Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SSVC Supplier Treeの概要と自動化 | 製造業における脆弱性管理の課題と対応方...

SSVC Supplier Treeの概要と自動化 | 製造業における脆弱性管理の課題と対応方法セミナー

2024/7/12開催された、「製造業における脆弱性管理の課題と対応方法@大阪」セミナーの「SSVC Supplier Treeの概要と自動化」セッションのスライドです。

■ブログ
https://vuls.biz/blog/articles/20240717a/

■概要
米国CISAがオススメする脆弱性管理の優先順位付け手法として注目されているSSVC(Stakeholder-Specific Vulnerability Categorization)の概要を説明し、PSIRT用の決定木であるSupplier Treeを紹介します。SSVCは検知した脆弱性をリスクベースで優先度付けを行うフレームワークでありますが、そのまま組織へ適用しても人間が判断する部分が残り人的工数と専門知識が必要です。講演者は、SSVCの組織への導入には自動化が肝であると考えており、自動化の方法を模索しています。本セッションでは、SSVC Supplier Treeを用いて製造業のPSIRTの脆弱性トリアージを自動化する方法を探求します。具体的には、Supplier Treeの各Decision Pointを分解し、最近CISAから公開されたNVDを補完する脆弱性情報「Vulnrichment」等の判断に利用できるデータソースとロジックを参加者に共有し、自動化のための現実的な実装方法を模索します。

FutureVuls

July 15, 2024
Tweet

More Decks by FutureVuls

Other Decks in Technology

Transcript

  1. Copyright © 2024 by Future Corporation 
 - 2 -

    
 vuls.biz
 自己紹介
 神戸康多(かんべこうた) 
 フューチャー株式会社
 OSS脆弱性スキャナ「Vuls」作者
 脆弱性管理クラウド「FutureVuls」の運営
 
 
 実績
 ▪ Vuls普及のために30回以上登壇
 ▪ BlackHat Asia Arsenal, HITCONなど海外カンファレンス講演
 ▪ 情報処理学会ソフトウェアジャパン2020 アワード
 ▪ Google OSS Peer Bonus Winners of 2022

  2. Copyright © 2024 by Future Corporation 
 - 3 -

    
 vuls.biz
 Xでのジョーシスな誰かのつぶやき(抜粋) 
 
 セキュリティ脆弱性に対するサイバー犯罪については、もう 心情的に白旗を上げてしまってます。
 技術的には対策が打てたとしても、 運用が追いつかない…
 
 一部上場企業グループの情報システム部とかになると、大きなシステムが数十以上、サーバー(VM)も数百以上、基 幹ネットワーク機器も3桁以上、余裕であるわけですよ。 
 
 そして、あらゆる方面から「緊急」「重大」とかラベル付いてるクリティカルな脆弱性情報が飛んでくる わけですよ。 金曜日の夕方にそんな情報が展開されても「は?」なんですよ。 緊急でパッチ当てろとか言われても無理なんです よ。土日だってシステム動いてるから 気軽に止められないんですよ。
 
 そもそも、どの機器が対象かを洗い出すのに骨が折れるし 、サービス停止や再起動が必要なのかどうか分からん のですよパッチのせいでシステムが動かなくなる なんてことも余裕であるんですよ。なので、どこまでテストやる?と か悩ましいんですよ
 
 金曜日の午後に、重大なセキュリティ脆弱性の報告受けて、そこから管理職集めて対策会議とかも厳しいんですよ。 そりゃ、ゴジラが攻めてくるみたいな時は対策会議やるんだけどさ。そうではない頻度で重大なセキュリティ脆弱性 のアナウンスされるんすよ。
 

  3. Copyright © 2024 by Future Corporation 
 - 4 -

    
 vuls.biz
 Xでのジョーシスな誰かのつぶやき(抜粋) 
 
 セキュリティ脆弱性に対するサイバー犯罪については、もう心情的に白旗を上げてしまってます。 
 技術的には対策が打てたとしても、運用が追いつかない… 
 
 一部上場企業グループの情報システム部とかになると、大きなシステムが数十以上、サーバー(VM)も数百以上、基 幹ネットワーク機器も3桁以上、余裕であるわけですよ。 
 
 そして、あらゆる方面から「緊急」「重大」とかラベル付いてるクリティカルな脆弱性情報が飛んでくるわけですよ。金曜 日の夕方にそんな情報が展開されても「は?」なんですよ。緊急でパッチ当てろとか言われても無理なんですよ。土日 だってシステム動いてるから気軽に止められないんですよ。 
 
 そもそも、どの機器が対象かを洗い出すのに骨が折れるし、サービス停止や再起動が必要なのかどうか分からんの ですよパッチのせいでシステムが動かなくなるなんてことも余裕であるんですよ。なので、どこまでテストやる?とか悩 ましいんですよ
 
