CSA 脆弱性データに対する懸念 (2024.11.11)

こんにちは、丸山満彦です。

脆弱性管理についての、現在の課題について整理したものという感じですかね...

CVEの採番、管理も大規模になるとなかなか大変...

IoTとかでてくると、さらに大変...

 

● Cloud Security Alliance

・2024.11.11 Top Concerns With Vulnerability Data

Top Concerns With Vulnerability Data	脆弱性データに対する懸念のトップ
The top vulnerability management frameworks used today include the Common Vulnerabilities and Exposures (CVE) program and the Common Vulnerability Scoring System (CVSS). The CVE program assigns an identifier to every discovered security vulnerability, standardizing the vulnerability documentation process. CVSS introduces a way to prioritize vulnerabilities by giving each CVE a CVSS score.	今日使われている脆弱性管理のフレームワークには、Common Vulnerabilities and Exposures（CVE）プログラムとCommon Vulnerability Scoring System（CVSS）がある。CVEプログラムは、発見されたすべてのセキュリティ脆弱性に識別子を割り当て、脆弱性の文書化プロセスを標準化する。CVSSは、各CVEにCVSSスコアを与えることで、脆弱性に優先順位をつける方法を導入している。
Despite their widespread use, CVE and CVSS remain stagnant in comparison to the growing threat landscape and scope of cybersecurity. Security teams have increasingly large, diverse, and complex technology stacks to secure. CVE and CVSS are simply not sufficient for managing the threat intelligence of multiple modern systems on a rolling basis.	CVEとCVSSは、広く使用されているにもかかわらず、サイバーセキュリティの脅威の状況や範囲が拡大していることに比べると、依然として停滞している。セキュリティ・チームは、ますます大きく、多様で、複雑なテクノロジー・スタックを保護しなければならなくなっている。CVEとCVSSは、複数の最新システムの脅威インテリジェンスを継続的に管理するには不十分である。
This publication highlights the critical shortcomings of current vulnerability management programs, such as outdated information, limited context, and inefficient scoring. It also explores potential solutions that could improve the tracking, scoring, and prioritization of vulnerabilities. Readers will come to appreciate the top concerns related to vulnerability data. By the end of the document, they will also see how to fix these issues in the future.	本書は、古い情報、限られたコンテキスト、非効率的なスコアリングなど、現在の脆弱性管理プログラムの重大な欠点を浮き彫りにしている。また、脆弱性の追跡、スコアリング、優先順位付けを改善するための潜在的な解決策を探っている。読者は、脆弱性データに関連する最大の懸念事項を理解するようになるだろう。また、本書の終わりには、これらの問題を将来どのように解決すべきかがわかるだろう。
Key Takeaways:	主な要点
・The current challenges with vulnerability data	・脆弱性データに関する現在の課題
・Why CVE and CVSS are outdated and cannot keep up with the rapidly growing cybersecurity scene	・なぜCVEとCVSSは時代遅れであり、急速に成長するサイバーセキュリティシーンに対応できないのか。
・Why the National Vulnerability Database (NVD) cannot scale at the necessary rate	・国家脆弱性データベース（NVD）が必要な速度で拡張できない理由
・The fragmentation of vulnerability data	・脆弱性データの断片化
・Real-life examples of the issues with vulnerability data and their repercussions	・脆弱性データの問題点とその影響の実例
・Alternative frameworks to CVSS, including EPSS, SSVC, and VPR	・EPSS、SSVC、VPRを含むCVSSに代わる枠組み
・Threat modeling frameworks to follow, including STRIDE, LINDDUN, PASTA, VAST, TRIKE, and DREAD	・STRIDE、LINDDUN、PASTA、VAST、TRIKE、DREADなど、追随すべき脅威モデリングの枠組み
・How AI and machine learning could help address the growing volume of vulnerabilities	・AIと機械学習は、増加する脆弱性にどのように対処するのに役立つか？

 

 

目次...

