[レポート][株式会社アシュアード]yamoryによる脆弱性管理の最新動向 CISA KEVとマリシャスパッケージ対策 – CODE BLUE 2022 #codeblue_jp

CODE BLUE 2022 のセッション「[株式会社アシュアード]yamoryによる脆弱性管理の最新動向 - CISA KEVとマリシャスパッケージ対策 -」のレポートです。
2022.10.28

CODE BLUE 2022 で行われた下記セッションのレポートです。

セッション概要

タイトル

[株式会社アシュアード]yamoryによる脆弱性管理の最新動向 - CISA KEVとマリシャスパッケージ対策 -

概要

年々脆弱性の数は増加し、昨年末にはLog4Shellと呼ばれる世界中を揺るがした脆弱性も公開され、脆弱性管理の必要性が高まってきています。
また、マリシャスパッケージによる脅威も新たに生まれ、ソフトウェアサプライチェーンのセキュリティ強化がより求められています。
本発表では、最新の脆弱性管理の動向として、実際の悪用が観測された脆弱性カタログ CISA Known Exploited Vulnerabilities (KEV) Catalog、脆弱性管理フレームワーク Stakeholder-Specific Vulnerability Categorization (SSVC) とマリシャスパッケージについて紹介します。
加えて、これからの脆弱性管理に必要なことについて紹介します。

Presented by

芳澤 正敏 (株式会社アシュアード yamory事業部 シニアセキュリティアナリスト)

レポート

  • yamori とは
    • 脆弱性管理のクラウドサービス
    • 脆弱性対策とオープンソースのライセンス違反を一元管理できる
    • 国内初のクラウドサービス
    • 「ワンストップ」で各事業部を横断的に可視化・管理できる
    • 脆弱性データベースを独自に作成している
    • SNS やブログからも情報収集している
      • 内容はアナリストが分析してデータベースに保存している
    • オートトリアージ機能
      • 対象システムの条件に応じてトリアージしてくれる
      • 例えば、ネットワーク到達性、攻撃コード流通の有無など
    • 今後のサービス展開
      • 診断ビジネスを始めた
      • CSPM 機能も提供予定
  • 近年話題となった脆弱性の紹介
    • Log4j
    • Dependency Confusion
  • 脆弱性管理の課題
    • 対応すべき脆弱性の増加と悪用までの時間の減少
    • 次世代のソフトウェアサプライチェーン攻撃への対応
  • 脆弱性管理の動向
    • CISA KEV Catalog
    • SSVC (Stakeholder-Specific Vulnerability Categorization)
    • マリシャスパッケージ
  • CISA KEV Catalog
    • CISA が 2021/11 に提供開始した実際に悪用が観測された脆弱性のカタログ
    • 掲載条件
      • CVE ID が割り当てられている脆弱性
      • 実際に悪用されている脆弱性
      • 明確な是正ガイダンスが提供されている脆弱性
    • 公開背景
      • 悪用されるまでの平均時間が年々短縮されており、High/Medium/Low のものでも悪用されることがある
      • 実際に悪用される脆弱性は全体の 4% 以下
    • 悪用の証拠から 24 時間以内に掲載される
    • これまでは悪用されたかどうかはニュースや SNS であったが、CISA KEV Catalog は信頼性のある公開
  • SSVC
    • 脆弱性管理における意思決定のための優先順位付けシステム
    • 出力結果はスコアではなく、対応方針
      • 決定木により対応方針を決定する
    • CVSS の優先度付け問題への対応
    • 判断するためには悪用状況などの正しい情報収集が必要
      • GitHub などで PoC があるかどうか検索
      • ニュースサイト、Twitter、ベンダ情報
      • など
    • PoC 調査は難しい
      • 教育用の PoC や偽物の PoC かどうかの判断が必要
    • SSVC の課題
      • 優先順位付けの負担増加
      • 判断に必要な情報の増加
  • マリシャスパッケージ
    • 悪意のあるパッケージをパブリックレジストリに公開してインストールさせる手法
    • 悪用方法
      • Dependency Confusion(依存関係かく乱)
      • タイポスクワッティング
        • 有名なパッケージとよく似た名称のパッケージとして公開
      • 悪意のあるコード挿入
        • 攻撃者がメンテナを引き継いで改ざんを行う例があった
    • 課題
      • 目視での確認が困難
      • 依存関係の複雑さ
      • 情報収集・共有の難しさ(CVE ID などの共通 ID がない)
  • これからの脆弱性管理
    • CVSS ベースからリスクベースによる優先順位付け
      • CISA KEV Catalog、PoC 情報など脅威情報を使った管理
      • 内外の最新情報の収集・検討ができる仕組みづくり(自動化)が必要
    • マリシャスパッケージへの対応
      • SBOM
      • 自動化されたソリューションの導入
  • Yamori での脆弱性管理
    • CISA KEV Catalog を取り込み予定
    • リスクベースの優先順位付け(オートトリアージ機能、独自の脆弱性データベース)
    • 脆弱性情報源を拡充し、マリシャスパッケージを検知
    • 脆弱性診断提供開始 + CSPM 提供予定

さいごに

最近の脆弱性管理の動向を知ることができ、勉強になるセッションでした。