを通じて紹介されました。著者はこの方程式を「脆弱性が悪用される可能性を判断するための提案されたセキュリティ指標」と説明しています。

MellとSpringによれば、毎年発表される何万ものハードウェアおよびソフトウェアの脆弱性のうち、悪用されるのはごく一部であるため、防御側が修正努力を優先するためにどれが悪用されるかを特定することが重要です。修正努力を優先するために。

「現在、そのような修正努力は、既知の不正確な値を持つExploit Prediction Scoring System（EPSS）と、包括的でない可能性のあるKnown Exploited Vulnerability（KEV）リストに依存しています」とホワイトペーパーには書かれています。「提案された可能性指標は、EPSSの修正を補完し（いくつかの不正確さを修正し）、KEVリストを補完する（包括性の測定を可能にする）可能性があります。ただし、必要なパフォーマンス測定を提供するためには業界との協力が必要です。」

関連記事:なぜ厳格なセキュリティプログラムは失敗し続けるのか

EPSSは現在、脆弱性が悪用される可能性をスコアリングするための最もよく知られた標準であり、これまでのところ主にコミュニティ主導で進められてきました。LEV方程式は、EPSSスコアを30日間のウィンドウの予測因子として使用し（設計された通りに）、脆弱性、関連する日付などを考慮した他の変数も使用します。

そのため、LEVは既存のシステムを補完し、より良いデータを提供するための追加的な補強を表しており、KEVやEPSSの代替としてではありません。特に、EPSSスコアに現在現れる不正確さを上書きし、特に以前に悪用された脆弱性に関してです。

ホワイトペーパーでは、LEV方程式の2つのバリアントを紹介しています。1つは「やや複雑なもので」、コンピュータリソースをあまり使用しないもの（LEV）であり、もう1つは「かなり多くの計算リソースを必要とする」もの（LEV2）です。それでも、後者の場合、「現代の普通のラップトップでも、すべての脆弱性に対して数時間以内にLEV2の測定を毎日行うことは十分に可能です。」

関連記事:重要なSAP NetWeaverの脆弱性がサイバー攻撃の集中砲火を受ける

完全な技術的詳細は、ホワイトペーパーで入手可能です。

LEVの位置づけ

一般的に、セキュリティにおいて情報が多いことは良いことですが、防御側は脆弱性を把握し、パッチ適用の優先順位を決めるために多くのデータソースを追う必要があります。LEVは既存のデータを強化するのか、それとも既存のシグナルの山にさらに負担を追加するのか？

Bugcrowdの創設者であるCasey Ellisは、LEVの導入は素晴らしいアイデアだとDark Readingに語っていますが、「実装次第で成功するかどうかが決まる」と述べています。セキュリティチームがより効果的に優先順位を付けるのに役立つ可能性に楽観的であるものの、「成功は明確な基準と迅速なコミュニケーションに依存します。チームは明確さと実行可能なインテリジェンスを必要としており、単なるアラートの増加ではありません。」

ペネトレーションテスト企業Synackのソリューションアーキテクト副社長であるPaul Moteは、LEVをKEVシステムの必要な拡張と説明しています。

「KEVは重要なパッチの優先順位付けに役立ちますが、他の99％以上のCVEを除外しています。多くの組織は、これらの脆弱性を悪用が難しいと見なし、何か悪いことが起こった後にのみ行動します。LEVはこのギャップを埋めるのに役立ちます」とMoteは言います。「しかし、注意点があります。数万件のペンテストを実行した経験から、ほとんどのエクスプロイトにはCVEが必要ないことがわかっています。CVEを使用して成功した場合、それは通常KEVリストには載っていません。NISTの提案が支持を得れば、より多くのエクスプロイトがLEVと一致するようになるかもしれません。」

対照的に、Luta Securityの創設者兼CEOであり、脆弱性開示分野のパイオニアであるKatie Moussourisは、Dark Readingに対して「このような複雑な問題を方程式に還元しようとする試みは驚きだ」と述べています。「すべての脆弱性が同じように作られるわけではなく、悪用可能性の観点で同等に作られた脆弱性がすべて同じように興味深いわけではありません。」

このアイデアは興味深いものの、Moussourisは、組織がLEVをCVSSスコアに過度に依存して脆弱性を優先するように扱うことを心配しています。脆弱性には、悪用の容易さ、脆弱性の展開の広がり、脅威アクターが環境で何を狙うか、環境がどのようにユニークであるかなど、多くの考慮事項があります。

「私が懸念しているのは、これらのスコアが何かを教えてくれることです」とMoussourisは言います。「それが必要な時に必要な情報を教えてくれるかどうかは別の問題です。」