2016年度Verizonデータ漏えい/侵害調査報告書 (DBIR) が出され、今年の調査結果を発表できることを嬉しく思っています。私達のパートナー企業であるKenna Securityを含むTripwireや他のベンダーからの脆弱性データを活用することができました。
2016年度Verizon DBIRは、「実環境で発生しうる悪用で、攻撃者が対象としている脆弱性修復プロセス」を構築することを推奨しています (DBIR, pg. 16)。つまり、攻撃者が実際に侵入する箇所を発見し、まずはそこを対処するということです。
では、実環境でどのような脆弱性が攻撃対象になっているのでしょうか。
DBIRによると、主要なターゲットは2つあります:
- 古い脆弱性
- 簡単に悪用できる脆弱性
これらが、攻撃者にとって2つの主要なターゲットのようです。
DBIRは次のように説明しています。
「・・・今でも挙げられる攻撃の対象となる201個の古いCVE (共通脆弱性識別子) は、『古い』ということが理由で標的となっています。2番目に、攻撃者は特定の兵器と化した脆弱性を自動化し、インターネット上でそれらを運に任せて乱射し、時に信じられないほどの利益を得ています」(DBIR, pg. 15)。
当然私達と同様、ハッカーも時間とリソースに限りがあります。なので、なるべく作業を簡略化し最大の利益を得ようとします。ソフトウェアアプリケーションの脆弱性を攻撃するために利用する悪意のあるツールなどには、マルウェアを拡散する目的が第一にあり、ハッカーはほとんどコストをかけることなく簡単に、四六時中乱射攻撃することができます。
同様に、しばらく脆弱性を放置すると、ハッカーがどう脆弱性を使って標的を攻撃するのがベストかを理解するのに、自動化されたエクスプロイトキットを作成するのに十分な時間をあたえることになります。つまり、脆弱性の古さ、そしてエクスプロイトが存在するかを考慮することは、どの脆弱性が組織にとって最もリスクが高いか決定するために役立つかもしれません。
では、どうすれば簡単に悪用される古い脆弱性を発見することができるでしょうか。
DBIRは次のことを推奨しています:
「攻撃者が実環境で悪用している既知のエクスプロイトあるいはPOCコードが存在する脆弱性をターゲットに、脆弱性修復のプロセスを構築する」
(DBIR, pg. 16)
一例として、リスクの優先順位付けは方法の1つです。
このサンプルレポートでは、各ボックスの数はそのカテゴリの脆弱性の数を示しています。例えば、右上のボックスは自動化されたエクスプロイトが存在し、リモートからの特権アクセスを与えてしまう56個の脆弱性が見つかっていることを示しています。Tripwire IP360で利用しているTripwire Risk Scoreは、巧妙な攻撃者が利用する可能性がある脆弱性の古さだけでなく、攻撃者に必要とされるスキルレベル (自動化されたエクスプロイトが存在するのか) や攻撃が成功した時に獲得されるアクセスレベル (リスククラス) を含む、いくつかのリスク基準を中心に設計されています。
IP360 Scoring Systemは少数の基本コンセプトを中心に設計:
1)一般的にリモートの脆弱性はローカルの脆弱性よりもクリティカルである
2)古い脆弱性は多くの場合、新しい脆弱性よりもクリティカルである
3)エクスプロイトの存在 (または利用の容易性) は脆弱性の重要性に直接影響を与える
Verizon DBIRも推奨しているように、リスクの優先付けについてより詳しく知ることは、脆弱性の修復プロセス構築の手助けとなります。Tripwire Risk Score Whitepaperをご確認ください。
Title image courtesy of ShutterStock
元の記事はこちらからご覧いただけます。