Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Convenient? Troublesome? CVSS!

Convenient? Troublesome? CVSS!

speaked at #6 JP-RISSA periodic event

am7cinnamon

July 10, 2020
Tweet

More Decks by am7cinnamon

Other Decks in Technology

Transcript

  1. 便利? 厄介?
    CVSS!
    し な も ん
    2020/06/30 JP-RISSA 第6回定例イベント

    View full-size slide

  2. • 新米セキュリティエンジニア
    • ユーザ企業 (?)
    • CSIRT/SOC (で毎日悪戦苦闘)
    • 資格:支援士、SSCP、CySA+、応用情報ほか
    • 興味:マルウェア解析、パスワードクラック、
    脆弱性探索 (できるとは言ってない)
    • 野生のリサーチャ「しなもん」として
    活動中
    しなもん is 何
    ブログ Twitter

    View full-size slide

  3. 突然ですが皆さん……
    CVSS って覚えていますか???
    SC 試験の範囲だったはずですが……

    View full-size slide

  4. これです
    https://jvn.jp/jp/JVN67447798/
    https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00327.html
    これ
    これ

    View full-size slide

  5. CVSS
    (Common Vulnerability Scoring System)

    • 脆弱性の技術的な深刻度を定量的に評価する手法
    • 次の3つの基準で評価
    ー基本評価基準
    ー現状評価基準
    ー環境評価基準
    • 現在 v2系と v3系 (v3.0、v3.1) がある

    View full-size slide

  6. CVSS
    (Common Vulnerability Scoring System)

    • 0~10.0 のスコア (基本値・現状値・環境値) で表現
    ーわかりやすい
    • 各要素の評価であるベクトル文字列としても表現
    ー脆弱性を詳しく表現できる

    View full-size slide

  7. 具体例を見てみましょう

    例えば、Heartbleed 脆弱性 (CVE-2014-0160) の例
    CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    基本値:7.5
    バージョン ベクトル文字列
    スコア
    (基本値)
    基本値は開発者やセキュリティ機関が発表しますが、
    現状値・環境値はユーザが評価するものです

    View full-size slide

  8. 具体例を見てみましょう
    CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    基本値:7.5
    CVSS のバージョン :v3.0
    どこから攻撃できる? :ネットワークから
    攻撃条件は? :特別な条件は不要
    攻撃に特権は必要? :不要
    攻撃にユーザの関与は必要? :不要
    影響範囲はオーソリゼーションスコープ内? :スコープ内に留まる
    機密性への影響可能性は? :高い
    完全性への影響可能性は? :ない
    可用性への影響可能性は? :ない
    基本値は? :7.5 (高め)
    読み方を知っていれば、こんなにいろいろわかります

    View full-size slide

  9. 便利ではあるのですが……
    問題点もあります……
    • CVSS は脆弱性評価の指標として広く使われています
    • が、

    View full-size slide

  10. 問題点①
    読み方が難しい

    View full-size slide

  11. 読み方が難しい……
    それぞれ、どんな脆弱性かスラスラ読めますか???
    https://jvn.jp/vu/JVNVU91632701/

    View full-size slide

  12. 問題点②
    評価者によって
    基本値が異なることがある

    View full-size slide

  13. 実は基本値は一意ではない
    https://jvn.jp/vu/JVNVU94282488/
    • 評価者によって想定するシナリオが違い、基本値が変
    わることがあります
    • 例:CVE-2019-15627 の CVSS v3系
    https://success.trendmicro.com/solution/000149495
    https://nvd.nist.gov/vuln/detail/CVE-2019-15627

    View full-size slide

  14. 実は基本値は一意ではない
    • 下表のとおり、3機関の評価はバラバラです
    • ここまで一致しないことも珍しいとは思いますが……
    立場 評価者 基本値 ベクトル文字列
    JVN JPCERT/CC 6.1 AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H
    NVD※ NIST 7.1 AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
    開発者 トレンドマイクロ社 6.2 AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    ※NVD だけ v3.1 で評価していますが、v3.0 と v3.1 のスコアにはほぼ差がないので、バージョンの違いは
    本質的ではありません

    View full-size slide

  15. 問題点③
    パッチ適用の基準には
    ならない (本当は)

    View full-size slide

  16. パッチ適用の基準にはならない
    • CVSS はあくまで「技術的な深刻度」の評価
    • ある組織が迅速にパッチ適用すべきかどうかという問
    いに答えるためのものではない
    • あえて言えば、現状評価・環境評価が役立つはず
    • しかし、ほとんどの組織は現状/環境評価をせず、外
    部機関が発表した基本値だけで判断しようとします
    ……
    基本値 7.0 以上は
    すぐ対応しろ!!!
    何か意味
    あるのかな……
    画像借用:いらすとや https://www.irasutoya.com/

