シグナルをノイズから分離する: Mandiant Intelligence が脆弱性を評価する方法 — 脆弱性管理のためのインテリジェンス、パート 3

How Mandiant Rates Vulnerabilities news

サイバー脅威インテリジェンス (CTI) が果たす重要な戦略的および戦術的役割の 1 つは、組織のデータ、従業員、および顧客を危険にさらす可能性のあるソフトウェアの脆弱性の追跡、分析、および優先順位付けです。この 4 部構成のブログ シリーズでは、FireEye Mandiant Threat Intelligence が脆弱性管理を可能にする CTI の価値を強調し、最新の脅威、傾向、および推奨事項に関する新しい研究を発表します。

すべての情報セキュリティ担当者は、脆弱性にパッチを適用することが、健全で適切に管理された組織に向けた最初のステップの 1 つであることを知っています。しかし、毎年何千もの脆弱性が公開されており、ニュースで最新の「ブランド化された」脆弱性についてメディアが誇大宣伝しているため、どこから始めればよいかわかりません。

National Vulnerability Database (NVD) は、CVSSv3 のスコアに到達するために自動化されたプロセスに入力されるさまざまな要因を考慮しています。 Mandiant Threat Intelligence は、アナリストの洞察と経験を活用して、異なるアプローチを採用しています (図 1)。この人間の入力により、定性的な要素を考慮することができるため、セキュリティ運用にとって重要なことにさらに重点が置かれます。

How Mandiant Rates Vulnerabilities
図 1: Mandiant による脆弱性の評価方法

パッチの優先順位付けの支援

私たちのアプローチは、自動化された手段を使用して定量化することが困難な要因に基づいて評価を調整できるため、パッチ適用の優先度を決定するためにより有用なスコアをもたらすと考えています.また、CVSSv3 と比較して、「高」および「重大」と評価された脆弱性の数が大幅に減少します (図 2)。重大な脆弱性は重大なセキュリティ リスクをもたらすと考えており、できるだけ早く修復手順を実行して対処することを強くお勧めします。また、「重大」および「高」の指定を制限することで、セキュリティ チームが最も危険な脆弱性に効果的に注意を向けるのに役立つと考えています。たとえば、2016 年から 2019 年にかけて、Mandiant は 2 つの脆弱性のみを重大と評価しましたが、NVD は 3,651 の脆弱性を「重大」と評価しました (図 3)。

米国国立脆弱性データベース (NVD) CVSSv3 評価 2016-2019 の重大度と、同じ脆弱性に対する Mandiant 脆弱性評価との比較
図 2: 米国国家脆弱性データベース (NVD) CVSSv3 評価 2016-2019 の重大度と、同じ脆弱性に対する Mandiant 脆弱性評価との比較
同じ脆弱性に対する Mandiant の評価と比較した NVD CVSSv3 スコアからのさまざまな重大度層での評価の数
図 3: 同じ脆弱性に対する Mandiant の評価と比較した NVD CVSSv3 スコアからのさまざまな重大度層での評価の数

Mandiant 脆弱性評価の定義

当社の評価システムには、搾取評価とリスク評価の両方が含まれています。

Exploitation Ratingは、実際に何が起きているかを示すものです。

Mandiant Exploitation Rating の定義
図 4: Mandiant Exploitation Rating の定義

リスク評価は、攻撃者が脆弱性を悪用した場合に、標的の組織にどのような影響を与える可能性があるかを専門家が評価したものです。

Mandiant リスク評価の定義
図 5: Mandiant リスク評価の定義

通常、エクスプロイトが深刻な影響を及ぼし、エクスプロイトが取るに足らないものであり、多くの場合、実際の緩和要因がなく、攻撃対象領域が大きく、リモートでアクセスできる場合に、意図的にクリティカル レーティングを慎重に使用します。 Mandiant が重大な評価を使用する場合、潜在的な影響と悪用の容易さから、組織にとって修復が最優先事項であることを示しています。

たとえば、Mandiant Threat Intelligence は、CVE-2019-19781 を重大と評価しました。これは、APT41 によるものを含む広範な悪用、自動化された悪用を促進する概念実証 (PoC) コードの公開、悪用の深刻な結果の可能性が重なったためです。 、およびエンタープライズ環境におけるソフトウェアの遍在性。

