世界のサイバーセキュリティ・コミュニティは、共通脆弱性暴露プログラム(Common Vulnerabilities and Exposures:CVE)の将来に関する最近の動向を注視してきた。連邦政府による支援の終了の可能性をめぐる不確実性と憶測の期間を経て、現在、米国政府はこのプログラムへの資金提供を継続するようだ。
プログラムの使命を支援し、発展させることを目的とした非営利イニシアティブであるCVE財団の正式設立は、重要な節目となる。連邦政府からの資金提供の継続は歓迎すべき安定性をもたらすが、最近の出来事から、サイバーセキュリティのエコシステム全体における事前対策と回復力の必要性が浮き彫りになっている。
シフトを予測し、積極的に準備する
サイバーセキュリティ・コミュニティでは、CVEプログラムの長期的な持続可能性、中立性、進化をめぐる議論が続いている。先週のVulnConでは 、セキュリティの専門家が脆弱性の開示と調整の将来について議論するために集まった重要な業界イベントであり、多くの人がプログラムの将来について明確になることを期待していた。しかし、その明確化は完全には達成されず、その後数日間はある程度の不確実性が続いた。
望 Nozomi Networksのぞみネットワークスでは、この瞬間のためにかなり前から準備をしてきました。私たちは、変化の可能性を事前に十分に予測し、脆弱性インテリジェンス業務の継続性、回復力、信頼性を確保するために、長年にわたって具体的な対策を講じてきました。
お客様のための継続性と信頼性の確保
以下では、外部の不確実性にかかわらず、混乱を予測し、継続性を維持し、実用的な洞察を提供するために、私たちのアプローチが進化してきた主な分野について概説します:
信頼できるベンダーからの直接取り込み
当社の脆弱性評価チームは、長年にわたり、信頼できるベンダーからの重要な脆弱性の直接取り込みを優先してきました。この戦略は、NVDのエンリッチメントプロセスにおける長年の遅延に対応するために生まれたもので、CVE識別子の有無にかかわらず、遅延を最小限に抑え、タイムリーな可視性を確保する上で不可欠であることが証明されています。
CVE識別子を超えて拡大する
現在のCVE構造には限界があることを認識し、CVE以外の脆弱性識別子をサポートし追跡できるよう、システムと製品を強化してきました。これにより、脆弱性が公式な指定を受けていない場合でも、包括的なカバレッジを維持することが可能になり、顧客の脅威ランドスケープにおける潜在的な盲点をなくすことができます。
多様化するマルチソースインテリジェンス
我々のデータ取り込みパイプラインは、意図的に冗長性と弾力性を持たせており、以下を含む幅広いソースを取り込んでいる:
- ↪CF_200D↩CISA脆弱性強化:CVEデータをCVSSスコア、エクスプロイト可能性、影響を受けるCWEタイプ、実際のエクスプロイトデータ(KEVリストなど)などのコンテキストでリッチ化し、脅威の優先順位付けをより効果的に支援します。
- マンディアントの戦略的インテリジェンス:最前線のインシデントレスポンスと脅威インテリジェンス業務で知られる業界リーダーから、専門家主導の脅威に関する洞察と早期警告をお届けします。これらの洞察は、継続的なパートナーシップの一環として、Mandiantが提供するNozomi Threat Intelligence Expansion Packを通じてお客様に提供されます。
- NVDデータの上書き:国家脆弱性データベース(National Vulnerability Database)の欠落を補完または修正するもので、最近の公式分析や公表の遅れを考えると特に有用。
- 公開データフィードと独自データフィードの組み合わせ:コミュニティが維持する情報源と、独自のリサーチやパートナーとの共同研究による独自の洞察を組み合わせることで、包括的なカバレッジを確保。
このような多様性により、CVEエコシステムの変化にかかわらず、当社のカバー範囲は広範かつ正確であり続ける。
リアルタイム・モニタリングと迅速な適応
私たちは、新たに設立されたCVE Foundationの動向を積極的に注視しています。私たちのチームは、進化するガバナンス構造に技術的にも運営面でも適応できるよう準備しており、より広範なセキュリティ・コミュニティとのシームレスな統合と継続的な連携を確保しています。
地域社会との協働で次を切り開く
Nozomi Networks、効果的な脆弱性管理は集団の責任であると考えています。透明性、コラボレーション、適応性が私たちのアプローチの中心です。
非営利団体主導のCVE組織への移行は、新たな課題をもたらすが、同時に、より包括的でコミュニティ主導のモデルを育成する機会でもある。現在のところ、連邦政府による支援は継続される見通しだが、私たちはプログラムの幅広い進化に注意を払い続けている。将来、スチュワードシップの移行が起こった場合、私たちは、その移行にも適応し、建設的に貢献できる態勢を整えており、脆弱性インテリジェンスのより強靭で協力的な未来の形成に貢献します。
前途
米国政府によるCVEプログラムへの支援継続は歓迎すべきニュースであるが、最近の不確実な時期は、先見性と運用の回復力の重要性を強く思い知らされる結果となった。このプログラムが今後も連邦政府の管理下に置かれるにせよ、将来的に別のモデルに移行するにせよ、私たちはシームレスに適応し、強固な脆弱性情報を提供し続ける用意があります。
CVE財団の進展に伴い、今後も最新情報をお伝えしていきます。その間も、Nozomi Networks 使命は揺らぐことはありません。 threat intelligenceという使命は揺るぎません。
