新たなレポートで、アプリケーションセキュリティプロバイダーのOXは、米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)に対し、既知の悪用されている脆弱性(KEV)カタログにより多くの文脈情報を追加するよう求めた。
CISAのKEVリストにある一般的な脆弱性(CVE)10件を、200を超えるクラウド環境にわたって分析した結果、OXの研究者は、いずれもクラウドのコンテナ化環境に対して実際のリスクをもたらさないことを突き止めた。
同社は5月28日に公開されたレポートで調査結果を共有し、脆弱性管理に取り組むセキュリティチームに対して、「あらゆるものを、あらゆる場所で、一度にすべてパッチする」という戦略から離れ、文脈を活用してパッチ適用の優先順位を付けるよう推奨した。
また、CISAに対しても、KEVの各エントリをより多くの文脈データで充実させるよう促した。
KEVに掲載されているが、重大ではない
調査を実施するため、OXの研究者は、200の個別クラウド環境における最も一般的なCVE上位10,000件の中から、CISAのKEVリストに掲載されているCVEを25件選定した。
その後、Android、Linux、Google Chrome、Safariなど複数のプラットフォームにまたがるKEVエントリを10件選び、クラウドのコンテナ環境で悪用可能かどうかをテストした。
その結果、5件はクラウドのコンテナ環境では悪用不可能であり、残り5件は悪用可能ではあるものの特定の条件下に限られることが分かった。
これらの結果に基づき、OXの研究者は、脆弱性管理の運用者にとって重要なツールである一方で、CISAのKEVリストは文脈上の関連性を十分に区別できていないと結論付けた。
研究者は「コンプライアンス規制によって時に求められるように、環境の文脈に関係なく、すべてのKEV脆弱性を同等の緊急度で扱うことは、すでに逼迫しているセキュリティチームに不要な作業負荷を生み、真に重大な問題からリソースを逸らしてしまう」と指摘した。
CISAにKEVデータの充実を要請
まず、OXチームはCISAに対し、KEVの公開プロセスを更新し、各KEVエントリに次のデータを追加するよう求めた。
- プラットフォーム固有の関連性指標
- CVEの発生源情報
- 攻撃チェーンおよび攻撃パスの文脈
より多くの脆弱性文脈で優先順位付け
OXは、KEVを重大と扱う前に検討すべき事項のリストをセキュリティチームに提示した。
- CVEが報告された元の文脈を特定し、自社環境と比較する
- 概念実証(PoC)エクスプロイトを含む、エクスプロイト例を探す
- 脆弱性と機微情報との関係を評価する
OXの研究者は「セキュリティチームが年間180件を超える新たなKEVに直面している状況では、文脈に基づく優先順位付けが効果的な脆弱性管理に不可欠だ」と結論付けた。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-urged-enrich-kev-catalog/
