CISA ステークホルダー別脆弱性分類 (SSVC) ガイド
こんにちは、丸山満彦です。
CISAがステークホルダー別脆弱性分類 (Stakeholder-Specific Vulnerability Categorization: SSVC) ガイドを公表していますね。。。
| STAKEHOLDER-SPECIFIC VULNERABILITY CATEGORIZATION | ステークホルダー別脆弱性分類 |
| Carnegie Mellon University's Software Engineering Institute (SEI), in collaboration with CISA, created the Stakeholder-Specific Vulnerability Categorization (SSVC) system in 2019 to provide the cyber community a vulnerability analysis methodology that accounts for a vulnerability's exploitation status, impacts to safety, and prevalence of the affected product in a singular system. CISA worked with SEI in 2020 to develop its own customized SSVC decision tree to examine vulnerabilities relevant to the United States government (USG), as well as state, local, tribal, and territorial (SLTT) governments, and critical infrastructure entities. Implementing SSVC has allowed CISA to better prioritize its vulnerability response and vulnerability messaging to the public. | カーネギーメロン大学のソフトウェア工学研究所(SEI)は、CISAと共同で、脆弱性の悪用状況、安全性への影響、単一システムにおける影響製品の普及率を考慮した脆弱性分析手法をサイバーコミュニティに提供するために、2019年に「ステークホルダー固有の脆弱性分類(SSVC)」システムを作成した。CISAは2020年にSEIと協力して、米国政府(USG)、州・地方・部族・準州(SLTT)政府、重要インフラ事業体に関連する脆弱性を調査するために、独自にカスタマイズしたSSVC決定木を開発した。SSVCの導入により、CISAは、脆弱性対応と一般市民への脆弱性メッセージの優先順位をより適切に設定できるようになった。 |
| How CISA Uses SSVC | CISAはどのようにしてSSVCを使うのか? |
| CISA uses its own SSVC decision tree model to prioritize relevant vulnerabilities into four possible decisions: | CISAは、独自のSSVC決定木モデルを使用して、関連する脆弱性を4つの可能な判断に優先順位付けしている。 |
| ・Track: The vulnerability does not require action at this time. The organization would continue to track the vulnerability and reassess it if new information becomes available. CISA recommends remediating Track vulnerabilities within standard update timelines. | ・追跡:この脆弱性は、現時点では対処する必要がない。組織は、脆弱性の追跡を継続し、新しい情報が入手できた場合に再評価を行いる。CISAでは、「追跡」の脆弱性を標準的な更新スケジュールで修正することを推奨している。 |
| ・Track*: The vulnerability contains specific characteristics that may require closer monitoring for changes. CISA recommends remediating Track* vulnerabilities within standard update timelines. | ・追跡*:この脆弱性には特定の特性があり、その変化についてより綿密な監視が必要な場合がある。CISAでは、「追跡*」の脆弱性を標準的な更新スケジュールで修正することを推奨している。 |
| ・Attend: The vulnerability requires attention from the organization's internal, supervisory-level individuals. Necessary actions include requesting assistance or information about the vulnerability, and may involve publishing a notification either internally and/or externally. CISA recommends remediating Attend vulnerabilities sooner than standard update timelines. | ・注意:この脆弱性は、組織内部の監督者レベルの個人による注意を必要とする。必要なアクションには、支援や脆弱性に関する情報の要求が含まれ、内部および/または外部への通知の公表を伴う場合がある。CISAでは、標準的な更新スケジュールよりも早く「注意」の脆弱性を修正することを推奨している。 |
| ・Act: The vulnerability requires attention from the organization's internal, supervisory-level and leadership-level individuals. Necessary actions include requesting assistance or information about the vulnerability, as well as publishing a notification either internally and/or externally. Typically, internal groups would meet to determine the overall response and then execute agreed upon actions. CISA recommends remediating Act vulnerabilities as soon as possible. | ・対処:この脆弱性は、組織内部の監督者レベル、および指導者レベルの個人による注意を必要とする。必要なアクションには、脆弱性に関する支援や情報の要求、社内外への通知の公表などがある。通常、社内のグループは、全体的な対応策を決定するために会議を開き、合意した対応策を実行することになります。CISAは、「対処」の脆弱性をできるだけ早く是正することを推奨している。 |