    View full-size slide

  17. 問題点④
    基本値が
    特定のレンジに偏る

    View full-size slide

  18. スコアが偏りやすい
    • 全体的に v2 では「中くらいの値」、v3 では「高めの
    値」に偏る傾向があります
    • 画像は WhiteSource 社が OSS の脆弱性評価を集計し
    たもの。v2 では ”Medium”、v3 では ”Critical+High”
    の割合が高いことがわかります
    画像は WhiteSource のレポートをもとにした DarkReading の記事から
    https://www.darkreading.com/vulnerabilities---threats/is-cvss-the-right-standard-for-prioritization/a/d-id/1337712

    View full-size slide

  19. スコアが偏りやすい
    • IPA の「JVN iPediaの登録状況」からも読み取れます
    画像は 見やすさのため地の文を除いて上下に並べたもの
    https://www.ipa.go.jp/security/vuln/report/JVNiPedia2020q1.html
    2017年以降に注目してください。
    上下でレンジごとの配色が異なるのでわかりにくいですが、
    「上図の赤色」=「下図の赤色+橙色」
    「上図の橙色」=「下図の黄色」です。
    v3 では 7.0 以上の基本値を持つ脆弱性が半分以上である
    ことがわかります。

    View full-size slide

  20. スコアが偏りやすい
    • 特に v3 では基本値が高く出やすいため、
    「あれもこれも重要! パッチ当てなきゃ!」
    ということになりがちです……
    • 前述したとおり、パッチ適用の判断を CVSS 基本値に依存すること自体間違
    いですけどね……
    • v3と v2 で全然スコアの違う脆弱性も出てきてしまい
    ます(例:画像)
    https://jvn.jp/vu/JVNVU91632701/

    View full-size slide

  21. ポスト CVSS?
    • そんな CVSS に頼らず、独自の脆弱性評価指標をつく
    ろうという動きが!
    ➔悪用可能性指標 (マイクロソフト)
    ➔SSVC (CERT/CC)

    View full-size slide

  22. 悪用可能性指標
    (Microsoft Exploitability Index )
    • マイクロソフト社が自社製品の脆弱性について提供し
    ている指標
    • 「脆弱性の悪用コードの開発の難易度や、悪用コード
    による攻撃が成功する可能性」を示したものとのこと
    • 0~3 の 4段階 (数字が小さいほど悪用されやすい) と
    、きわめてシンプル
    • 詳細はマイクロソフト社のブログ※を参照
    [IT管理者向け] 脆弱性の悪用のしやすさを知る~悪用可能性指標と緩和策
    https://msrc-blog.microsoft.com/2020/01/09/exploitabilityindex/

    View full-size slide

  23. SSVC
    (Stakeholder-Specific Vulnerability Categorization)
    • CVSS の問題点を解決するため、米国 CERT/CC (世界
    最初の CSIRT) が策定中の仕組み
    • 定性的であること、決定木 (decision tree) の形をと
    ること、組織の立場 (パッチ開発者、適用者等) により
    異なることが主な特徴
    • 日本語情報はほぼない
    • 詳細は Github※1 を参照
    • 提唱論文※2もあわせて参照
    ※1 https://github.com/CERTCC/SSVC
    ※2 https://resources.sei.cmu.edu/asset_files/WhitePaper/2019_019_001_636391.pdf
    適用者の場合の一部

    View full-size slide

  24. まとめ
    • CVSS は広く使われていますし、実際役には立ちます
    • が、問題点も抱えています
    • 用途と限界を理解したうえで利用しましょう
    • もしかしたら将来、CVSS に代わる新しい指標がメジ
    ャーになるかも???

    View full-size slide

  25. For more information:
    ●CVSS 全般
    ・Common Vulnerability Scoring System SIG (FIRST)
    https://www.first.org/cvss/
    ・共通脆弱性評価システムCVSS概説 (IPA)
    https://www.ipa.go.jp/security/vuln/CVSS.html
    ・共通脆弱性評価システムCVSS v3概説 (IPA)
    https://www.ipa.go.jp/security/vuln/CVSSv3.html
    ・CVSS計算ソフトウェア多国語版 (IPA)
    https://jvndb.jvn.jp/cvss/
    ●脆弱性情報サイト
    ・JVN (JPCERT/CC、IPA)
    https://jvn.jp/
    ・JVN iPedia (IPA)
    https://jvndb.jvn.jp/
    ・CVE (MITRE)
    https://cve.mitre.org/
    ・NVD (NIST)
    https://nvd.nist.gov/
    ●CVSS 以外の脆弱性評価指標
    ・[IT管理者向け] 脆弱性の悪用のしやすさを知る~悪用可
    能性指標と緩和策
    https://msrc-
    blog.microsoft.com/2020/01/09/exploitabilityindex/
    ・ CERTCC /SSVC
    https://github.com/CERTCC/SSVC
    ●書籍
    あまりないです。あったら教えてください。
    脆弱性管理全般については次の本がおすすめです。
    ・サイバー攻撃 ネット世界の裏側で起きていること
    中島明日香著、2018年、講談社ブルーバックス

    View full-size slide