 金曜日の午後に、重大なセキュリティ脆弱性の報告受けて、そこから管理職集めて対策会議とかも厳しいんですよ。 そりゃ、ゴジラが攻めてくるみたいな時は対策会議やるんだけどさ。そういうレベルではない頻度で、Micorosoftがカ ジュアル重大なセキュリティ脆弱性のアナウンスしてくるんよ。 
 
 管理する資産が多すぎる 
 「緊急」「重大」という脆弱性が多すぎる 
 影響調査・対応が大変すぎる。気軽にパッチ当てられない 
 本当に「緊急・重大」なのかのリスク判断が難しすぎる 
 SSVC効果あり

  4. Copyright © 2024 by Future Corporation 
 - 5 -

    
 vuls.biz
 公開される脆弱性は年々増加 
 2024年は年間4万件を超えそうな勢い(前年比 +40%up) 

  5. Copyright © 2024 by Future Corporation 
 - 6 -

    
 vuls.biz
 [おさらい]脆弱性の深刻度を示すCVSSスコア 
 CVSS基本値は脆弱性の深刻度を「0-10.0」で計算した値である。 
 Log4Shell(CVE-2021-44228)のスコアは最大の「10.0」

  6. Copyright © 2024 by Future Corporation 
 - 7 -

    
 vuls.biz
 CVSSスコアでの絞り込みについて 
 スコアの半数が「HIGH」。詳細情報でフィルタしても対応可能な数まで絞り込めない。 
 <CVSSスコアごとの件数> 
 ※NVDのうちCVSS v3.0のスコアがついている138,873件の脆弱性を集計
 半分以上がHIGH 半分以上が重要度「 HIGH」  詳細情報でさらにフィルタしても限界がある 課 題
 課 題
 約1.4万件 ネットワークから権限なしで攻撃可能でフィルタ
  7. Copyright © 2024 by Future Corporation 
 - 8 -

    
 vuls.biz
 CVSSスコアと武器化の関係 
 スコアが低い脆弱性にも攻撃コードが公開されいるものがる。安全とは言えない。 
 出所: The Risk Remediation Taxonomy and Decision Tree are part of a conference presentation by Yahoo Chris Madden: https://www.bsidesdub.ie/ May 27 2023. 

  8. Copyright © 2024 by Future Corporation 
 - 9 -

    
 vuls.biz
 実際に攻撃に使われる脆弱性とは 
 実際に攻撃に使われている脆弱性は 2-4%未満程度でありリスクが高い。最優先に対応する必要がある。 
 CVSSスコアでは攻撃に使われる脆弱性を予測したり判断はできない。 
 2.24% 約4,615件 
 <攻撃に利用される脆弱性> 
 ではリスクが高いをどうやって判断する? 出所: Qualys Part 1: An In-Depth Look at the Latest Vulnerability Threat Landscape 
 課 題
 公開されている CVE の総数のうち 
 4% 未満しか悪用されていません。 
 <BOD 22-01: 既知の脆弱性の重大なリスクの軽減> 

  9. Copyright © 2024 by Future Corporation 
 - 10 -

    
 vuls.biz
 リスクを考慮した脆弱性管理とは 
 リスクの3要素は「脆弱性」「脅威」「影響」である。重大な脆弱性、かつ実際に悪用されている、かつビ ジネスに影響の大きいものから優先的に対応していくのが理想。 
 影響
 脅威
 脆弱性
 赤い部分にある脆弱性をどうやって判断する? 課 題

  10. Copyright © 2024 by Future Corporation 
 - 11 -

    
 vuls.biz
 SSVC - Stakeholder-Specific Vulnerability Categorization 
 SSVCとは『リスク = 脆弱性 x 脅威 x 影響』 に相当する情報を元に決定木を用いて脆弱性の対応優 先度を4段階に決定できるフレームワークである。 
 SSVC Stakeholder-Specific Vulnerability Categorization 
 
 背景
 カーネギーメロン大学が提案 
 CISAがトリアージ手法として推奨 
 
 概要
 用途毎の決定木が用意されている 
 - CERT向け「coordinator tree」 
 - 運用者向け「deployer tree」 
 - PSIRT向け「supplier tree」 
 
 - SSVCのドキュメント 
 - 決定木のデモサイト 
 - GitHub>CERTCC/SSVC 
 - 仕様をオープンに議論している 
 <Depoyerツリー(運用者向け)> 
 Depoyerツリー(運用者向け) 
 <DeployerTree (システム運用者向け)> 
 脅威
 脆弱性
 影響