| The CISA SSVC tree determines the decisions of Track, Track*, Attend, and Act based on five values: | CISAのSSVC決定木は、5つの値に基づいて、追跡、追跡*、注意、対処を決定する。 |
| ・Exploitation status | ・悪用状況 |
| ・Technical impact | ・技術的影響 |
| ・Automatable | ・自動化可能性 |
| ・Mission prevalence | ・任務の普及性 |
| ・Public well-being impact | ・公共福祉への影響 |
| To learn more, see the CISA SSVC Guide (pdf, 948 kb). | 詳細については、CISA SSVC Guide (pdf, 948 kb)を参照のこと。 |
| CISA's SSVC Calculator | CISAのSSVC計算機 |
| The CISA SSVC Calculator allows users to input decision values and navigate through the CISA SSVC tree model to the final overall decision for a vulnerability affecting their organization. The SSVC Calculator allows users to export the data as .PDF or JSON. | CISAのSSVC計算機を使用すると、ユーザーは意思決定値を入力し、CISAのSSVC決定木モデルを通じて、自分の組織に影響を与える脆弱性の最終的な総合意思決定に至るまでナビゲートすることができる。SSVC 計算機では、ユーザーはデータを.PDFまたはJSONとしてエクスポートすることができる。 |
| Additional SSVC Decision Tree Models | 追加のSSVC決定木モデル |
| Organizations whose mission spaces need to evaluate the effect of vulnerabilities in at least one external organization may find the CISA SSVC decision tree model helpful. The CISA SSVC decision tree model closely resembles the standard SSVC “Coordinator” tree. For organizations whose mission spaces do not align with CISA’s decision tree, the SEI whitepaper Prioritizing Vulnerability Response: A Stakeholder-Specific Vulnerability Categorization (Version 2.0) details other decision tree models that may better align to their mission space. | ミッション・スペースが少なくとも1つの外部組織の脆弱性の影響を評価する必要がある組織は、CISAのSSVC決定木モデルが役に立つかもしれません。CISA SSVC決定木モデルは、標準的なSSVCの「コーディネータ」木に酷似している。ミッション空間がCISAの決定木と一致しない組織については、SEIホワイトペーパー「Prioritizing Vulnerability Response: A Stakeholder-Specific Vulnerability Categorization (Version 2.0) は、組織のミッション空間に適した他の決定木モデルを詳細に説明している。 |
・2022.11 [PDF] CISA Stakeholder-Specific Vulnerability Categorization Guide
目次...
| Overview | 概要 |
| The Vulnerability Scoring Decision | 脆弱性スコアリングの決定 |
| Relevant Decision Points | 関連する判断ポイント |
| (State of) Exploitation | 悪用状況 |
| Technical Impact | 技術的影響 |
| Automatable | 自動化可能性 |
| Automating Reconnaissance and Vulnerability Chaining | 偵察と脆弱性の連鎖の自動化 |
| Mission Prevalence | 任務の普及性 |
| Public Well-Being Impact | 公衆衛生への影響 |
| Mitigation Status | 緩和状況 |
| Decision Tree | 意思決定木 |
| Exploitation status | 悪用状況 |
| Evidence of Active Exploitation of a Vulnerability | 脆弱性を積極的に悪用した証拠 |
| ・None | ・なし |
| ・Public PoC | ・公開PoC |
| ・Active | ・アクティブ |
| Technical impact | 技術的影響 |
| Technical Impact of Exploiting the Vulnerability | 脆弱性を悪用した場合の技術的影響 |
| ・Partial | ・部分的 |
| ・Total | ・全体 |
| Automatable | 自動化可能性 |
| ・No | ・No |
| ・Yes | ・Yes |
| Mission prevalence | 任務の普及性 |
| Impact on Mission Essential Functions of Relevant Entities | 関連事業体のミッション・エッセンシャル機能への影響 |
| ・Minimal | ・ミニマム |
| ・Support | ・サポート |
| ・Essential | ・必須 |
| Public well-being impact | 公共福祉への影響 |
| Impacts of Affected System Compromise on Humans | 被災したシステムの危殆化による人体への影響 |
| ・Minimal | ・ミニマム |
| ・Material | ・重要 |
| ・Irreverslble | ・不可逆的 |
ブログ...
