Vulsまつり#10 | 「残業？来週でOK?」金曜午後の脆弱性対応判断に使えるSSVCのデモ

「残業？来週で OK?」金曜午後の脆弱性対応判断に使える SSVCのデモ vuls.biz Copyright © 2024 by Future Corporation -1-

自己紹介 vuls.biz 神戸康多（かんべこうた） フューチャー株式会社 OSS脆弱性スキャナ「Vuls」作者 脆弱性管理クラウド「FutureVuls」の運営 実績 ■ ■ ■ ■ Vuls普及のために３０回以上登壇 BlackHat Asia Arsenal, HITCONなど海外カンファレンス講演 情報処理学会ソフトウェアジャパン2020 アワード Google OSS Peer Bonus Winners of 2022 Copyright © 2024 by Future Corporation -2-

vuls.biz Copyright © 2024 by Future Corporation -3-

Xで見たけた誰かの心の声（抜粋） vuls.biz セキュリティ脆弱性に対するサイバー犯罪については、もう心情的に白旗を上げてしまってます。 技術的には対策が打てたとしても、運用が追いつかない … 一部上場企業グループの情報システム部とかになると、大きなシステムが数十以上、サーバー(VM)も数百以上、基 幹ネットワーク機器も3桁以上、余裕であるわけですよ。 そして、あらゆる方面から「緊急」「重大」とかラベル付いてるクリティカルな脆弱性情報が飛んでくる わけですよ。 金曜日の夕方にそんな情報が展開されても「は？」なんですよ。 緊急でパッチ当てろとか言われても無理なんです よ。土日だってシステム動いてるから気軽に止められないんですよ。 そもそも、どの機器が対象かを洗い出すのに骨が折れるし 、サービス停止や再起動が必要なのかどうか分からん のですよパッチのせいでシステムが動かなくなる なんてことも余裕であるんですよ。なので、どこまでテストやる？と か悩ましいんですよ 金曜日の午後に、重大なセキュリティ脆弱性の報告受けて、そこから管理職集めて対策会議とかも厳しいんですよ。 そりゃ、ゴジラが攻めてくるみたいな時は対策会議やるんだけどさ。かなりの頻度で重大なセキュリティ脆弱性の アナウンスされる んすよ。 Copyright © 2024 by Future Corporation -4-

Xで見たけた誰かの心の声（抜粋） vuls.biz セキュリティ脆弱性に対するサイバー犯罪については、もう心情的に白旗を上げてしまってます。 技術的には対策が打てたとしても、運用が追いつかない… 一部上場企業グループの情報システム部とかになると、大きなシステムが数十以上、サーバー(VM)も数百以上、基 管理する資産が多すぎる 幹ネットワーク機器も3桁以上、余裕であるわけですよ。 そして、あらゆる方面から「緊急」「重大」とかラベル付いてるクリティカルな脆弱性情報が飛んでくるわけですよ。金曜 「緊急」「重大」という脆弱性が多すぎる （金曜日の午後） 日の夕方にそんな情報が展開されても「は？」なんですよ。緊急でパッチ当てろとか言われても無理なんですよ。土日 だってシステム動いてるから気軽に止められないんですよ。 そもそも、どの機器が対象かを洗い出すのに骨が折れるし、サービス停止や再起動が必要なのかどうか分からんの ですよパッチのせいでシステムが動かなくなるなんてことも余裕であるんですよ。なので、どこまでテストやる？とか悩 影響調査・対応が大変すぎる。気軽にパッチ当てられない ましいんですよ 金曜日の午後に、重大なセキュリティ脆弱性の報告受けて、そこから管理職集めて対策会議とかも厳しいんですよ。 そりゃ、ゴジラが攻めてくるみたいな時は対策会議やるんだけどさ。そういうレベルではない頻度で、Micorosoftがカ 本当に「緊急・重大」なのかのリスク判断が難しすぎる 発表内容 ジュアル重大なセキュリティ脆弱性のアナウンスしてくるんよ。 Copyright © 2024 by Future Corporation -5-

公開される脆弱性は年々増加 vuls.biz 2024年は年間4万件を超えそうな勢い（前年比 +40%up） Copyright © 2024 by Future Corporation -6-