  11. Copyright © 2024 by Future Corporation 
 - 12 -

    
 vuls.biz
 SSVC Deployer Treeの決定木 
 DeployerTreeはリスクの3要素をカバーしており、運用者視点でリスクを判断可能。 
 Decision Point 
 リスク要素 
 値
 判断基準・情報ソース 
 Exploitaion
 脅威
 no
 poc
 active
 pocやexploitが公開されていない 
 Exploiit-DBやMetasploit等にpocが公開されている 
 KEVcatalog, Vulnrichment, EPSS, ベンダ情報
 Exposure
 - 
 small
 controlled
 open
 インターネットから隔離された環境 
 インターネットに非公開の社内システム 
 インターネットに公開されている 
 Automatable
 脆弱性
 no
 yes
 キルチェーンの1-4が自動化可能かどうか(RCEは yes)。Vulnrichmentにも情報あり。
 Impact
 影響
 low
 medium
 high
 very high
 ビジネス活動に特に影響低 
 影響は限定的な場合 
 ある一つ・少数の基幹システムに影響あり 
 会社全体のビジネス活動に影響あり 

  12. Copyright © 2024 by Future Corporation 
 - 13 -

    
 vuls.biz
 SSVC Deployer Treeの効果 
 5つの環境を想定して、「4,716件」の脆弱性をSSVCで分類した。 
 immediate と out-of-cycle を見ると、現実的に対応できる数に絞り込めている 。
 immediate out-of-cycle immediate/out-of -cycleの割合 scheduled defer インターネット公開の「超」重要システム 16 2100 44.8% 2600 0 インターネット公開の重要システム 16 50 1.4% 4650 0 社内NWの基幹システム(販売管理など) 0 16 0.33% 4700 0 業務影響が小さい社内システム (勤怠管理など ) 0 0 0% 4716 0 閉域網の「超」重要な基幹系システム 0 16 0.33% 4700 0 同じ脆弱性でも「インターネット露出度」「業務影響」に応じて異なる優先度に分類される 

  13. Copyright © 2024 by Future Corporation 
 - 14 -

    
 vuls.biz
 SSVC Deployer Treeの導入事例 

  14. Copyright © 2024 by Future Corporation 
 - 15 -

    
 vuls.biz
 SSVC Supplier と Deployer の比較 
 DeployerとSupplierを比較するとSupplierのほうが「immediate」と「OOC」が多い 
 <Supplier>
 <Deployer>

  15. Copyright © 2024 by Future Corporation 
 - 16 -

    
 vuls.biz
 SSVC Supplier Tree 
 概要
 SupplierTreeは、サプライヤーが自社のソフトウェアの脆弱 性に対するパッチ作成の優先順位を決定するための意思 決定モデルのこと。 
 
 ある1つの脆弱性を入力として、「Exploitation」「Utility」 「TechnicalImpact」「Public-safety Impact」の4つの項目を評価する と、「脆弱性 × プロダクト」における4段階の対応優先度を出力す る。
 
 特徴
 - 判断理由がわかりやすい 
 - 木のカスタマイズが可能 
 - 自動化可能
 
 参考
 - certcc>SSVC>Supplierの ドキュメント
 - 決定木のデモサイト 
 - GitHub>CERTCC/SSVC 
 - 仕様をオープンに議論している 

  16. Copyright © 2024 by Future Corporation 
 - 17 -

    
 vuls.biz
 SSVC Supplier Treeの決定木 
 リスクの3要素をカバーしており、パッチ提供者の視点でリスクを判断可能。 
 Decision Point 
 リスク要素
 値
 判断基準・情報ソース
 Exploitation
 脅威
 no
 poc
 active
 pocやexploitが公開されていない 
 Exploiit-DBやMetasploit等にpocが公開されている 
 CISA-KEVcatalog, Vulnrichment, EPSS, ベンダ情報
 Utility
 Automatable
 脆弱性
 no / yes
 キルチェーンの1-4が自動化可能かどうか(RCEはyes)。 Vulnrichmentに情報あり。
 Value Density
 影響
 diffuse
 concentrated
 攻撃成功時に限定的なリソース・ユーザ権限しか取得できない場合 
 サーバ環境は価値が高いのでconcentrated 
 Technical Impact
 脆弱性
 partial
 total
 以下の質問のどれかが「はい」ならtotal。 Vulnrichmentに情報あり。
 - 攻撃者は任意のソフトウェアをインストールして実行できる? 
 - 攻撃者は脆弱なコンポーネントが実行できるすべてのアクションをトリガーできる? 
 - 攻撃者は、脆弱なコンポーネントに対する管理者アカウントを取得できる? 
 Public-safety
 Impact
 影響
 minimal
 significant
 minimalの定義は以下。それ以上であればsignificant 
 -身体的危害: 最悪でも軽傷(切り傷くらい)。病院は不要 
 -オペレータの回復力 : オペレータが簡単に復旧できる。軽微な危険が発生する。 
 -システムの回復力: 組み込みのシステム安全マージンのわずかな低下 
 -環境: 他のへの軽微な物的損害、環境損害など 
 -財務: 容易に吸収できない財務損失が複数人に及ぶ。(破産はしない) 
 -心理的: 複数人に影響が及ぶが、カウンセリングの対象にはならない 

