TrendAI™のZero Day Initiative (ZDI) によるZDI対応の脆弱性はThreat and Exposure Managementで表示され、公開前に高深刻度の脆弱性を事前に把握することができます。
TrendAI Vision One™は、世界最大のベンダーに依存しないバグ報奨金プログラムであるTrendAI™ Zero Day Initiative (ZDI) からのインテリジェンスを統合し、まだ公に開示されていない脆弱性に対するリスクイベントを生成します。ZDIの研究者が脆弱性を発見した場合、影響を受けるベンダーが修正を開発する間、脆弱性の詳細は機密に保たれます。ZDIを利用した脆弱性は、この事前開示期間中に事前警告を提供し、公開アドバイザリやCVEが発行される前に保護措置を講じることができます。
ZDIの責任ある情報開示プロセスは次の段階に従います。
-
セキュリティ研究者が脆弱性をZDIに提出します。
-
ZDIは、内部事前開示追跡識別子としてZDI-CAN ID (例: ZDI-CAN-28894) を割り当て、影響を受けるベンダーに通知します。
-
ベンダーは通常、修正を開発してリリースするまでに120日かかります。
-
公開時に、ZDIはZDI ID (例: ZDI-25-423) を含むアドバイザリを公開します。ベンダーが脆弱性を認めた場合、CVE IDが割り当てられます。一部の脆弱性にはCVE IDが割り当てられないことがあります。
TrendAI Vision One™は、ZDI脆弱性の開示フェーズに基づいて以下のリスクイベントタイプを生成します。各アセットは、脆弱性ごとに1つのリスクイベントを受け取ります。ZDIを利用した脆弱性は、関連するCVEリスクイベントにリンクされ、同じアセット上で同じ脆弱性に対して重複しません。
ZDI対応リスクイベントタイプ
|
リスクイベントタイプ
|
説明
|
開示フェーズ
|
|
ZDI脆弱性警告
|
アセットが事前公開ZDI脆弱性の影響を受けることが知られているソフトウェアバージョンを実行していると検出されたときに生成されます。脆弱性の詳細は、ベンダーパッチが利用可能になるか、ZDI公開期限が過ぎるまで開示されません。
|
事前開示 (ZDI-CAN IDのみ)
|
|
タイムクリティカルな脆弱性の警告
|
ZDIが脆弱性を公表し、アセットが影響を受けていると検出された場合に生成されます。脆弱性はゼロデイ (パッチが利用不可) またはNデイ (パッチが利用可能だがまだ適用されていない)
脆弱性である可能性があります。
|
開示後 (ZDI ID割り当て済み)
|
ZDIの脆弱性プロファイルには、ZDIの脆弱性のライフサイクル全体を示す開示タイムラインが含まれています。これは、最初の発見からベンダーへの通知、攻撃防止/検出ルールの利用可能性、公表、パッチリリースまでをカバーしています。タイムラインは、脆弱性が各フェーズを進むにつれて更新されます。
ZDIによって特定された脆弱性は[Threat and Exposure Management]にZDIバッジで表示されます。特定のZDI脆弱性を識別子で見つけるには、ZDI-CAN IDまたはZDI IDで検索してください。CVEが割り当てられている場合でも、ZDI識別子を使用して脆弱性を見つけることができます。
各ZDI脆弱性プロファイルには、以下の情報が表示されます。
ZDI脆弱性プロファイルの詳細
|
説明
|
説明
|
|
Common Vulnerability Scoring System (CVSS) スコア
|
脆弱性の特性に基づく重大度スコア。
|
|
影響を受けるベンダーと製品
|
脆弱性に関連するベンダー名と製品名。
|
|
脆弱性のあるバージョン
|
利用可能な情報に基づいて検証済み、確認された脆弱なバージョンと可能性のある脆弱なバージョン。
|
|
開示タイムライン
|
脆弱性ライフサイクルの段階的なビューには、ベンダー通知、攻撃防止/検出ルールの利用可能性、公開開示、およびパッチリリースのマイルストーンが表示されます。
|
|
攻撃防止/検出ルール
|
ネットワークセキュリティやEndpoint SecurityなどのTrendAI Vision One™機能を通じて適用される脆弱性に対する攻撃防止/検出ルール。
|
|
軽減策のオプション
|
影響を受けたアセットのリスク露出を軽減するための推奨アクション。
|
|
参照情報
|
ZDIアドバイザリおよびその他の関連ソースへのリンク。
|
アセットでZDIによる脆弱性が検出された場合、以下の緩和策を使用して悪用を防ぐことができます。
ZDIリスクイベントの緩和策
|
測定
|
説明
|
|
攻撃防止/検出ルールを適用する
|
脆弱性に対する攻撃防止/検出ルールが利用可能な場合、公式ベンダーパッチが開発中の間にリスクの露出を減らすために、推奨される機能を通じてそれらを適用してください。
|
|
影響を受けたエンドポイントを隔離
|
攻撃防止/検出ルールが利用できない場合や、積極的な悪用が疑われる場合は、潜在的な脅威の拡散を防ぐために影響を受けたエンドポイントを隔離してください。
|
|
アプリケーションの露出を制限する
|
Windowsアプリケーションの脆弱性については、に移動し、影響を受けたアプリケーションを見つけて、パッチが利用可能になるまでアプリケーションが実行されないように[信頼されていない]としてマークしてください。
|
|
監視を強化する
|
影響を受けたアセットの監視を強化し、通常と異なる活動を早期に検出し、潜在的な悪用の試みを特定します。
|
|
パッチ適用の計画を立てる
|
ZDIによって提供される脆弱性は、ベンダーパッチが公開される前に事前通知を行います。このリードタイムを利用して、修正がリリースされた際に影響を受けるアセットを迅速に修正できるように、パッチワークフローを準備してください。
|