Tenable Network Securityは6月20日、同社のデータサイエンスチーム「Tenable Research」が 『攻撃側の先行者利益を定量化』したレポートを公開したと発表した。

同レポートは、2017年の3カ月の間に行われた20万件の脆弱性評価スキャンに基づいて、上位50の脆弱性を分析したもの。

攻撃側のリードを定量化することは、 防御する側がどの程度の遅れをとっており、 そのギャップを埋めるために何をすべきかを判断するための助けとなるという。

同レポートでは、 特定の脆弱性に関してエクスプロイトが一般に公開された時点(エクスプロイト可用性時間=Time to Exploit Availability:TtE)と、 セキュリティチームがシステムで最初に評価する時点(評価時間=Time to Assess:TtA)の差を日数で測定。

この差分が、 防御側と攻撃側双方の初動の差を表す。負の差分は、攻撃側に、 防御側が脆弱性を認識・評価するまでに脆弱性をエクスプロイトできる期間があったことを示している。

調査の結果、防御側が脆弱性を初めて評価するまでの差分の中央値は 約7日間と判明したという。 この間、 攻撃側が脆弱性をエクスプロイトする期間が生じていたことになる。

今回分析した脆弱性の76%が負の差分となった。 このことからも、 攻撃側は多くの場合、 先行者利益を得ていることが明らかである。

また、今回分析した脆弱性の34%は、 脆弱性が開示されたその日のうちに、 エクスプロイトも公開され利用可能となっていた。

今回分析した上位50の脆弱性の24%が、 マルウェア、 ランサムウェア、 またはエクスプロイトキットによって、 際限なく頻繁に出回っているものだったという。そのうちの14%が、 メディアで取り上げられるほど深刻なものだった。

サンプルセットに含まれている脆弱性は、 DisdainおよびTerrorエクスプロイトキット、 CerberおよびStorageCryptランサムウェア、 さらにはBlack OasisなどのAPTグループがFinSpy監視ソフトウェアをインストールする際にターゲットとされている。

  • 攻撃側は防御側に対し、常に先行している