  17. Copyright © 2024 by Future Corporation 
 - 18 -

    
 vuls.biz
 デモ: IP CameraのDoSの脆弱性(Supplier目線) 
 概要
 IPCameraの脆弱性。細工されたHTTPリクエストでサービス拒否状態になる
 脆弱性
 CVE-2019-18228  7.5 HIGH AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
 インターネット経由で、権限なし、ユーザ操作なしで攻撃可能。
 脅威
 「PoC公開なし」、「PoCあり」、「攻撃事例あり」で試しましょう
 PoC公開なし
 攻撃あり
 PoC公開

  18. Copyright © 2024 by Future Corporation 
 - 19 -

    
 vuls.biz
 デモ: Microsoft DefenderのRCE(Supplier目線) 
 概要
 Microsoft DefenderのRCE
 脆弱性
 CVE-2021-2647 7.8 HIGH AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
 権限なし、ユーザ操作なしで攻撃可能。
 脅威
 1/14にNVDに掲載, 2021/11/3にKEVに登録された
 PoC公開なし
 攻撃事例あり
 PoC公開

  19. Copyright © 2024 by Future Corporation 
 - 20 -

    
 vuls.biz
 デモ: ワイヤレスルータのRCE(Supplier目線) 
 概要
 ワイヤレスルーターに対して巧妙なリクエストを送信しRCEできる。脆弱性が悪用されると、不 正アクセス、デバイスのセキュリティ侵害、ラテラルムーブメント(横方向の移動)される。Mirai ボットネットに利用されている: link
 脆弱性
 CVE-2023-26801 9.8 CRITICAL AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
 脅威
 CISA-KEVCに登録なし。ShadowServerでは攻撃観測あり。 EPSS: 1.45%
 PoC公開なし
 攻撃事例あり
 PoC公開

  20. Copyright © 2024 by Future Corporation 
 - 21 -

    
 vuls.biz
 デモ: OpenSSHのRCE(regreSSHion) 公共影響「小」の場合 
 概要
 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用され た場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。
 脆弱性
 CVE-2024-6387 8.1 HIGH AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
 脅威
 CISA-KEVCに登録なし。VulnRichmentあり EPSS: 37%
 PoC公開なし
 攻撃事例あり
 PoC公開

  21. Copyright © 2024 by Future Corporation 
 - 22 -

    
 vuls.biz
 デモ: OpenSSHのRCE(regreSSHion) 公共影響「大」の場合 
 概要
 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用され た場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。
 脆弱性
 CVE-2024-6387 8.1 HIGH AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
 脅威
 CISA-KEVCに登録なし。VulnRichmentあり EPSS: 37%
 PoC公開なし
 攻撃事例あり
 PoC公開

  22. Copyright © 2024 by Future Corporation 
 - 23 -

    
 vuls.biz
 デモ: インスリンポンプの脆弱性(Supplier目線) 
 概要
 近隣NWから権限のないユーザにインスリンポンプの量をコントロールされる脆弱性: ICS MEDICAL ADVISORY
 脆弱性
 CVE-2022-32537 4.8 MEDIUM AV:A/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:N
 脅威
 CISA-KEVCに登録なし。 EPSS: 0.04%
 PoC公開なし
 攻撃事例あり
 PoC公開

  23. Copyright © 2024 by Future Corporation 
 - 24 -

    
 vuls.biz
 製造業PSIRTの皆さんに質問 
 • 製造業PSIRTにおける脆弱性管理ツールに期待すること 
 • SSVC Supplier Treeについて
 ◦ Supplier Treeの判断は妥当と感じました?
 ◦ Supplier Treeの判断を自動化できたら嬉しいですか?
 ◦ Supplier Treeでは不十分なケースがあれば具体的に教えてください。
 • 現状の優先順位付けの判断について 
 ◦ 現状どうやっていますか?
 ◦ 課題はありますか?
 ◦ Supplier Treeには無い他の指標も用いていますか?
 
 チャタムハウス・ルールでお願いします 
 チャタムハウスルールとは、 参加者は会議中に得た情報を自由に使用できるが、その発言者や所属を特定し たり、他の参加者を特定したりする情報は伏せなければならない 

  24. Copyright © 2024 by Future Corporation 
 - 25 -

    
 vuls.biz
 まとめ
 無償PoC、詳細なデモ、脆弱性管理のお悩み相談など、お気軽にお問い合わせください。 
 
 https://vuls.biz 
 Vuls