短くなっていく猶予

世の中にはたくさんのソフトウェアがあります。
たくさんのソフトウェアにはたくさんの機能があります。
たくさんの便利な機能があると、それらのなかには大抵なんらかの脆弱性が含まれてしまうと考えられます。
しかし私たちは便利さを諦めることではなく、安全に便利さを利用することを選択することが多くなります。
つまり、便利なソフトウェアを利用することを選択し、そのソフトウェアが安全な状態であることを保とうとします。

ソフトウェアが安全な状態を保つにはどうすればよいでしょう。
日々案内される脆弱性の情報を把握し、タイムリーに必要なものを自分たちの利用しているシステムに適用していくことになるでしょう。
思いついたときに適用する、という方式だとうっかり適用することが遅くなることもあるでしょうから、スケジュール化して適用することを日々の業務にしてしまうことが良いでしょう。
そういったよい流れを作れている組織は健全だと思います。

しかし、では、その適切なパッチ適用業務のインターバルというのは果たしてどのくらいの間隔なのでしょうか。

いろいろな脅威アクターがいます。
なかには何年も前の脆弱性の悪用に今でも頼っているというケースも少なくありません。
しかしその一方で、最新の脆弱性を素早く悪用する例も見逃せない状況となっています。

最近確認されている例ではこの悪用までの時間がどんどん短くなってきていることが確認されています。
なんと、CVEが案内されてから15分以内に脆弱性のスキャンが開始されているというのです。

もちろんスキャンされてすぐにそのまま侵害に至るということばかりではないと思われます。
しかし、脆弱であるということが把握されてしまった場合、あなたの組織の機器の情報がその脆弱性のあるシステム一覧の1つのentryとなって脅威アクターに販売されてしまうかもしれません。

例として1つ挙げますと、F5 BIG-IP認証バイパス脆弱性（CVE-2022-1388）という2022年5月に公開された脆弱性がありますが、この例の場合はわずか10時間以内にシグネチャが2,552回トリガーされました。
シグネチャに引っかかったものでこの数です。
IPS的な機器のシグネチャに引っかかったものは脆弱性の存在を収集されることはなかった可能性がありますが、IDS的な機能しか有していない環境では情報を収集されてしまったことでしょう。
そういった機能の機器を配備していない環境はいったいどのくらいあったのでしょうか。
インターネット全体で考えた場合、合計でいったいどれほどの試みが実施されたのでしょう。
ぞっとします。

15分よりも短い間隔で常に保有するすべての機器にパッチを適用することを継続する。
そんなことはできるわけがありません。
しかしせめて、思いつきでパッチ適用を行う体制ではなく、パッチ適用を定期的な通常業務として実施する体制は必要ということなのかもしれません。

参考記事（外部リンク）：Attackers Move Quickly to Exploit High-Profile Zero Days:
Insights From the 2022 Unit 42 Incident Response Report
unit42.paloaltonetworks.com/incident-response-report/