テナブル、「攻撃側の先行者利益を定量化する」レポートを発表
- 2018/06/22 10:00
- SecurityInsight
テナブル・ネットワーク・セキュリティ・ジャパンは6月20日、「攻撃側の先行者利益を定量化する」レポートを発表した。これは、同社のTenable Researchが、特定の脆弱性に関してエクスプロイトが一般に公開される時点と、その脆弱性が最初に評価される時点の差についてレポートしたものとなっている。レポートは同社のサイトからダウンロードすることができる。その概要は以下のとおり。
この調査において、2017年後半に3か月にわたって実施された200,000もの脆弱性評価スキャンに基づいて、最も広く見られた重大度の高い50の脆弱性を分析し、その分析を現実と照らし合わせた。このような脆弱性を利用して、「エクスプロイトが公開される時点」と「評価される時点」を割り出し、中央値の差分を計算する。
この差分が、この競争における防御側と攻撃側の双方の最初の動きを表す。この値は双方の完全なOODAループ(観察、情報判断、意思決定、行動)を表すものではなく、どちらが最も良いスタートを切り、最終的にどちらが勝利するかを示すものとなる。
負の差分は、攻撃側に、防御側が脆弱性を認識するまでに脆弱性をエクスプロイトできる期間があることを意味する。
同社の分析によると、中央値の差分は-7.3日だった。エクスプロイトが利用できるようになった時点が平均で5.5日であるのに対し、評価された時点は平均で12.8日だった。攻撃側は防御側よりも平均で7日間先行した。
分析された脆弱性に対して、76%の負の差分に。そのため、脆弱性ごとの基準で、攻撃側は多くの場合先行者利益を得ていることが分かる。差分が正になるのは、通常、防御側のスキャン頻度が迅速であることではなく、エクスプロイトが公開されるまでに非常に長い時間がかかったことが原因。
最も広く見られた50の脆弱性のうち24%が、マルウェア、ランサムウェア、またはエクスプロイトキットによって、際限なく頻繁に出回っている。そのうちのさらに14%が、メディアで取り上げられるほど深刻なもの。サンプルセットに含まれている脆弱性は、DisdainおよびTerrorエクスプロイトキット、CerberおよびStorageCryptランサムウェア、さらにはBlack OasisなどのAPTグループがFinSpy監視ソフトウェアをインストールする際にターゲットとされている。