こちらのイベントに参加してきたので、会の様子と感想を書いていこうと思います。
会の概要
以下、イベントページから引用です。
脆弱性とは、運用するシステムの設定不備を指す場合やソフトウェアの欠陥を指す場合があり、情報漏洩などのサイバー攻撃に広く利用されています。脆弱性への対応が重要度を増している一方で、NISTが公開するNVDは縮小されているという課題があります。脆弱性情報の公開に変化が起きている状況で、脆弱性に対応するためにはどのような情報を参考にすればよいのでしょうか。 今回は、CVEとCVSSについて解説し、脆弱性対応のための情報の取り扱いをテーマに対談を行ないます。
会の様子
5分でわかるCVE/CVSS
ソフトウェアの脆弱性に固有の番号を割り当ててリスト化したものがCVEで、脆弱性の特性と重大性を評価するための標準化されたフレームワークがCVSSだという話がありました。
CVEはCNAが取りまとめており、日本でもCNA企業が取りまとめに関わっているということです。
CVSSはFIRSTが管理しており、0-10の評価でグループごとに異なる基準(基本評価基準、脅威評価基準、環境評価基準)で評価するということです。ただし、スコアは目的別に評価をするのが重要なので、どのスコアで評価したのかは明示する必要がある(CVSS-B...)という話もありました。
脆弱性はどの辺で使用されているのか
ロッキードが提唱したサイバーキルチェーンを用いながら脆弱性が使われる具体的なユースケースの説明がありました。以下、フェーズごとに説明を書いていきます。
- Reconnaisssance -> 攻撃者が外部からスパイツールなどで脆弱性がありそうな部分を探る
- Weaponization -> マルウェアをはじめとした悪意があるコードを作る
- Delivery -> 任意のコードを用いてWeaponizationで使用した脆弱性を持っていく
- Exploitation -> 標的の脆弱性を悪用して侵入をさらに進め、多くの製品にLateral Movementを仕掛ける
- Installation/Command&Control/Action -> あまり脆弱性が使われないのでSkip
また、敵対者がどういう目的を達成するためにどういう技術かを考えるMITRE ATT&CKを踏まえると、脅威アクターと使用する脆弱性としては、APT29/APT28/Turla/Volt Typhoon/Red Delta/MuddyWater/LockBit/Akira/RansomHubの中ではほぼほぼInitial AccessやExecutionの箇所で脆弱性は使われているという話がありました。
そのため、ASMはやはり効果的な手法だということやMS系の製品のWindows Updateを頻繁にしていくことが重要だと言えそうだということです。
Q&A
イベントの途中では質疑応答の時間がありました。以下、質問と回答を一問一答形式かつ常体で記載していきます。
脆弱性を調査する際にCVE以外にもNVDやJVNを参照したほうがいいか?
得られる情報が違うのがまずポイント。CVEとNVDは両方見て、JVNは英語で確認するのがおすすめ。
速報性を重視するならどこが良いのか?
Zero Day Initiativeを使えばdetailはわからないがどんなものがあるかはすぐに確認できる。UPCOMINGの部分を見る。あとはCVEのXはかなり早くに公開される。
なお、CVSSはZero Day Initiativeが出している。
サーバの脆弱性管理でAWSのSSM Agentのように集中管理できるツールは他にあるか?
めちゃくちゃあるので紹介が難しい。例えばKatelloとか。
ただ、最近は質問にあるようなSSM Agentとかクラウドベンダーに任せてしまうというのが多くなっている。
WSUSがゆくゆくはなくなるという話があるが、今後アップデートのマネジメントスタイルも変えていく必要があるのか?
エアーギャップの実現と帯域を減らすのが目的だったが、帯域は大分増えたりゼロトラストの考え方ともミスマッチしている感じはある。
ただ、工場関係や国家インフラに関わる場所だとWSUSは必要だという認識はしている。
クラウドベースのシステムがデファクトスタンダードになっていくので、一般的なシステムで使われる機会はどんどん減ると思う。
会全体を通した感想
トリアージの部分は関心度が個人的にも高かったので、具体的に実務でやられている方法を聞くことができてよかったです。
技術的な内容に特化しているイベントは少なくなってきている傾向を感じるので、こういったイベントがもっと増えていくといいなあと思いました。