TokyoBlackHatNews

darkreading.com 5分で読了

NISTが高影響度の脆弱性に焦点を当てるようにCVEフレームワークを刷新

Image

出典:Adobe Stock Photo経由のktdesign

米国標準技術研究所(NIST)は、脆弱性の継続的に増加する数に対応することの困難さを理由に、その共通脆弱性識別子(CVE)フレームワークに該当するソフトウェア欠陥を決定するための基準を変更しています。

エンタープライズディフェンダーが環境内の多くの脆弱性をどのように整理するか、またパッチ管理活動をどこに焦点を当てるべきかを知ることは容易ではありません。多くの企業は、国立脆弱性データベース(NVD)を管理するNISTに依存して、より重大な欠陥の優先順位付けを支援してもらっています。しかし、NISTは毎日報告される脆弱性の数に圧倒されており、必要な特権やユーザーインタラクションなどの様々な悪用リスク要因に基づいてそれらを分類し、スコアを割り当てることに苦労しています。大きなバックログが存在し、過去5年間の複数の取り組みが、NISTが脆弱性レポートを分析してNVDに入力するのを支援することに焦点を当ててきました。 

発表は、NISTのウェブサイトに投稿され、今週、状況が以前理解されていたよりも深刻である可能性があることを示しています。同機関は「増加する投稿に追いつくために苦労」しており、4月15日から、CVEのサブセットのみの詳細を提供すると、NISTは述べました。 

脆弱性の優先順位はどのように付けられるのでしょうか?

NISTは、新しいアプローチが「リスクベース」になることを述べました。提出されたすべての脆弱性は引き続きNVDに追加されますが、優先順位付けの方法は変わります。分析される欠陥は、次のいずれかのカテゴリに該当します:サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の既知悪用脆弱性(KEV)カタログに追加されたもの、および国家のサイバーセキュリティ改善に関する大統領令(EO 14028)で定義された重要なソフトウェアに見られた欠陥。KEVカタログは、連邦政府が使用するソフトウェアの脆弱性で、積極的に悪用されているものをリストアップしており、EO 14028は、それらが昇格された特権で実行され、アクセスまたは運用技術を制御するように設計されているかどうかに基づいて、他の基準の中でも欠陥に優先順位を付けます。 

以前は、NISTはすべてのCVEに対して独自の重大度スコア、説明、および影響を受けた製品を提供していました。これは「重複排除の努力を減らし、リソースをより効果的に焦点を当てるために」変わります。 

同機関は、2024年初期に始まった進行中の大規模なバックログの課題にも対処しました。NISTは、バックログをクリアできないことを、投稿レートの増加に起因すると考えています。すべてのバックログされたCVEは、延期され、「スケジュール未定」カテゴリに移動されます。1つの注意:KEVは含まれていません。

「実際の世界の悪用可能性」

改善された検出ツール、人工知能、より多くのバグバウンティイニシアチブ、大幅に拡大された攻撃面、およびコード開発の急速なペースが、すべて脆弱性の爆発的な増加に寄与しました。NISTは、CVE投稿が「2020年から2025年の間に263%増加した」と強調し、「2026年の最初の3か月は昨年の同じ期間よりもほぼ3分の1高い」ことを追加しました。   

専門家は、NISTの以前のアプローチはいずれかの時点で失敗することは避けられず、より多くの共有責任モデルが必要であることに同意しています。 

NISTが認めていることは、研究コミュニティが何年も理解していることです:Bugcrowdのチーフストラテジーおよびトラストオフィサーであるトレイ・フォードが説明したように、このボリュームで脆弱性トリアージを一元化して、それが機能することを期待することはできません。 

「実際の修復優先順位を駆動するシグナルは、常に実際の世界の悪用可能性から来ており、データベースメタデータからではなく、それはライブ環境に対して継続的に働く敵対的本能を持つ人間の研究者が必要です」とフォードは述べました。 

彼は、脆弱性プログラムの次の世代は、その種のアクティブで分散したシグナルを中心に構築され、四半期ごとの濃縮サイクルではないと予想しています。

新しいアプローチは有益ですか?

アクティブで積極的なアプローチは、今後必須となります。攻撃者はゼロデイと既知の脆弱性を驚くべき速度で悪用しており、一方、組織はリソース不足に直面しています。 

バックログは、生のCVSSスコアに基づいたリアクティブなコンプライアンスから、脅威インテリジェンスによって駆動される積極的なリスク管理への必要なシフトを強制し、Contrast SecurityのCISO、デビッド・リンダーは述べています。 

「高影響度の脆弱性の優先順位付けというNISTの決定は、セキュリティチームがあらゆるソフトウェア欠陥を分類するために単一の政府データベースに依存できた時代の終わりを示しています」とリンダーは述べました。「現代的なディフェンダーは、総CVEボリュームのノイズを超え、代わりにCISA KEVリストと悪用可能性メトリクスに限定されたリソースを集中させる必要があります。」   

このトランジションは従来の監査ワークフローを破壊する可能性がありますが、長期的には組織にとってより良いかもしれません、とリンダーは明かしました。彼は、業界が「理論的な重大度よりも実際のエクスポージャー」を優先するよう要求する方法として見ています。

「実行可能なデータの厳選されたサブセットに依存することは、あらゆるマイナーバグの包括的だが管理不能なアーカイブを維持するよりも、国家の弾力性にはるかに効果的です」とリンダーは述べています。 

翻訳元: https://www.darkreading.com/vulnerabilities-threats/nist-revamps-cve-framework-to-focus-on-high-impact-vulnerabilities

ソース: darkreading.com
#CISA #CVE #KEV #NIST #NVD #セキュリティ #リスク管理 #悪用可能性 #脆弱性優先順位付け #脆弱性管理

関連記事

北朝鮮がClickFixを使用してmacOSユーザーのデータを狙う

『無害な』グローバルアドウェアがAVキラーに変身

二要素認証、デスクトップから解放される