Acknowledgments	謝辞
Table of Contents	目次
Introduction	序文
Role of Vulnerability Data	脆弱性データの役割
Current State of Vulnerability Data	脆弱性データの現状
Identifying the Current Challenges	現在の課題の識別
CVE	CVE
・Data Quality and Fidelity	・データの質と忠実性
・Perverse Incentives to not Create CVEs	・CVEを作成しないことへの逆インセンティブ
・Finding Relevant Vulnerability Data	・関連する脆弱性データを見つける
・Notifying Project Maintainers	・プロジェクト・メンテナへの通知
・Lack of Interoperability	・相互運用性の欠如
・Resolving Disputes	・紛争の解決
・Complexity of Reporting Vulnerabilities	・脆弱性報告の複雑さ
・Increasing Number of CVEs Every Year	・年々増加するCVE数
CVSS	CVSS
Disadvantages of CVSS	CVSSの欠点
Inability to Prioritize Risk	リスクの優先順位付けができない
・Static Scoring System	・静的なスコアリング・システム
User Stories	ユーザーストーリー
cURL	cURL
Custom Solutions	カスタムソリューション
Alternatives to CVSS	CVSSの代替
EPSS	EPSS
SSVC	SSVC
VPR	VPR
Threat Modeling Frameworks	脅威モデリングの枠組み
What Is Threat Modeling?	脅威モデリングとは何か？
STRIDE	STRIDE
LINDDUN	LINDDUN
PASTA	パスタ
VAST	バスト
TRIKE	トライク
DREAD	ドリード
Future Directions and Emerging Trends	今後の方向性と新たなトレンド
Big Data Problems and Scale Issues	ビッグデータ問題と規模の問題
The Role of Artificial Intelligence and Machine Learning	人工知能と機械学習の役割
Conclusion	結論
References	参考文献

 

 

CVSSの代替案 比較

CVSS Alternatives Comparison	CVSSの代替案 比較
EPSS	EPSS
EPSS’s main focus is predicting the likelihood of vulnerability exploitation using logistic regression over 12 months. In contrast SSVC uses more qualitative decision-making, not relying on statistical predictions. Finally, VPR uses technical impact and real-time threat intelligence while making decisions which differs from EPSS's emphasis on probability of exploit prediction, highlighting its more predictive approach.	EPSSの主な焦点は、12ヶ月間のロジスティック回帰を用いた脆弱性悪用の可能性の予測である。対照的に、SSVC は統計的予測に頼らず、より定性的な意思決定を行う。最後に、VPR は技術的影響とリアルタイムの脅威インテリジェンスを使用しながら意思決定を行うが、これは EPSS の悪用の可能性予測に重点を置くのとは異なり、より予測的なアプローチを強調するものである。
SSVC	SSVC
SSVC utilizes decision tree models that use qualitative data to help guide holders with vulnerability management. It differs from something like EPSS which provides one predictive score and also the fact that it utilizes qualitative inputs and adapts to feedback. Furthermore, when compared to VPR which focuses on technical impact and threat intelligence, SSVC prioritizes stakeholder-specific needs.	SSVC は、脆弱性管理でホルダーを導くために定性的データを使用する決定木モデルを利用する。EPSSのように1つの予測スコアをプロバイダとして提供するものとは異なり、また、定性的な入力を利用し、フィードバックに適応するという点でも異なる。さらに、技術的影響と脅威インテリジェンスに重点を置くVPRと比較すると、SSVCはステークホルダー固有のニーズに優先順位をつける。
VPR	VPR
VPR combines the technical impact that a vulnerability has in conjunction with real-time threat intelligence meaning that it is continuously updating. In comparison to EPSS, which predicts exploitation likelihood with a more static but predictive score, VPR is a more dynamic approach that employs threat data over time. Finally, unlike SSVC, which emphasizes qualitative decision-making specifically for stakeholders, VPR integrates quantitative threat data for risk prioritization.	VPRは、脆弱性が持つ技術的影響と、継続的に更新されることを意味するリアルタイムの脅威インテリジェンスを組み合わせたものである。より静的だが予測的なスコアで悪用の可能性を予測する EPSS と比較すると、VPR はより動的なアプローチであり、時間の経過とともに脅威データを採用する。最後に、利害関係者に特化した定性的な意思決定を重視するSSVCとは異なり、VPRはリスクの優先順位付けのために定量的な脅威データを統合する。

 

 

脅威モデル比較...