・2022.11.10 TRANSFORMING THE VULNERABILITY MANAGEMENT LANDSCAPE
| TRANSFORMING THE VULNERABILITY MANAGEMENT LANDSCAPE | 脆弱性管理状況を変革する |
| By Eric Goldstein, Executive Assistant Director for Cybersecurity | エリック・ゴールドスタイン(サイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクター)著 |
| In the current risk environment, organizations of all sizes are challenged to manage the number and complexity of new vulnerabilities. Organizations with mature vulnerability management programs seek more efficient ways to triage and prioritize efforts. Smaller organizations struggle with understanding where to start and how to allocate limited resources. Fortunately, there is a path toward more efficient, automated, prioritized vulnerability management. Working with our partners across government and the private sector, we are excited to outline three critical steps to advance the vulnerability management ecosystem: | 現在のリスク環境では、あらゆる規模の組織が、新たな脆弱性の数と複雑さを管理するという課題を抱えている。成熟した脆弱性管理プログラムを持つ組織は、取り組みの優先順位付けとトリアージに、より効率的な方法を求めている。一方、小規模な組織は、どこから手をつければよいのか、限られたリソースをどのように配分すればよいのかを理解するのに苦労している。幸いなことに、より効率的で自動化され、優先順位が付けられた脆弱性管理への道は開かれている。私たちは、政府機関や民間企業のパートナーとともに、脆弱性管理のエコシステムを前進させるための3つの重要なステップの概要を説明することができる。 |
| ・First, we must introduce greater automation into vulnerability management, including by expanding use of the Common Security Advisory Framework (CSAF) | ・第一に、共通セキュリティ・アドバイザリー・フレームワーク (CSAF) の利用を拡大するなどして、脆弱性管理にさらなる自動化を導入する必要がある。 |
| ・Second, we must make it easier for organizations to understand whether a given product is impacted by a vulnerability through widespread adoption of Vulnerability Exploitability eXchange (VEX) | ・第二に、VEX(Vulnerability Exploitability eXchange)の普及により、ある製品が脆弱性の影響を受けているかどうかを、組織がより簡単に理解できるようにする必要がある。 |
| ・Third, we must help organizations more effectively prioritize vulnerability management resources through use of Stakeholder Specific Vulnerability Categorization (SSVC), including prioritizing vulnerabilities on CISA’s Known Exploited Vulnerabilities (KEV) catalog | ・第三に、CISAのKEV(Known Exploited Vulnerabilities)カタログにおける脆弱性の優先順位付けなど、ステークホルダー別脆弱性分類 (SSVC) を使用して、組織が脆弱性管理リソースの優先順位をより効果的に決定できるようにする必要がある。 |
| With these advances, described further below, we will make necessary progress in vulnerability management and reduce the window that our adversaries have to exploit American networks. | 以下に説明するこれらの進歩により、私たちは脆弱性管理において必要な進歩を遂げ、敵対者が米国のネットワークを悪用するための窓を減らすことができるだろう。 |
| 1. Achieving Automation: Publish machine-readable security advisories based on the Common Security Advisory Framework (CSAF). | 1. 自動化の実現:共通セキュリティ・アドバイザリー・フレームワーク (CSAF) に基づいて、機械可読のセキュリティ勧告を発行する。 |
| When a new vulnerability is identified, software vendors jump into action: understanding impacts to products, identifying remediations, and communicating to end users. But as we know, the clock is ticking: adversaries are often turning vulnerabilities to exploits within hours of initial public reports. | 新しい脆弱性が特定されると、ソフトウェア・ベンダーは、製品への影響の把握、対処法の特定、エンドユーザーへの情報提供などの活動に飛びつく。しかし、ご存知のように、時間は刻々と過ぎていく。敵は、脆弱性を最初に公表してから数時間以内にエクスプロイト(悪用)に変えてしまうことがよくある。 |
