Anthropicが来るバグ激増に備えてEPSSに注力

AnthropicのMythosは、脆弱性管理プログラムが既に対処に苦労していた問題を悪化させた：脆弱性が多すぎて、どれが重要かについての明確性が不足している。

Mythosで変わること — そしてそれが表すAIベースの脆弱性発見システムのクラス — は、ソフトウェアの欠陥が発見され悪用される速度である。

そのスピードは、防御側にとってより緊急な問題を提起する：どの脆弱性が対応を必要とするのか？

Anthropicは1つの方法を指摘している。AI加速攻撃に関する取り組みに関連したガイダンスにおいて、同社は脆弱性の発見が増加する中で脆弱性をトリアージする方法として、Exploit Prediction Scoring System（EPSS）の使用を推奨した。これはEmpirical Securityの背後のデータサイエンティストによって開発され、FIRSTを通じて公開された確率論的モデルである。

Anthropicによると、「KEV [CISAの既知悪用脆弱性カタログ]リストにまずパッチを当て、その後選択されたEPSSしきい値以上のものすべてにパッチを当てることで、数千の未解決CVEを管理可能なキューに変えるのに役立つでしょう。」

「EPSSは気象予報士が使用するのと同じ確率論的モデルを使用しています」と、Empirical SecurityのCTOかつ共同創業者で、元のEPSS著者の1人であるMichael RoytmanはCSOに語った。「予報は、今後30日間にインターネットのどこかで悪用される可能性がある脆弱性についてのものです。」

Roytmanは付け加えた、「私たちは常に傘を頭の上に持つことで雨に対処することはありません。傘を持つべきかどうかを教えてくれる予測モデルを持っています。」

Empirical SecurityのCEOであるEd BellisはCSOに、Anthropicの推奨事項がEPSSが新しいからではなく、それを作成した人によって目立っていたと語った。Bellisによると、大規模言語モデルプロバイダーが脆弱性の優先順位付けのための確率論的な目的別構築モデルを明示的に支持したのは、彼の知識の限りでは初めてのことだった。

既に負荷がかかっているシステム

Mythosは脆弱性エコシステムが既に負荷がかかっている中で到着する。

最近、新しい脆弱性の量により、NISTはその国立脆弱性データベース（NVD）の充実を特定のCVEのみにスケールバックすることを余儀なくされた。NVDはFIRSTによって開発されたCVSSスコアで脆弱性レポートを充実させ、EPSSは悪用可能性の推定値を別途提供している。

「彼ら[NIST]が焦点を当てる脆弱性を絞り込んでいるという事実は[CVSS用に]、それがすべて人間主導であるためです」とBellisは述べた。対照的に、EPSSはマシン駆動であり、すべてのCVEに適用でき、スコアは毎日公開されている。

「それはマシン駆動であり、最終的にその脆弱性をスコアリングする機械学習モデルです」とBellisは付け加えた。「今日の平均的な脆弱性管理慣行は、機械学習、データ駆動の観点からそれを考えていませんが、彼らはそうすることができます。」

Zero Day Clockによると、脆弱性が発見された後にそれを悪用するまでの平均時間は今年1時間に達し、2028年までには1分だけになり、2018年の2.3年から減少する。

セキュリティリーダーが約束と現実のバランスを取る

セキュリティベンダーは、EPSSスコアをシステムにますます組み込んでいる。

Roytmanによると、EPSSは120以上のセキュリティベンダーの製品に組み込まれており、CrowdStrike、Cisco、Palo Alto Networks、Qualys、Tenableのプラットフォームが含まれている。

「他のCISOはEPSSがどれほど広く採用されているかを認識していないと思いますが、その採用は業界にとって素晴らしいニュースです」と、NetskopeのCISOであるJames RobinsonはCSOに語った。

「EPSSは[ソフトウェアの欠陥]に適用する場合、この悪用可能な脆弱性があなたの実装または操作に適用されるかどうかを知ることができることの重要なステップです」と彼は述べ、「EPSSがMythosおよび他の今後のモデルから識別された非CVE脆弱性を識別する際に果たすことができる役割は極めて有用です」と付け加えた。

Main Line HealthのCISOであるAaron Weismannは、脆弱性のより高速な発見を歓迎しましたが、ガイダンスがヘルスケアなどのセクターに変換されるかどうかを疑問視し、CSOに「それらの推奨事項が重要インフラ — ヘルスケア、ユーティリティ、政府など — にどの程度実行可能であるかを見るのは興味深いだろう。レガシーハードウェアとソフトウェアの蔓延により、即時の自動パッチ適用が困難になる可能性があります」と語った。

すべての防御者が、脆弱性の急速な発見に対処するためにEPSSまたはCVSSの概念を受け入れているわけではない。

「率直に言うと：CVSSとEPSSは両方とも’Mythos’時代では根本的に時代遅れであり、完全な再考が必要です」と、Cloudflareのチーフサイバーソリューション責任者であるRamy HoussainiはCSOに語った。「EPSSは遅れている30日間の過去データに依存しますが、AIは悪用するまでの時間をわずか数分に短縮しました。予測スコアを待つ人間スピードのパッチ適用に優先順位をつけるのではなく、組織はリアルタイム防御にシフトする必要があります。」

エクスポージャー管理はCVEを超えて拡張される

Mythosの脆弱性発見力の分析のほとんどはCVEを適用できる一般的なアプリケーションに焦点を当ててきましたが、その発見はおそらく、この定義を満たさない数百万の他の脆弱性を明らかにするでしょう。「クラウドとアプリケーション全体で、それらのアプリケーション全体で共通の列挙者がない、同様のプロセスが起こっています」とEmpirical SecurityのRoytmanは述べた。

「同じ言語で書かれていても、私のアプリケーションはあなたのアプリケーションと非常に異なります」と彼は付け加えた。「したがって、すべてのエクスポージャー管理に拡張される確率論的モデリングについて考えるとき、これはCVE自体よりも大きな問題かもしれません。アプリケーション、クラウド、構成、設定ミスの予測モデルを構築することについて考える必要があります。それは既存のセキュリティツールを利用し、人間が手動のトリアージ作業を行うのではなく、目的別構築のモデルを小さく構築することの別の実践です。」

要するに、MythosとAIの競合モデルは間もなく、CVEモデルに適合しない数百万の脆弱性を見つけることができるようになります。「私たちは常に、未解決の脆弱性インスタンスが数千万個あるかもしれないエンタープライズを見ています。AI前線で彼らが発見しようとしているあれらの欠陥のクラスの単なる容量は言うまでもありません」とBellisは述べた。

「これは問題ですが、空は落ちていません」とRoytmanは述べた。「それを管理する方法があります。」