攻撃経路と組織の対応力 vuls.biz 攻撃者が最初に使用する攻撃経路の32%は既知の脆弱性の悪用であるが、米国の平均的な組織は 脆弱性の10%しかパッチを当てられない。 <攻撃者が最初に使用する攻撃経路> <月ごとのOpen/Closeできた脆弱性数の分布（100組織を調査）> 場合 た き 応で e) 対 os 数に n=Cl 性 e p 脆弱 (O ての 数 すべ 性 弱 た脆 き で 応 に対 実 出所：Mandiant M-Trends 2023 By The Numbers Infographic 際 出所：Cyentia Institute The Hidden Complexity of Vulnerability Remediation: Bridging the Gap between Data and Common Advice Copyright © 2024 by Future Corporation -7-

vuls.biz Copyright © 2024 by Future Corporation -8-

2024年時点の脆弱性管理の課題 vuls.biz 「情報収集」と「影響調査」は「Vuls」「Trivy」等のツールにより検知が自動化された。 検知後の「リスク評価と対応優先順位付け」が現在の課題。 情報収集 • 年間2万件以上のCVEが新規公開 • NVDやJVN、SNSを定期的にウォッチ • 深刻な脆弱性は全社メールで周知 影響調査 • 資産と構成要素の把握 • 脆弱性情報と比較し影響調査 ツール で自動化 進化 判断 • リスク評価 • 対応優先順位付け 判断 対応 • テストしパッチ適用などで対応 • 対応状況を管理 対応 課題 対応の優先順位付けは難易度が高く人的工数がかかる Copyright © 2024 by Future Corporation -9-

基本：CVSSスコアとは vuls.biz CVSS基本値は脆弱性の深刻度を「0-10」で計算した値である。 例）Log4Shell(CVE-2021-44228)のスコアは最大の「10」 Copyright © 2024 by Future Corporation - 10 -

• https://nvd.nist.gov/vuln/detail/CVE-2021-44228

CVSSスコアでの絞り込みについて vuls.biz スコアの半数が「HIGH」。詳細情報でフィルタしても対応可能な数まで絞り込みできない。 <CVSSスコアごとの件数> ネットワークから権限なしで攻撃可能でフィルタ 約1.4万件 半分以上がHIGH ※NVDのうちCVSS v3.0のスコアがついている138,873件の脆弱性を集計 課 題 半分以上が重要度「 HIGH」 課 題 詳細情報でさらにフィルタしても限界がある Copyright © 2024 by Future Corporation - 11 -

CVSSスコアと武器化の関係 vuls.biz スコアが低いものにも攻撃コードがあり安全とは言えない。 出所: The Risk Remediation Taxonomy and Decision Tree are part of a conference presentation by Yahoo Chris Madden: https://www.bsidesdub.ie/ May 27 2023. Copyright © 2024 by Future Corporation - 12 -

実際に攻撃に使われる脆弱性とは vuls.biz 実際に攻撃に使われている脆弱性は 2-4%未満程度 でありリスクが高い。最優先に対応する必要がある。 CVSSスコアでは攻撃に使われる脆弱性を予測したり判断はできない。 ＜攻撃に利用される脆弱性＞ ＜BOD 22-01: 既知の脆弱性の重大なリスクの軽減＞ 2.24% 約4,615件 公開されている CVE の総数のうち 4% 未満しか悪用されていません。 出所: Qualys Part 1: An In-Depth Look at the Latest Vulnerability Threat Landscape 課 題 ではリスクが高いをどうやって判断する？ Copyright © 2024 by Future Corporation - 13 -

リスクとは vuls.biz リスクの3要素は「脆弱性」「脅威」「影響」である。 脆弱性 脅威 影響 Copyright © 2024 by Future Corporation - 14 -

脅威の判断に使える情報 vuls.biz ここ数年で「脅威」として使える情報が公的機関から無料で公開されている。 脆弱性 脅威 影響 Copyright © 2024 by Future Corporation - 15 -

無料で使える脅威情報 データソース CISA KEV Vulncheck KEV EPSS 正確さ vuls.biz 概要 CISAが公開している、 実際に悪用が確認された脆弱性 を掲載したカタログ Vulncheck社が公開しているKEVカタログ。（2024/5公開開始） FIRSTが公開している、 今後 30 日以内に脆弱性が悪用される確率 を計算した値 Vul CI KEV CISA (1150 CVE) Vulncheck KEV (2827 CVE) EPSS 早さ Copyright © 2024 by Future Corporation - 16 -

