出典:Alamy Stock Photo、グランドブラザーズ経由
冷房の効いたスコッツデール・ボールルームはほぼ静寂のままだった。NIST国家脆弱性データベース(NVD)のプログラムマネージャーであるハロルド・ブースが重大な運用上の変更について述べていたからだ。彼の組織は運用を縮小し、すべてのCVEを引き受けるのではなく、エンリッチメント対象として選ばれるCVEを優先することになるという。
NVDの範囲が米国標準技術研究所(NIST)が管理する能力を超えて増大しているという認めであり、VulnCon26の聴衆の誰も驚きませんでした。
この特定の業界関係者とベテランのグループは、特に2024年にNISTが連邦政府資金の12%を失い、昨年の人材流出を招いた後、NISTがCVEのバックログの増加に追いつくことがいかに困難であったかをよく認識しています。同様に、全国のサイバー実務者はNISTが追いつくことを試みるのを見守り、また増加するCVEのバックログに対処しているのを見守っており、サービス削減に備えています。
ブースはNISTがなぜ特定のCVEをエンリッチメントデータの優先順位付けすることに決めたのか説明します。これは影響を受ける製品、攻撃ベクトル、およびその他の関連詳細についての情報をCVEファイルに追加することで構成されます。
「私たちの優先順位付け基準は、広範な影響の可能性が最も高いCVEに焦点を当てることで、ほとんどのユーザーのニーズを満たすように設計されています」と彼はDark Readingに語っています。「組織はまだNVD内のすべてのCVEにアクセスできます。」CVSSスコアは、CVE Numbering Authority(CNA)、サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)、またはNVDから引き続き利用可能です。
さらに、彼は付け加えています。ユーザーは特定のCVEについてエンリッチメントまたはスコアリングをリクエストすることができます。
「これらの変更の一部は、下流の組織が適応する必要があることを認識しています」とブースは述べています。「それが、サイバーセキュリティコミュニティのニーズを長期的にさらに良く満たすことができるようにする自動化されたシステムとワークフロー改善を開発するために取り組んでいる理由です。」
全国の実務者とサイバーセキュリティリーダーもNISTとより広いCVEプログラムが追いつくために奮闘しているのを見守っています。
「人員削減と脆弱性の急増により、これは避けられないものになりました」とテレコムソフトウェアベンダーのWeaveのチーフインフォメーションセキュリティオフィサー(CISO)ジェシカ・シカが述べています。「多くのセキュリティ実務者はこのもう一つの靴が落ちてくるのを待っていたと思います。確かに、変更の一部は良いと思います。利用できないか重大度が低い脆弱性について心配する必要があるでしょうか。企業がリスクを優先し、焦点を合わせる必要があるように、NISTがリスク優先順位付けモデルにシフトするのは悪いことではありません。」
しかし、シカが主張する通り、NISTエンリッチメントデータの喪失はサイバーセキュリティ実務者にとって大きな問題です。
「結局のところ、いくつかのものが見落とされるでしょう」とシカは述べています。「多くのセキュリティベンダーはNVDを情報源として、また企業がパッチを必要とするものの情報源として依存しています。過去1年間、民間セクターまたはおそらくオープンソースが何かを提供するために立ち上がる必要があることについて話されてきました。なぜなら、現在NISTを脆弱性情報の包括的で信頼できる情報源として依存できないことは明らかだからです。」
CVEエンリッチメント問題
広く言えば、MITREと訓練を受けたベンダー、研究者、バグバウンティプロバイダー、およびコンソーシアム組織で構成される指定されたCVE Numbering Authoritiesは、脆弱性のレポートを収集し、CVE ID番号を割り当て、利用可能な情報でレコードを作成する責任があります。現在、42ヶ国にわたって504のCNAがあり、国所属なしで宣言された1つのメンバーがあります。2025年に、このグループは約40,000のCVEレコードを作成しました。CISAの脆弱性対応チーフであるリンゼイ・セロヴニックによれば、2026年末までに60,000ものレコードを生成する予定です。
さらに、エンリッチメントメタデータは、脆弱性がシステムのどこに潜んでいるか追跡しようとしている防御者にとって非常に有用ですが、収集とレポートは労力がかかります。エンリッチメントは、CVEと一緒に提供された参考資料のレビュー、ならびにエクスプロイトに関する公開利用可能な詳細に関する手動インターネット検索を含みます。作成されているCVEの莫大な量は、それぞれを手で処理するにはもう大きすぎます。
エンリッチメントプロセスをさらに厄介にしているのは、現在CVEをファイルするために必要な情報の量が不十分であることです。セロヴニックは、CVEがファイルされた時点でより多くの情報を必要とし、プロセスを標準化するのに役立つことを探していることを説明しました。別のスピーカー、MITREのCVE/CWEプロジェクトリーダーであるアレック・サマーズは、CVEに必要なのはID、簡潔な説明、および影響を受ける製品への参照だけであることを指摘しました。その最小限のデータは、NVDで作業しているNISTのようなグループが埋める多くの作業を残しています。しかし、これらの変更はまだ検討中であり、まだ実装の地平線上にはないとセロヴニックは説明しました。