| Software vendors work constantly to understand if their products are impacted by a new vulnerability. To meet this timeframe, our community needs a standardized approach for vendors to disclose security vulnerabilities to end users in an accelerated and automated way. | ソフトウェアベンダーは、自社製品が新しい脆弱性の影響を受けているかどうかを把握するために常に努力している。この時間枠を満たすために、私たちのコミュニティは、ベンダーがエンドユーザーに対してセキュリティ脆弱性を迅速かつ自動的に開示するための標準的なアプローチを必要としている。 |
| The CSAF, developed by the OASIS CSAF Technical Committee, is a standard for machine-readable security advisories. CSAF provides a standardized format for ingesting vulnerability advisory information and simplify triage and remediation processes for asset owners. By publishing security advisories using CSAF, vendors will dramatically reduce the time required for enterprises to understand organizational impact and drive timely remediation. | OASIS CSAF 技術委員会が開発した CSAF は、機械可読なセキュリティアドバイザリの標準である。CSAF は、脆弱性アドバイザリ情報を取り込むための標準化されたフォーマットを提供し、資産所有者のトリアージと修復プロセスを簡素化する。 CSAF を使用してセキュリティアドバイザリを公開することで、ベンダーは、企業が組織の影響を理解し、タイムリーに修正を行うために必要な時間を大幅に短縮することができる。 |
| 2. Clarifying Impact: Use Vulnerability Exploitability eXchange (VEX) to communicate whether a product is affected by a vulnerability and enable prioritized vulnerability response | 2. 影響の明確化:VEXを使用して、製品が脆弱性の影響を受けるかどうかを伝え、優先的に脆弱性に対応できるようにする。 |
| VEX allows a vendor to assert whether specific vulnerabilities affect a product; a VEX advisory can also indicate that a product is not affected by a vulnerability. Not all vulnerabilities are exploitable and put an organization at risk. To help reduce effort spent by users investigating vulnerabilities, vendors can issue a VEX advisory that states whether a product is or is not affected by a specific vulnerability in a machine readable, automated way. VEX is implemented as a profile in CSAF and is one of its more popular use cases, aligning with the existing work supporting machine-readable advisories. | VEXにより、ベンダーは、特定の脆弱性が製品に影響を及ぼすかどうかを表明できる。VEXアドバイザリでは、製品が脆弱性の影響を受けないことを示すこともできる。すべての脆弱性が悪用され、組織を危険にさらすとは限らない。ユーザーが脆弱性を調査する労力を軽減するために、ベンダーは、製品が特定の脆弱性の影響を受けるかどうかを、機械的に読み取り可能な自動化された方法で表明するVEXアドバイザリを発行することができる。VEXは、CSAFのプロファイルとして実装されており、より一般的なユースケースの1つで、機械可読アドバイザリをサポートする既存の作業と連携している。 |
| The ultimate goal of VEX is to support greater automation across the vulnerability ecosystem, including disclosure, vulnerability tracking, and remediation. VEX data can also support more effective use of software bill of materials (SBOM) data. An SBOM is a machine-readable, comprehensive inventory of software components and dependencies. Machine-readable VEX documents support linking to an SBOM and specific SBOM components. While SBOM gives an organization information on where they are potentially at risk, a VEX document helps an organization find out where they are actually affected by known vulnerabilities, and if actions need to be taken to remediate based on exploitation status. | VEX の最終的な目標は、情報開示、脆弱性追跡、修正など、脆弱性エコシステム全体の自動化を促進することである。VEXデータは、ソフトウェア部品表(SBOM)データのより効果的な利用もサポートすることができる。SBOMは、ソフトウェアコンポーネントと依存関係の機械読み取り可能な包括的インベントリである。機械読み取り可能なVEX文書は、SBOMおよび特定のSBOMコンポーネントへのリンクをサポートする。SBOMは、組織が潜在的なリスクを抱えている場所に関する情報を提供するが、VEX文書は、組織が既知の脆弱性の影響を実際に受けている場所と、悪用状況に基づいて是正するために行動を起こす必要があるかどうかを確認するのに役立つ。 |
