2020年に開示された脆弱性の63%が、技術的なスキルが低い攻撃者が利用可能な「複雑性が低い」と分類されている事に対し、専門家が警告しています。
www.infosecurity-magazine.com
元ソース(Redscan)
・NIST security vulnerability trends in 2020: an analysis
1.2. 主な調査結果
- 2020年に公開されたセキュリティ脆弱性の数が、これまでのどの年よりも多い(18,103件)。
- 1日平均50CVE
- 2020年の脆弱性の57%が「重要」または「高レベル」に分類されていた(10,342件)
- 2020年には、高・重大度の脆弱性の数が、総脆弱性の数を上回った。
2010年に記録された全脆弱性(低・中・高・重要を含む4,639件)
- 2020年に開示された4000件近くの脆弱性は「最悪の事態」と言える
すべてのNVDフィルタカテゴリで最悪の基準を満たしている
- 複雑性の低いCVEが増加傾向にあり、2020年に開示された脆弱性の63%を占める
- 搾取するためにユーザとのやりとりを必要としない脆弱性も増えている。
2020年に記録された全CVEの68%を占める
- ユーザ権限を必要としない脆弱性は減少傾向にある
(2016年の71%から2020年は58%)
- 2020年は物理的な脆弱性が大きく急増
(Redscan調査レポートより引用)※機械翻訳
キタきつねの所感
2020年に発表された脆弱性(約18,000のNVDに登録されたCVE)の半分以上(57%)が「重要(Critical)」または「高レベル(High)」に分類されているというのも驚きでしたが、「複雑性が低い」と分類された脆弱性が63%というのは、かなりの高水準です。
※Redscanレポートの中の図を以下引用します。
脆弱性が2017年以降増加傾向にある事がよく分かります。記事や主な調査結果(Key Findings)にもあった、システム管理者が対応する必要性が高い、「重要」「高リスク」の脆弱性については2010年のそれと比べると全体比率も上がっています。
「数」が違う事が目を引きますが、インターネットに接続される機器(IoT等々)が増えた事を考えると驚く事ではないのかも知れません。
今回のレポートの中で、危ない兆候として考えるべきであり、Readscanの専門家も懸念しているのが、全体の脆弱性が増えている中で、「複雑性が低い」脆弱性が2017年から比率が増加している事です。
つまり、技術的スキルの低い(=初心者レベルの)攻撃者が脆弱性を悪用する事が可能であるという事を示唆していますので、企業側の対策も考え方を変える必要があるかも知れません。
複雑性以外にも、「その脆弱性を悪用するには管理者権限が必要」、「ユーザとの対話(インタラクション)が必要で、ユーザがリンクをクリック、ファイルをダウンロードする様な特定のアクションを行った場合に悪用が可能」といった視点を加えて分析した結果、冒頭にあった2020年は「最悪の事態」という結論に達した様です。
とは言え、日々増加し続けている(自社に影響する)脆弱性の全てに対応するというのは現実的ではありません。
CVEで考えると、自社の資産をしっかりと把握した上で、「重要(Critical)」や「高レベル(High)」の脆弱性に対応する事が多くの企業にとって必要な事かと思いますが、それでも”数が多すぎる”(=対応しきれない)というのが現状かと思います。
つまり、重要なのは「優先順位」という事になるのかと思います。
優先順位を考える上でヒントとなりそうなのが、攻撃ベクターです。
7割がネットワーク越し、残り3割がLocalシステムに直接触れないといけない脆弱性、Adjacent(隣接)がWi-FiやBluetooth等でローカルネットワークに近づく事を必要とする脆弱性を意味しています。
優先順位を考えると、より危険性の高い、ネットワーク側にウェイトを置く事がまず考えられます。
残り3割は内部要因(物理対策)なので、物理対策がしっかりしている施設や、物理リスクは低いと判断されている場合、優先順位の考え方を変える事が可能かも知れません。例えば内部要因に対しては、「重要(Critical)」だけは優先対応して、「高レベル(High)」は必要に応じて対応する、といった考え方が有効な気がします。
