先頃のBlack Hat USA 2021で、クラウドインフラストラクチャ企業のWizのセキュリティ専門家は、クラウドの脆弱性に関するCVEデータベースが必要であると主張し、クラウドとサイバーセキュリティのコミュニティで議論を始めた。
識別番号を含むエントリのリスト、およびセキュリティの脆弱性に関する少なくとも1つの公開参照である、CVEシステムのサポートがなければ、クラウドサービスに影響を与える問題を追跡および管理することは困難だ。
クラウドの脆弱性のリポジトリが現在不足していることは、ラスベガスで開催されたコンピュータセキュリティカンファレンスで活性化した。Wizの共同創設者兼CTOであるAmi Luttwak氏とWizの研究責任者であるShir Tamari氏は、AWSで発生する可能性のある脆弱性と認識の重要性について話し合いながら、現在の状況について説明した:
IAMの脆弱性は、NISTによって追跡されておらず、CVEもありません。また、IAMの脆弱性スキャン結果を提供するスキャンツールもありません。その結果、ほとんどの顧客は脆弱なIAMポリシーを実行しており、それらを修正するプロセスがありません。さらに、AWSがIAMポリシーに対して何百ものセキュリティ更新プログラムを発行していることを発見しましたが、セキュリティチームには、それらをスキャンして修正を優先するツールがありません。ID関連の脆弱性はクラウド環境における主要な攻撃対象領域であるため、IAM CVEの問題に対するコミュニティの認識を高めることが重要です。
彼らはSlackチャネルを開始して、CVE提案に取り組み、調査結果を記事に記録した。attrition.orgのCSOであるBrian Martin氏は、次のように述べている:
この特定の分野で最も長い歴史を持っているかもしれない2人のうちの1人 (もう1人はJake Kouns氏) として、私はいくつかの歴史を与えたいと思いました (...)。まず、観点から、CVEは少なくとも56の純粋なクラウド/サイト固有の脆弱性をカバーしています。最初の脆弱性は2000年までさかのぼります (...) 時々、CVE (編集) 委員会の一部は他の人がそれに反対している一方で、CVEはクラウドの脆弱性をカバーするように拡張することを提唱しました。
Dark Readingでレポートされているように、AmazonはWizの調査結果にある脆弱性に異議を唱えている。Red HatのシニアセキュリティアナリストであるFlorencio Cano氏は、AWSの例について次のようにコメントしている:
クラウドサービスにCVEに似たものが必要であることに同意します。ただし、リスクではなく、脆弱性に焦点を当てるべきだと思います。弱いデフォルトが脆弱なデフォルトではなく、正しい構成が脆弱性を軽減するものではありません。また、どのサービスが脆弱性を「所有」するかについても注意する必要があります。
クラウドのCVEに関する議論が始まったのは今回が初めてではない。3年前Cloud Security Alliance (CSA) のITディレクターであるKurt Seifried氏と、当時CSAのリサーチアナリストであったVictor Chin氏が、現在のCVEルールの課題を強調した記事を書いた。彼らは主な制限について説明した:
たとえば、包含ルールの1つであるINC3では、脆弱性にCVE IDを割り当てる必要があるのは、それが顧客が制御しているか顧客がインストール可能である場合のみであると述べています (...) INC3は、現在の言葉で言えば、ますますクラウドサービスによって支配されている世界に問題があります。(...) これは、現在私たちが理解しているように、クラウドサービスを顧客が管理していないためです。その結果、クラウドサービスの脆弱性には通常CVE IDが割り当てられません。回避策、影響を受けるソフトウェアまたはハードウェアのバージョン、概念実証、参照、パッチなどの情報は、通常CVE IDに関連付けられているため、利用できません。
最近の記事で、CSAの共同創設者兼最高経営責任者であるJim Reavis氏が、CSAがこの問題にどのように対処したいかについて最新情報を提供した。解決策はまだ議論されている一方で、Martinは警告を出している:
ただ、このようなプロジェクトが軌道に乗らないことよりも悪いことは、軌道に乗ってセキュリティプログラムの不可欠な部分になり、その後消えてしまうことです。