CVE-2019-19781 は、Citrix Application Delivery Controller (ADC) 13.0 のパス トラバーサルの脆弱性であり、悪用されると、攻撃者が任意のコードをリモートで実行できるようになります。これらのシステムの性質上、悪用に成功すると、ラテラル ムーブメントや Active Directory (AD) や LDAP クレデンシャルの発見を通じて、被害者のネットワークがさらに侵害される可能性があります。これらの認証情報は多くの場合ハッシュに保存されますが、パスワード クラッキングに対して脆弱であることが証明されています。環境によっては、この脆弱性の悪用による二次的な影響が深刻になる可能性があります。

今年初めのブログ投稿で、CVE-2019-19781 の広範なエクスプロイトについて説明しました。これには、2019 年 12 月 17 日の開示から、1 か月余り後の 2020 年 1 月 20 日に開始されたパッチ リリースまでのタイムラインが含まれます。重要なことに、2020 年 1 月 10 日に PoC コードがリリースされてから数時間以内に、FireEye テレメトリ データでこの脆弱性の偵察が検出されました。数日以内に、被害者の環境で足場を固めるために使用される武器化されたエクスプロイトが観察されました。 2020 年 1 月 20 日に最初のパッチがリリースされたのと同じ日に、私たちが追跡している最も多作な中国のグループの 1 つであるAPT41が、CVE-2019-19781 やその他の脆弱性を多数の標的に対して悪用する大規模なキャンペーンを開始したことを確認しました。

格付の考慮事項

当社の脆弱性アナリストは、脆弱性を評価する際に、影響を強めたり緩和したりするさまざまな要因を考慮します。攻撃者の関心、エクスプロイトまたは PoC コードの利用可能性、または実際のエクスプロイトなどの要因は、分析に情報を提供できますが、評価の主要な要素ではありません。

影響に関する考慮事項は、脆弱性の悪用が標的のシステムにどのような影響を与えるかを判断するのに役立ちます。

インパクトタイプ

影響の考慮

搾取の結果

権限昇格やリモート コード実行などの悪用の成功の結果

機密性への影響

悪用によって、影響を受けるシステムのデータの機密性がどの程度侵害される可能性があるか

インテグリティへの影響

エクスプロイトによって、攻撃者が影響を受けるシステムの情報を変更できる程度

可用性への影響

悪用によってデータやシステムへのアクセスが中断または制限される程度

緩和要因は、攻撃者による悪用の成功の可能性に影響を与えます。

緩和要因

軽減の対価

搾取ベクトル

この脆弱性を悪用するには、どのような方法を使用できますか?

攻撃のしやすさ

エクスプロイトを実際に使用するのはどのくらい難しいですか?

信頼性の悪用

エクスプロイトは、意図した悪意のあるアクティビティをどの程度一貫して実行および実行できますか?

アクセス ベクトル

脆弱性を悪用するには、どのタイプのアクセス (つまり、ローカル、隣接ネットワーク、またはネットワーク) が必要ですか?

アクセスの複雑さ

脆弱性に必要なアクセスを取得するのはどの程度困難ですか?

認証要件

エクスプロイトには認証が必要ですか? また、必要な場合、どのタイプの認証が必要ですか?

脆弱な製品の偏在

脆弱な製品は企業環境でどのくらい一般的に使用されていますか?

商品のターゲティング値

脆弱なソフトウェア製品またはデバイスは、脅威アクターにとって標的としてどの程度魅力的ですか?

脆弱な構成

エクスプロイトには、デフォルトまたは非標準の特定の構成が必要ですか?

Mandiant脆弱性評価システムを適用

以下は、追加の要因を考慮し、NVD に報告されなかった情報やアルゴリズムで簡単に定量化できない情報を組み込むことにより、Mandiant Threat Intelligence が NVD とは異なる方法で脆弱性を評価した事例の例です。

脆弱性

脆弱性の説明

NVD 評価

マンディアント評価

説明

CVE-2019-12650

Cisco IOS XE バージョン 16.11.1 以前の Web UI コンポーネントのコマンド インジェクションの脆弱性を悪用すると、特権のある攻撃者がルート権限で任意のコマンドをリモートで実行できるようになります。

