Simple Science

最先端の科学をわかりやすく解説

# コンピューターサイエンス# 暗号とセキュリティ

データインサイトで脆弱性管理を改善する

新しい方法が、組織がソフトウェアの脆弱性をよりうまく優先順位付けできるように助けてるよ。

― 1 分で読む

データ駆動型の脆弱性優先順データ駆動型の脆弱性優先順位付け強化する。新しい方法がソフトウェア脆弱性管理戦略を
目次

サイバーセキュリティは常に潜在的な脅威との戦いだ。サイバーセキュリティの専門家にとっての大きな仕事の一つは、ソフトウェアの脆弱性を見つけて修正すること。しかし、これを効率よくやるのは簡単じゃない。多くの組織は、最も重要な問題にうまく対処できない修正のミックスを使っちゃうことが多い。明確な計画がないと、企業は深刻な違反につながる重要な脆弱性を見逃しちゃうかも。

毎月、重要な企業がセキュリティ問題を修正するためのアップデートをリリースしてる。でも、多くの企業はどのアップデートを適用するか決めるのに苦労してる。自動アップデートを控えた場合、新しいパッチが自分たちの問題を引き起こすんじゃないかと心配するから、これがさらに複雑にしてる。

成功する脆弱性管理には、重要な脆弱性をすべてカバーしつつ、効率的にやることが目標なんだ。ほとんどの標準的なやり方は、脆弱性をその重症度スコアに基づいて優先順位をつける。でも、このスコアは実際のサイバー攻撃とあまりうまくリンクしないこともある。その結果、システム管理者は似たような重症度評価の脆弱性の中で迷っちゃうことがある。

私たちの研究は、アクセスしやすい公共データを組み合わせることで、組織がどの脆弱性を優先的に修正すべきかを自動的に特定できることを示すことに焦点を当ててる。私たちは、この方法が単に通常の重症度スコアに頼るよりも優れていると思ってる。

新しいアプローチの必要性

脆弱性の優先順位付けは重要だ、なぜならすべての脆弱性が悪意のある行為者によって積極的に悪用されるわけではないから。最初に攻撃される可能性が高い脆弱性を特定して修正する方が効果的なんだ。私たちの研究は、特定のデータソースを組み合わせて、組織がより効果的な脆弱性管理戦略を作成する手助けをする方法を示すことを目指してる。

この研究の主な目標は、企業が自社の運用に最も重大なリスクをもたらす脆弱性に焦点を当てることを可能にするモデルを示すことなんだ。このモデルは既存の脅威情報を活用し、脆弱性管理への個別のアプローチを提供するように整理されてる。

私たちの研究は、公共のソースから集めた脅威インテリジェンスに基づいて脆弱性を評価するためのフレームワークを提供する。さまざまな学術的および政府の機関で脆弱性を分析し、簡単な重症度スコアの標準的なアプローチと結果を比較して、このモデルをテストする。

脆弱性管理におけるデータソースの重要性

私たちの研究では、脆弱性管理を改善するために複数のデータソースを活用する必要性を強調してる。典型的な方法は重症度スコアに強く依存してる。これだと、実際にはより重大な脅威を持つ脆弱性を見逃しちゃう可能性がある。私たちは、組織が直面する脆弱性をモデル化するために異なるデータセットのコレクションを使用する新しい方法論を提案してる。

私たちは以下のようなデータセットを考慮してる:

  • 共通脆弱性カウント(CWE):これはソフトウェアの弱点に関する情報をキャッチする。
  • 共通脆弱性と露出(CVEおよび共通脆弱性スコアリングシステム(CVSS):これらは重症度に基づいて脆弱性の優先順位をつけるのを助ける。
  • エクスプロイトデータベース:これは実際にどの脆弱性が悪用される可能性が高いかを評価する。
  • 共通攻撃パターンカウントと分類(CAPEC)およびMITRE ATTCK:これらは脆弱性がどのように攻撃され、緩和されるかに関する情報を含んでる。

このデータを統合することで、どの脆弱性を優先すべきかを正確に評価するモデルを作る。

ナレッジグラフの作成

私たちの方法を実装するために、ナレッジグラフを作成する。ナレッジグラフは異なるデータポイント間の関係を効果的に整理し、効果的な脆弱性のランク付けのためのクエリをサポートする。目標は、脆弱性、脅威アクター、攻撃戦術に関する情報をつなげて、組織がインテリジェンスをより効果的に適用できるようにすることなんだ。

セクターと脅威アクターの理解

重要なインフラセクターを分類し、国家の安全保障や公共の安全に対する重要性を反映させる。脅威アクターを特定のセクターにリンクさせることで、どの脆弱性が危険にさらされる可能性があるかをよりよく評価できる。どのアクターがどのセクターで活躍しているかを知るのが重要で、脆弱性管理のアプローチをそれに合わせることができる。

脆弱性のランク付け

私たちの関連性ベースのランク付けモデルは、組織が最初に対処すべき脆弱性を決定する手助けをするように開発されてる。このモデルは、組織のソフトウェアインベントリや直面している脅威の種類を考慮して、組織のプロファイルを構築する。