Threat modeling frameworks Comparison	脅威モデリングの枠組み
STRIDE	STRIDE
STRIDE offers a variety of benefits compared to other frameworks like LINDDUN, PASTA, VAST, and TRIKE. For example, STRIDE focuses primarily on common security threats and provides a high-level overview of the threat landscape due to its broad categories, unlike other frameworks that might concentrate on specific types of vulnerabilities.	STRIDE は、LINDDUN、PASTA、VAST、TRIKE のような他の枠組みと比べて様々な利点を提供する。例えば、STRIDE は主に一般的なセキュリティ脅威に焦点を当て、特定のタイプの脆弱性に集中する可能性がある他の枠組みとは異なり、その幅広いカテゴリーにより、脅威ランドスケープのハイレベルな概観を提供する。
LINDDUN	LINDDUN
LINDDUN’s extensive catalog of privacy threat types, threat trees, and mapping tables, guide the analyst in identifying and addressing privacy issues. In contrast, other methods like STRIDE and PASTA primarily address security concerns, with STRIDE focusing on security threats and PASTA emphasizing security aspects.	LINDDUNのプライバシー脅威の種類、脅威ツリー、マッピングテーブルの広範なカタログは、プライバシー問題を特定し、対処する際にアナリストを導く。これとは対照的に、STRIDEやPASTAのような他の手法は、主にセキュリティの懸念を扱っており、STRIDEはセキュリティの脅威に、PASTAはセキュリティの側面に重点を置いている。
PASTA	PASTA
Compared to other frameworks like STRIDE, which focuses on specific threat categories, and VAST, which emphasizes scalability and integration for more large-scale enterprises, PASTA offers a more holistic and business-oriented approach as shown by its business-centric process. Its ability to simulate real-world attacks and involve both technical and business stakeholders ensures that security measures are aligned with the objectives of the business that utilizes it.	特定の脅威カテゴリーに焦点を当てるSTRIDEや、より大規模なエンタープライズ向けのスケーラビリティと統合を重視するVASTのような他の枠組みと比べて、PASTAは、そのビジネス中心のプロセスが示すように、より全体的でビジネス指向のアプローチを提供する。実世界の攻撃をシミュレートし、技術・ビジネス双方の利害関係者を関与させることで、セキュリティ対策がそれを利用するビジネスの目的に沿ったものとなることを保証する。
VAST	VAST
Compared to other frameworks like LINDDUN, STRIDE, and PASTA, VAST is unique in its scalability and automation, making it suitable for large enterprises. It automates much of the threat modeling process, reducing time and effort, and integrates seamlessly with existing development and security processes. VAST is particularly useful for securing web applications, auditing IT systems, and developing secure software, ensuring that security is integrated into the software development lifecycle from the beginning. Therefore by focusing on scalability, automation, and integration, VAST provides an approach to threat modeling that is very valuable for large corporations.	LINDDUN、STRIDE、PASTAのような他の枠組みと比べて、VASTはスケーラビリティと自動化においてユニークであり、大規模エンタープライズに適している。脅威モデリングプロセスの大部分を自動化し、時間と労力を削減し、既存の開発プロセスやセキュリティプロセスとシームレスに統合する。VASTは、ウェブアプリケーションのセキュリティ確保、ITシステムの監査、セキュアなソフトウェアの開発に特に有効であり、ソフトウェア開発ライフサイクルの最初からセキュリティが統合されていることを保証する。そのため、拡張性、自動化、統合に重点を置くことで、VASTは大企業にとって非常に価値のある脅威モデリングへのアプローチを提供している。
TRIKE	TRIKE
Compared to other frameworks like LINDDUN, STRIDE, and PASTA, TRIKE is unique in its risk-based approach, focusing on the highest risks first and automating much of	LINDDUN、STRIDE、PASTAのような他の枠組みと比べて、TRIKEはリスクベースのアプローチに特徴がある。
the threat generation processes. TRIKE is also suitable for various use cases, such as the security of web and	脅威生成的プロセスを自動化する。TRIKEはまた、ウェブやITベースのシステムのセキュリティや、ITシステムのセキュリティの支援など、さまざまなユースケースに適している。
IT-based systems, and aiding in the development of secure software. Finally, TRIKE ensures that countermeasures are appropriate for the identified threats, making it a valuable tool for security professionals.	ITベースのシステムのセキュリティ、安全なソフトウェアの開発支援など、さまざまなユースケースにも適している。最後に、TRIKEは、特定された脅威に対する対策が適切であることを保証し、セキュリティ専門家にとって価値あるツールとなっている。
DREAD	DREAD
Compared to other frameworks like LINDDUN or PASTA, DREAD offers a unique perspective on threat modeling by focusing on quantifying and prioritizing security threats through qualitative based approaches. While additional frameworks like STRIDE categorize threats into specific types and VAST emphasizes scalability and automation for large enterprise, DREAD is a more simple and focused approach to threat modeling. This makes DREAD particularly useful for organizations who may not be as knowledgeable about the world of cybersecurity nor as big scale as large corporations but are still looking for an effective framework to address vulnerabilities.	LINDDUNやPASTAのような他の枠組みと比べて、DREADは、定性的なアプローチを通じてセキュリティ脅威を定量化し、優先順位をつけることに焦点を当てることで、脅威モデリングに独自の視点を提供している。STRIDEのような他の枠組みが脅威を特定のタイプに分類し、VASTが大規模エンタープライズ向けの拡張性と自動化に重点を置いているのに対して、DREADは脅威モデリングに対してよりシンプルで焦点を絞ったアプローチである。このため、DREADは、サイバーセキュリティの世界についてそれほど詳しくなく、大企業ほど大規模ではないものの、脆弱性に対処するための効果的な枠組みを探している組織にとって特に有用である。