• https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• https://vulncheck.com/kev
• https://www.first.org/epss/

KEVとEPSSの関連 vuls.biz CISA-KEV掲載日の直近30日間でEPSSスコアは増加。KEV掲載前の脅威の高まりを事前に把握する ためにEPSSは有用である。 出所：Why Can't We All Just Get Along? Bridging the Gap in Vulnerability Prioritization Standards / VulnCon2024 Copyright © 2024 by Future Corporation - 17 -

リスクを考慮した脆弱性管理とは vuls.biz リスクの3要素は「脆弱性」「脅威」「影響」である。重大な脆弱性、かつ実際に悪用されている、かつビ ジネスに影響の大きいものから優先的に対応していくのが理想。 脆弱性 脅威 影響 Copyright © 2024 by Future Corporation - 18 -

SSVC - Stakeholder-Specific Vulnerability Categorization vuls.biz SSVCとは『リスク = 脆弱性 x 脅威 x 影響』 に相当する情報を元に決定木を用いて脆弱性の対応優 先度を４段階に決定できるフレームワークである。 ＜Depoyerツリー（運用者向け）＞ Depoyerツリー（運用者向け） ＜DeployerTree (システム運用者向け)＞ SSVC Stakeholder-Specific Vulnerability Categorization 背景 カーネギーメロン大学が提案 CISAがトリアージ手法として推奨 脅威 概要 用途毎の決定木が用意されている - CERT向け「coordinator tree」 - 運用者向け「deployer tree」 - PSIRT向け「supplier tree」 - SSVCのドキュメント - 決定木のデモサイト - GitHub>CERTCC/SSVC - 仕様をオープンに議論している 脆弱性 影響 Copyright © 2024 by Future Corporation - 19 -

• https://certcc.github.io/SSVC/
• https://certcc.github.io/SSVC/ssvc-calc/
• https://github.com/CERTCC/SSVC/discussions

SSVC Deployer Treeの詳細 vuls.biz リスクの3要素をカバーしており、リスクを総合的に判断可能。 Decision Point リスク要素 脅威 poc未公開 Exploit-DBやMetasploit等にpocが公開されている KEV, Vulnrichment , EPSS, ベンダ情報 small controlled open インターネットから隔離された環境 インターネット非公開の社内システムなど インターネットから到達できる 脆弱性 no yes キルチェーンの1-4が自動化可能かどうか（RCEは yes)。Vulnrichment にも情報あり。 影響 low medium high very high ビジネス活動に特に影響低 影響は限定的な場合 ある一つ・少数の基幹業務に影響あり 会社全体のビジネス活動に影響あり Exposure Humam Impact 判断基準・情報ソース no poc active Exploitation Automatable 値 Copyright © 2024 by Future Corporation - 20 -

• https://certcc.github.io/SSVC/reference/decision_points/exploitation/
• https://www.exploit-db.com/
• https://github.com/rapid7/metasploit-framework
• https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• https://github.com/cisagov/vulnrichment
• https://www.first.org/epss/data_stats
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-36563
• https://certcc.github.io/SSVC/reference/decision_points/system_exposure/
• https://certcc.github.io/SSVC/reference/decision_points/automatable/
• https://certcc.github.io/SSVC/reference/decision_points/human_impact/

デモ vuls.biz SSVCの決定木のデモサイト上で人気の脆弱性の優先順位付けを試してみましょう。 https://certcc.github.io/SSVC/ssvc-calc/ CVE 資産 製品 EPSS(%) サーバ OpenSSH 4.5 CVE-2023-27997 NW機器 Fortigate 13.47 CISA-KEV: 掲載されているのでExploitationはActive Automatable: - yesだろう（AV:N, AC:L, PR:N) - IP, Portでチェックできるtool CVE-2021-44228 (Log4Shell) ライブラリ Log4j 97.56 CISA-KEV: 掲載されているのでExploitationはActive Automatable: yes CVE-2024-6387 (regreSSHion) 判断基準・情報ソース Vulnrichment: Exploitation: poc, Automatable: no Copyright © 2024 by Future Corporation - 21 -