ランキングポリシー

私たちは4つの異なるランキングポリシーを作成した:

  1. CVSSベーススコアランキング:これは脆弱性がそのCVSSベーススコアのみに基づいてランク付けされる従来の方法。
  2. APT脅威ランキング:これは、既知の敵グループによってターゲットにされる可能性が高い脆弱性に焦点を当てる。
  3. 一般化脅威ランキング:これは、低スキルと高スキルの攻撃者の両方によって悪用される可能性がある脆弱性を考慮する。
  4. 理想的なランキング:これはAPTと一般化のランキングからの戦術を組み合わせるが、以前に悪用された脆弱性の知識を持ってる。

各ポリシーは脅威インテリジェンスの異なる側面を考慮し、組織が自分たちのニーズに最も適したアプローチを選べるようにしてる。

アプローチの効果を評価する

私たちのモデルをテストするために、異なる機関からの数年間にわたる脆弱性のコレクションを調べた。従来のスコアリングでは、脅威の識別が不十分になることが多いとわかった。私たちの新しい方法は、サイバー攻撃者に狙われる可能性が高い脆弱性を認識するのに大きな改善を示した。

nDCGを用いた測定

私たちのランキング結果を従来の方法と比較するために、正規化割引累積ゲイン(nDCG)という測定技術を使った。このメトリックは、ユーザーの関連性に基づいて私たちのランキングがどれだけニーズを満たしているかを評価する方法を提供する。

nDCGスコアを分析することで、私たちの新しいポリシーが標準的なCVSSベーススコアのアプローチに対してどのように機能したかを見ることができた。結果は、私たちのポリシーが従来の方法よりも一貫して脆弱性を高くランク付けしており、はるかに効果的な優先順位戦略を実現することを示した。

結果と分析

私たちの研究中に、教育や政府を含むさまざまなセクターの脆弱性を分析した。私たちのモデルがコストを大幅に削減し、脆弱性管理の効率を向上させることができることがわかった。

調査結果は、私たちのアプローチを実施した組織が脆弱性のパッチに関連する年間コストを23%から26%削減できる可能性があることを示した。

結論

ソフトウェアの脆弱性を管理する厳しい作業は、組織がより良い戦略を採用することを求める。私たちの研究は、さまざまな公共データソースをナレッジグラフに集約することで、これらの脆弱性を効果的にランク付けし優先順位をつける能力が向上することを示してる。

関連性ベースのアプローチを採用することで、組織は無関係な脆弱性にかける時間を大幅に減らし、最も重要な脅威にリソースを集中させることができる。このシフトは、組織のセキュリティポスチャーを改善するだけでなく、リソースの使用を最適化し、時間とお金の両方を節約する。

要するに、この新しい脆弱性管理モデルは、サイバー脅威に対する防御を改善したい組織にとって、強固で効果的なフレームワークを提供する。データの自動集約と分析を通じて、組織は最も重要な脆弱性に対してより積極的な姿勢を維持できる。

オリジナルソース

タイトル: A Relevance Model for Threat-Centric Ranking of Cybersecurity Vulnerabilities

概要: The relentless process of tracking and remediating vulnerabilities is a top concern for cybersecurity professionals. The key challenge is trying to identify a remediation scheme specific to in-house, organizational objectives. Without a strategy, the result is a patchwork of fixes applied to a tide of vulnerabilities, any one of which could be the point of failure in an otherwise formidable defense. Given that few vulnerabilities are a focus of real-world attacks, a practical remediation strategy is to identify vulnerabilities likely to be exploited and focus efforts towards remediating those vulnerabilities first. The goal of this research is to demonstrate that aggregating and synthesizing readily accessible, public data sources to provide personalized, automated recommendations for organizations to prioritize their vulnerability management strategy will offer significant improvements over using the Common Vulnerability Scoring System (CVSS). We provide a framework for vulnerability management specifically focused on mitigating threats using adversary criteria derived from MITRE ATT&CK. We test our approach by identifying vulnerabilities in software associated with six universities and four government facilities. Ranking policy performance is measured using the Normalized Discounted Cumulative Gain (nDCG). Our results show an average 71.5% - 91.3% improvement towards the identification of vulnerabilities likely to be targeted and exploited by cyber threat actors. The return on investment (ROI) of patching using our policies results in a savings of 23.3% - 25.5% in annualized costs. Our results demonstrate the efficacy of creating knowledge graphs to link large data sets to facilitate semantic queries and create data-driven, flexible ranking policies.

著者: Corren McCoy, Ross Gore, Michael L. Nelson, Michele C. Weigle

最終更新: 2024-06-09 00:00:00

言語: English

ソースURL: https://arxiv.org/abs/2406.05933

ソースPDF: https://arxiv.org/pdf/2406.05933

ライセンス: https://creativecommons.org/licenses/by/4.0/

変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。

オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。

参照リンク
参照トピック

著者たちからもっと読む

類似の記事