CVE」とは、Common Vulnerabilities and Exposures(共通脆弱性・暴露)の略で、聞いたことがある人も多いだろう。CVEは、既知のコンピュータ・セキュリティ問題を追跡する巨大なデータベースにリストアップされます。これにより、簡単にアクセスして参照することができます。ですから、もし誰かがCVEについて、あるいはCVEレコードについて話しているのを耳にしたら、それはセキュリティ上の欠陥が知られていて、すでにカタログ化されていることを意味します。
既知のセキュリティ欠陥を共有し、カタログ化することで、サイバーセキュリティ担当者は脆弱性に優先順位をつけて対処し、クラウドやコード、その他のITシステムをより安全にすることができる。
基本的に、CVEシステムは共通の言語と参照ポイントを提供する。しかし--これが大きな「しかし」だが--私の問題があなたの問題ではないかもしれないことを心に留めておいてほしい!
CVEデータベースは誰が管理しているのですか?
株式会社マサチューセッツ工科大学 MITRE社はCVEシステムを統括しており、すべてのCVE記録は一般市民が無料で検索・利用できる。サイバーセキュリティ・インフラストラクチャ安全保障局(CISA)は資金提供に協力している。CVEエントリーは簡潔で、深い技術的データはありません。CVEエントリーには、修正、リスク、影響についてのコメントもない。詳細については、他のデータベースに記録されている。その例としては、米国の 国家脆弱性データベース(NVD)や CERT/CC 脆弱性情報データベース.
CVE IDとはどのようなものですか?
CVE IDはシリアル番号のようなものだ。CVEエントリーを見ると、次のようなCVE IDが表示される:"cve-yyyy-###"となります。
CVE記録には何が含まれるのか?
CVEレコードには以下の情報が含まれる:
- CVE ID
- 説明
- 参考文献
- CNAの配置
- レコード作成日
CVE記録には、フェーズ、投票、コメント、提案など、新規エントリーには関係のないレガシーなものも含まれている。
どのようにして脆弱性や暴露を見つけるのか?
技術系企業から好奇心旺盛なユーザーまで、誰でも報告することができる。中には、これらの問題を発見し報告することで、報酬を提供するものさえある。オープンソースのソフトウェアであれば、コミュニティのサポートがすべてだ。
脆弱性が報告されると、CNAはその脆弱性にCVE IDを与え、簡単な説明を書き、参考文献を追加する。その後、CVEウェブサイトに掲載される。問題が公表される前にIDを取得することもある。悪者を寄せ付けない。
さて、すべての問題にCVEがつくわけではない。もちろん、ルールはある!主に3つの基準が適用される:
- 独立して修正可能。これは、その欠陥が修正可能で、独立しており、他のバグとは無関係であることを意味する。
- ベンダーが認めている。 これは、そのバグが存在し、セキュリティに悪影響を及ぼす可能性があることを、 ベンダーが認めていることを意味します。もう一つの選択肢は、バグの悪影響と、それがシステムのセキュリティポリシにどのように違反するかについての説明を含む、共有された脆弱性報告書を持つことです。
- 一つのコードベースだけに影響する。 複数の製品に影響する場合は、別々のCVEを取得する。できるだけ分離してCVEレコードを作成することです。
CVEレコードはどのように見つけることができますか?
まず第一に、CVE情報は無料で公開されている。これは良いニュースだ。
最新の CVEを見つける最も簡単な方法は、以下をフォローすることです。 をフォローすることだ。このフィードは毎日複数の新しいCVEに関するツイートで常に更新されている。昨日見ただけでも80以上の新しいCVEがあった!フォローすれば、フィードはそれらでいっぱいになるだろう!
過去のCVE記録をより詳細に検索する方法はどうだろう?1999年以降の全記録や特定の年の記録が欲しい場合、あるいはトピック別に検索したい場合は、次のサイトにアクセスすればよい。 CVE.org/ダウンロード.一括ファイルはJSON 5.0形式になり GitHubリポジトリ.(注:以前のファイリングシステムは、2024年1月1日に利用できなくなります)。
CVEdetails.comには、毎日更新されるデータベースの使いやすいオンライン版が ある!
ライブラリーを適切なCVEにマッチさせるには?
脆弱性を分析する際には、正しいCVEを取得したい。正しいCVEを持っていることを確認するには、バージョン番号とパッケージ名をチェックするのがベスト・プラクティスだ。Trivyのように、これを自動的にやってくれるツールはたくさんある。Aikido この機能の一部にTrivyを活用している)。
共通脆弱性評価システム - CVSS
NVD などは Common Vulnerability Scoring System(CVSS)を使って、脆弱性や暴露の深刻度を判定している。これはセキュリティ問題の成績表のようなもので、0.0(大したことない)から10.0(大問題)まであります。つまり、各CVEエントリにはCVSSスコアがあります。
CVSSスコアはどのように計算されるのか?
CVSSスコアは、脆弱性ベースのメトリクスに基づく計算式で算出される。CVSSスコアは、以下の3つの分野のスコアから構成される:Base、Temporal、Environmental。ベース・スコアは必須であり、出発点であり、影響度と悪用可能性のサブスコアを持っています。次に、Temporal スコアが Base から計算されます。次に、Temporal スコアから Environmental スコアを計算することができる。これらの計算が総合的な CVSS スコアにつながる。
フォーミュラ・オタクのための何か!採点システムと CVSS計算機がどのように機能するかをチェックしてください。どのような計算が行われ、どのような正確なメトリクスが各スコアを生み出しているのかをご確認ください。攻撃ベクトル複雑さをアタッチします!たくさんの楽しみ!