残り7割のネットワークも、まだまだ脆弱性の数が多いかと思いますが、こちらも「重要(Critical)」は優先対応した上で、「高レベル(High)」の中で、管理者権限(特権ID)を必要としない脆弱性のウェイトを高くする考え方も有効かと思います。
※管理者権限管理がしっかり出来ている前提です。実情が「admin/admin」や「firewall01/firewall01」であるならば、上記の考え方では危険ですので、まずは人の脆弱性から最優先でパッチ当て(徹底教育)をした方が良いかと思います。
ユーザとの対話(インタラクション)が必要な脆弱性もウェイトを下げる事も考えられますが、まだその段階ではない企業が多い気もします。いくら教育してもリテラシーが低い社員は一定数いますし、テレワーク環境が長く続いていると(精神状態が不安定となり)オフィスとは違う行動をとる社員も出てくるかと思いますので、ウェイトを下げる場合には、多層防御(監視)も併せて対策しておくのが無難かと思います。
Readscanのレポートでは、以下の様に結論を書いていました。
"優先順位をつけるべき脆弱性を特定することは、ITセキュリティにおいては、特に以下のような課題となっています。
・CVE の量は増加の一途をたどっています。
・意思決定を支援するために、セキュリティチームは脆弱性がもたらす潜在的な影響と、脆弱性がどの程度容易に利用されているかについての実践的な理解する必要があります。
・脆弱性がNVDで悪用しにくいと記載されているからといっても PoC コードを開発していないことを意味しません。脆弱性を悪用される可能性があります。
・重要なのは、脅威の状況で何が起きているかを把握し、それに応じて対応することです。
・"深層防御 "も重要です。すべての脆弱性が知られていてパッチが当てられているわけではありません。
・しつこい攻撃者は、最終的には組織の防御を突破する方法を見つけるかもしれません。
・脆弱性の見通しは、リスクを軽減するために、継続的なネットワーク監視などの補足的な管理を実施していることが重要です。
・"2021年の脆弱性の見通しでは、これまでと同様の傾向が見られます。攻撃者の標的はますますエッジパッチを迅速に当てられない組織など、ソフトターゲットとみなされる組織ネットワーク技術、リモートワークだけでなく、スマートデバイスの研究も継続されそうです。
・デジタルコラボレーションツールを使用しているため、これらの分野の脆弱性がますます増加しています。
(Redscan調査レポートより引用)※機械翻訳
その上で、脆弱性管理を改善するためのアドバイスとして以下の6点を挙げています。脆弱性診断の頻度(月1回)がきつい気がしますが、それ以外はよく見聞きする(当たり前の)事が書かれています。
組織は、脆弱性管理に対して多層的なアプローチを採用しています。これには以下が含まれる。
1. 少なくとも月に 1 回、内部及び外部の脆弱性評価を実施すること。
2. 最新のオープンソースの脅威インテリジェンスを活用して、新たな脅威や新興の脅威と脆弱性、および実生活に即したコンテキストを入手する。
3. 隠れた脆弱性を特定するための侵入テストを委託し、より良い対策を行う。サイバー犯罪者に悪用される可能性があることを理解する。
4. 脆弱性が悪用されている証拠がないか、ネットワークやエンドポイントを綿密に監視すること。
5. 5. テーブルトップの脅威モデリング演習を実施して、攻撃者の攻撃方法の概要を把握する。既存の脆弱性が悪用されている場合に、潜在的な攻撃経路を確認することができる。
6. 以下に迅速かつ効果的に対応するために、インシデント対応手順を正式化し、テストする。
(Redscan調査レポートより引用)※機械翻訳
余談です。私の日本企業の印象です。(特定の企業・施設を指すものではありません)
※対策が素晴らしい企業も多いのですが、下を見ると・・・・アレって事が結構あります
1は年1回程度(外部評価をしてない所はまだまだ多い)、2は一部の大企業のみ、3はやっていても一部のシステムに限定して実施、4は及第点、5は・・・やってる?、6は手順があっても自然災害と機器故障がメインで、サイバー攻撃はほとんど想定されてない(インシデントが発生したらCSIRTに任せる事だけは決まっている)
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