• https://certcc.github.io/SSVC/ssvc-calc/
• https://nvd.nist.gov/vuln/detail/CVE-2024-6387
• https://www.cvedetails.com/cve/CVE-2024-6387/
• https://github.com/cisagov/vulnrichment/blob/6de78ce73bbb0a6b9b033ac95a0fa38353fc61ef/2024/6xxx/CVE-2024-6387.json#L16
• https://nvd.nist.gov/vuln/detail/CVE-2023-27997
• https://www.cvedetails.com/cve/CVE-2023-27997
• https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=CVE-2023-27997&amp;field_date_added_wrapper=all&amp;sort_by=field_date_added&amp;items_per_page=20&amp;url=
• https://github.com/BishopFox/CVE-2023-27997-check
• https://nvd.nist.gov/vuln/detail/CVE-2021-44228
• https://www.cvedetails.com/cve/CVE-2021-44228
• https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=CVE-2021-44228

脅威レベルに応じた優先度判断 vuls.biz どんなに重大な脆弱性でも攻撃の事例がない場合は対応優先度は下がる。 PoCが無い場合は基本「次回の定期メ ンテナンス時」でOK PoCが公開されているが攻撃の事例な しの場合は、一部重要システムのみ「な る早対応」 攻撃がActiveな場合は 「即時対応」「なる早対応」 Copyright © 2024 by Future Corporation - 22 -

インターネット露出度、ビジネス影響を考慮した優先度判断 vuls.biz 攻撃がActiveな場合はでも、「インターネット露出度」「対象システムのビジネスへの影響度」などを考 慮し「即時対応」「なる早対応」を判断できる。 インターネットサービスの場合の決定木 攻撃がActive 社内システムの場合の決定木 攻撃がActive なる早対応でOK 即時対応が必要 インターネットに 公開 社内システム Copyright © 2024 by Future Corporation - 23 -

SSVC Deployer Treeで実際に優先順位付けの実験 vuls.biz ５つの環境を想定して、「4,716件」の脆弱性をSSVCで優先順位付けした。 immediate と out-of-cycle を見ると、現実的に対応できる数に絞り込めている。 immediate out-of-cycle immediate/out-of -cycleの割合 インターネット公開の「超」重要システム 16 2100 44.8% 2600 0 インターネット公開の重要システム 16 50 1.4% 4650 0 社内NWの基幹システム（販売管理など） 0 16 0.33% 4700 0 業務影響が小さい社内システム (勤怠管理など ) 0 0 0% 4716 0 閉域網の「超」重要な基幹系システム 0 16 0.33% 4700 0 scheduled defer 同じ脆弱性でも「インターネット露出度」「業務影響」に応じて異なる優先度に分類される Copyright © 2024 by Future Corporation - 24 -

公開データによりSSVC利用の敷居は下がった vuls.biz 判断に使える公開データが揃ってきており、金曜日午後の重大な脆弱性の優先度判断にはすぐに使 える状況。ただし脅威の変化等、継続的な管理は人手では難しいので自動化が必須。 SSVC セキュリティ担当 運用者 最近の判断方法 Exploitation わかる 判断しにくい Vulnrichment/KEV/EPSS Exposure 判断しにくい わかる AWSならInspectorで 判断可能 わかる 判断しにくい Vulnrichment 判断しにくい わかる FutureVulsBL OG Automatable Impact ツールやSaaSサービスを使って脆弱性管理を自動化しましょう Copyright © 2024 by Future Corporation - 25 -

• https://vuls.biz/blog/articles/20240607a/
• https://vuls.biz/blog/articles/20240409a/

まとめ vuls.biz CVSSスコアのみだと運用回りません リスクを反映したスコアではありません SSVCでリスク判断をしてみましょう 判断に使えるデータソースが公開されはじめたので敷居は下がっている。 参考情報 IPA 中核人材育成プログラム「脆弱性対応におけるリスク評価手法のまとめ」 ISOGJ「脆弱性トリアージガイドライン」（今後に期待） Copyright © 2024 by Future Corporation - 26 -

• https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/risk-assessment-methods.html
• https://isog-j.org/output/2024/TriageGuidelines.html