高い

低い

この脆弱性は NVD によって高く評価されましたが、悪用するには最高レベルの権限 (レベル 15 の管理者権限) が必要であるため、Mandiant Threat Intelligence はリスクが低いと評価しました。このレベルのアクセスはエンタープライズ環境では非常に制限されている必要があるため、攻撃者が他の脆弱性と同じように簡単にこの脆弱性を悪用できる可能性は低いと考えられます。この活動の悪用は知られていません。

CVE-2019-5786

Google Chrome 72.0.3626.119 以前の FileReader コンポーネント内の解放後の使用の脆弱性を悪用すると、攻撃者は任意のコードをリモートで実行できます。

 

中くらい

高い

NVD は CVE-2019-5786 を中と評価しましたが、Mandiant Threat Intelligence は高リスクと評価しました。レーティングの違いは、悪用の結果をサービス拒否として記述している NVD が原因である可能性がありますが、レンダラーのコンテキストでリモート コード実行につながる実際の悪用については、より深刻な結果であることがわかっています。

実証されているように、評価された悪用の容易さや実際の悪用の遵守などの要因により、NVD が発行した優先順位とは異なる優先順位が付けられる場合があります。 CVE-2019-12650 の場合、脆弱性を実行するために必要な権限が必要であり、悪用が観察されていないため、最終的にこの脆弱性を NVD よりも低く評価しました。一方、CVE-2019-5786 は、評価された重大度、ソフトウェアの遍在性、および確認された悪用により、リスクが高いと評価しました。

2019 年初頭、Google2 つのゼロデイ脆弱性が実際に一緒に使用されていることを報告しました: CVE-2019-5786 (Chrome のゼロデイ脆弱性) と CVE-2019-0808 (Microsoft の権限昇格の脆弱性)。 Google は Chrome の脆弱性に対するパッチを迅速にリリースし、3 月 1 日に Chrome の自動更新機能を通じてユーザーにプッシュしました。エクスプロイト コードをホストする Web サイトに移動したりリンクをたどったりするなど、ユーザーの操作を最小限に抑えて、リモートでコードを実行します。数週間後にリリースされ、その後 Metasploit モジュールに組み込まれた公開ブログ投稿と概念実証のエクスプロイト コードによって、深刻度はさらに悪化しています。

脆弱性分析の未来にはアルゴリズムと人間の知性が必要

脆弱性の量は今後数年間増加し続けると予想され、最も重大な脆弱性を正確に特定し、セキュリティ チームが集中的にパッチ適用に取り組むことができるように十分なニュアンスを提供する評価システムの必要性を強調しています。脆弱性の量が増えるにつれて、悪意のある攻撃者の使用、つまり観察された悪用、および特定の脆弱性の実現可能性と使用の相対的な容易さの評価を組み込むことは、意味のある優先順位付けの決定を行う上でさらに重要な要素になります。

Mandiant Threat Intelligence は、将来の脆弱性分析には、機械 (構造化またはアルゴリズム) と人間による分析を組み合わせて、脆弱性の潜在的な影響とそれが組織にもたらす真の脅威を評価する必要があると考えています。多くのモデルで一般的な構造化されたアルゴリズム手法を使用することで、一貫した透明性のある評価レベルを実現できます。また、人間による分析を追加することで、専門家は定量化が困難な要因を統合し、実際の結果に関する実際の経験に基づいて評価を調整できます。さまざまなタイプの脆弱性によってもたらされるリスク。

自動化された評価の上に重ねられた人間のキュレーションと強化により、速度と精度の両方の長所が提供されます。アラートとパッチ情報を管理しやすい数に絞り込み、Mandiant の脆弱性評価でリスク レベルを明確に伝えることで、ネットワーク ディフェンダーが最も優先度の高い問題に対して最初に迅速かつ自信を持って対処できる強力なツールになると強く信じています。

今すぐ登録して、FireEye Mandiant Threat Intelligence の専門家が、4 月 30 日に開催予定のウェビナーで最新の脆弱性脅威、傾向、および推奨事項について話し合うのを聞いてください。

参照: https://www.mandiant.com/resources/blog/separating-signal-noise-how-mandiant-intelligence-rates-vulnerabilities-intelligence

Comments

タイトルとURLをコピーしました