元CISAテクニカルアドバイザーのボブ・ロードはそれが役に立つステップになるだろうと同意しています。
「CNAがCVEレコードを発行した後にNVDが追加するすべての要素(アプリケーション名、コーディングエラーのクラス、悪用可能性メトリクスなど)は、CNAの上流によって提供されるべきであり、下流に追加されるべきではありません」とロードは述べています。「CVEレコードは、発行時に完全で、正確で、タイムリーである必要があります。」
ロードはBusiness Cyber Guardianの共同創設者兼リード・ソフトウェア・エンジニアであるディック・ブルックスと一緒にCVE Consumer Working Groupの一部です。また、ソフトウェアベンダーによるCVE詳細の遅延公開もプロセスを遅くしています。
「多くのソフトウェアメーカーはCVEを予約してセキュリティアドバイザリーを公開しますが、必要な24時間以内に対応するCVEレコードを更新できません」とブルックスは述べています。「これは特にGoogleで問題が増しており、しばしばアドバイザリーを公開してからCVEレコードを数週間不完全なままにします。1日または2日の短い遅延は許容できるかもしれませんが、長い間隔はCVEのタイムリネスへの信頼を損ない、脆弱性研究ワークフローを混乱させます。対照的に、Appleは一般的に24~48時間のガイドラインに従っており、タイムリーな公開が実行可能であることを示しています。」
サイバーチームが少ないNVDデータに適応する方法
それまでの間、RunSafe Securityのチーフテクノロジーオフィサーであるシェーン・フライによれば、サイバーセキュリティチームはエンリッチメントデータの喪失を補うために移動する必要があります。
「AnthropicのMythosはNISTがまず最初にこの動きをしている理由を強調しています」とフライは述べています。「彼らはすでに過去1年間でCVE投稿の急増を見ており、追いつくことができていません。MythosおよびAIアシスト脆弱性の他のツールは、公開される脆弱性のボリュームを増やすだけです。それは業界が長い間認識している問題です。」
したがって、CVEの莫大な量に追いつく能力がなければ、サイバーチームはピボットする必要があります。フライが付け加えています。
「前進の方法は、パッチが利用可能になったり脆弱性が公開される前でさえも、バグとゼロデイの悪用を防ぐためにソフトウェア自体に防御を構築することを強調する必要があります」と彼は忠告しています。
ブルックスは、サイバーチームは脆弱性情報を追跡することについてより積極的になる必要があるだろうと述べています。
「CVEは限定的な価値を持っています。CVEの影響を受ける可能性がある最終ユーザー環境の製品を識別することは常に簡単ではありません」とブルックスは述べています。「これは、最終ユーザーが『私の製品は影響を受けていますか?』という質問に対する決定的な答えを求めて製品メーカーに連絡する必要があります。」
業界の専門家アダム・ショスタックは、NIST発表の余波で、パッチの適用を大幅に加速することは組織にかかっていることを推奨しています。
「人間の分析が決定の一部として必要な場合、CVE、後継者、または企業システムなど、どのシステムが最新のままであるか私は知りません」とショスタックは述べています。「多くの企業にとって、避けられない結論は、彼らはおそらくパッチパスを潤滑し、その経路でマルウェアのリスクを管理する必要があります。」
ショスタックは2月にこれを達成する方法の詳細な説明を書きました。また、潜在的な脆弱性の影響を受ける可能性がある「爆発ゾーンを本当に締め下げる」ガイダンスと共に。
前進するにつれて、サイバーセキュリティコミュニティが脆弱性報告基準を調達言語に追加することが有用かもしれません。米国エネルギー部門で同様のイニシアティブに取り組んでいるブルックスによると、彼はそれがサイバーセキュリティのモデルとしても機能することを望んでいます。
「米国エネルギー業界は、製品脆弱性が確認されたとすぐに、CVEが公開される前に、製品脆弱性報告のタイムリネスを改善するための新しい調達言語を探索しています」とブルックスは述べています。
最新のDark Reading Confidentialポッドキャスト「セキュリティボスはすべてAIに関与しています:理由はここにあります」をお見逃しなく。RedditのCISO Fredrick LeeとOmdia分析家Dave Gruberが、SOCのAIと機械学習について、成功した展開がどうなったか(またはどうなったか)について、AIセキュリティ製品の将来について説明しています。今すぐ聞きましょう!
翻訳元: https://www.darkreading.com/threat-intelligence/nist-cutbacks-nvd-handling-impacts-cyber-teams