CVSSスコアリングスケールとは何ですか?
現行(v3.1)のCVSSスコアリング・スケールには5つのカテゴリーがある:
- 9.0~10.0=クリティカル
- 7.0~8.9=高
- 4.0 - 6.9 = 中程度
- 0.1 - 3.9 = 低
- 0.0 = なし
ダウンロード CVSSスコアリングシステムユーザーズガイド.
CVEレコードのCVSSスコアを調べるには?
これは簡単です!オンラインデータベースの各CVEレコードページには、NVDのCVSSスコアへのリンクがあります。クリックするだけです!例えば、この投稿の前に出てきたCVE-2023-40033を使って、「CVSSスコア」(レコードの右上隅)をクリックすると、この脆弱性のスコアが7.1(高)であることがわかります。
CWEとは?
CWE(Common Weakness Enumeration)は、一般的なソフトウェアとハードウェアの弱点のリストである。CWEはコミュニティによって開発されたリソースであり、弱点の種類と範囲の標準化を提供する。
MITREの言葉を引用すると、「CWEの主な目標は、脆弱性をソースで止めることです...製品が提供される前に最も一般的な間違いを排除することです」。CWEはまた、脆弱性データベース(CVEなど)にマッピングしながら、セキュリティの脅威に対する議論と対策のフレームワークを開発者に提供します。
CVEとの違いは?CWEは脆弱性につながる可能性のある根本的な弱点に焦点を当てています。一方、CVEは実際の脆弱性を記述します。CVEと同様、CWEにもCWSSと CWRAFによる深刻度スコアリングがあります。
強固なセキュリティ態勢を維持するためにはどうすればいいのか?
セキュリティの優先順位を決めるのに、やみくもにCVSSスコアに従わないこと
すべてのCVEが問題なのか?いいえ。これらは情報ですが、多くの情報と同じように、すべてのCVEがあなたのコンテキストに関連するとは限りません。また、関連性があるように見えるものでも、CVSSスコアが高いCVEであっても、あなたにとって関連性がなかったり、リスクにならなかったりする状況はたくさんあります:
- ビジネスへの影響度:脆弱性は、CVSSスコアが高いにもかかわらず、組織の特定の業務、顧客データ、または重要なシステムに重大なリスクをもたらさない。あるいは、リスクアセスメントやその他のツールにより、他の要因(例えば、ある機能が到達できないなど)がCVSSスコアを上回る重要性を持つと判断される。
- 独自のシステム:カスタムまたは独自のソフトウェアを使用する場合、CVSSスコアは、特定のシステムの脆弱性に関連する実際のリスクを正確に反映しない可能性がある。
- リソースの限界:高スコアのCVSS脆弱性をすべて修正したいところだが、現実的でなければならない。費用対効果の低いものに大量のリソースを注ぎ込む前に、優先順位をつけよう。
- すでにカバー:すでに強固な防御策を講じているかもしれない。たとえ脆弱性のスコアが高くても、それを抑える安全策がすでにあれば、大騒ぎするほどのことではないと判断するかもしれない。
- CWEへの認識: 配信内容に影響を与える可能性のあるCWEを常に意識すること。
脆弱性スキャナーを入手する
また、新たなトレンドを発見するための新しいプラットフォームも登場しています。 フレッチをチェックしてみてください。 Nessusは59,000以上のCVEをスキャンします。 Nexposeは、独自のスコアリング・システムを使用しており、脆弱性の年代や、すでに適用されているパッチや対処法を考慮に入れている。 Nmapと OpenVASはオープンソースの脆弱性スキャナーだ。
また、Aikido Securityを試して、全体的なセキュリティ態勢を監視し、改善してみてはいかがでしょうか。 Aikidoを無料でお試しください!
CurVEを先取りする
CVEについて言えることは、CVEは過去、つまりすでに起こった脆弱性や暴露について書かれているということだ。つまり、悪質な行為者は、あなたが対応する前に損害を与える時間を持つことがあるということです。脆弱性スキャナーを使うだけでなく、リスクを管理するための手段を講じるようにしてください。これには、パッチが最新であることを確認したり、侵入テストを実施したりすることが含まれる。
TL;DR secは、ソフトウェアのサプライチェーンと、さらに重要なことの内訳を示している、 どのように各段階をどのようにセキュアにするかということである。
さらに、私たちは、Aikido ユーザー(無料および有料)とLinkedInのフォロワーに、関連するLIの投稿でループを維持したいと考えています。例えば、CVE-2023-4911(Looney Tunablesの(あまり笑えない)バグ)に関する最近の投稿です。
最も一般的なエクスプロイトについてコードをチェックする
OWASPトップ10とCISコンプライアンスベンチマークを使用してコードをチェックしてください。これらの標準的なツールは、最も一般的な弱点(OWASP)とサイバーセキュリティのための基本設定(CIS)に対処するのに役立ちます。
Aikido直接得点する方法をチェック:CISレポート/OWASPトップ10レポート
.jpg)
.svg)
.jpg)
.jpg)
.jpg)