| 3. Prioritized Based on Organizational Attributes: Use vulnerability management frameworks, such as Stakeholder-Specific Vulnerability Categorization (SSVC), which utilize exploitation status and other vulnerability data to help prioritize remediation efforts. | 3. 組織属性に基づく優先順位付け:ステークホルダー別脆弱性分類 (SSVC) などの脆弱性管理のフレームワークを使用し、悪用状況やその他の脆弱性データを活用して、是正措置の優先順位付けを支援する。 |
| Last year, CISA issued Binding Operational Directive (BOD) 22-01, which directs federal civilian agencies to remediate KEVs and encourages all organizations to implement the KEV catalog into their vulnerability management framework. The first publication of KEV vulnerabilities derived from CISA's use of SSVC which occurred on November 3, 2021. | 昨年、CISA は拘束的運用指令(BOD)22-01 を発行し、連邦政府文民機関に KEV の是正を指示するとともに、すべての組織に KEV カタログを脆弱性管理の枠組みに導入するよう奨励しました。2021年11月3日に発生したCISAのSSVCの利用に由来するKEV脆弱性の最初の公表は、このようなものであった。 |
| CISA encourages every organization to use a vulnerability management framework that considers a vulnerability’s exploitation status, such as SSVC. | CISAは、すべての組織がSSVCのような脆弱性の悪用状況を考慮した脆弱性管理のフレームワークを使用することを推奨している。 |
| To assist organizations with using SSVC, today, CISA released: | SSVCを利用する組織を支援するため、本日、CISAは以下を公開しました。 |
| ・An SSVC webpage introducing CISA's SSVC decision tree; | ・CISAのSSVC決定木を紹介するSSVCウェブページ。 |
| ・The CISA SSVC Guide instructing how to use the scoring decision tree; and | ・スコアリング決定木の使用方法を説明した「CISA SSVCガイド」、および |
| ・The CISA SSVC Calculator for evaluating how to prioritize vulnerability responses in an organization’s respective environment. | ・CISA SSVC計算機は、組織の環境における脆弱性対応の優先順位を評価するためのものである。 |
| Organizations now have the option to use CISA’s customized SSVC decision tree guide to prioritize a known vulnerability based on an assessment of five decision points, which are (1) exploitation status, (2) technical impact, (3) automatability, (4) mission prevalence, and (5) public well-being impact. Based on reasonable assumptions for each decision point, a vulnerability will be categorized either as Track, Track*, Attend, or Act. A description of each decision and value can be found on CISA’s new SSVC webpage. | 組織は、CISAのカスタマイズされたSSVC決定木ガイドを使用して、5つの決定ポイント((1) 悪用状況 (2) 技術的影響 (3) 自動化可能性 (4) 任務の普及性 (5) 公共福祉への影響)の評価に基づいて、既知の脆弱性の優先度を決定できるようになった。各決定ポイントの合理的な仮定に基づき、脆弱性は「追跡」「追跡*」「注意」「対処」のいずれかに分類される。各判断と数値の説明は、CISAの新しいSSVCウェブページで見ることができる。 |
| As we collectively work to advance vulnerability management practices, we want to hear from you. Please send any feedback or questions to "Mail" | 我々は、脆弱性管理の実践を推進するために、皆様からの意見を待っている。フィードバックや質問は、"Mail" まで。 |
関連...
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.06.11 NIST NISTIR 8409 (ドラフト) 共通脆弱性評点システムの基礎評点の計算式の測定
・2021.04.30 カーネギー大学 ソフトウェア工学研究所が「Stakeholder-Specific Vulnerability Categorization:SSVC 2.0」を発表していますね。。。
昔に遡り。。。
・2010.10.25 IPA 共通脆弱性評価システムCVSS概説
・2007.04.26 JVN は、名称をJP Vendor Status Notes (JVN) から、Japan Vulnerability Notes (JVN) と変更しました
Comments