コード化者がセキュリティインフラをコードの連鎖として掌握:セキュリティ機能が無効化される
現代のサイバーセキュリティ脅威は遍在し、絶え間なく襲いかかる。生活のあらゆる側面がデジタル化されるにつれ、サイバー犯罪者の狙いは拡大する。保護すべきコードは膨大であり、個人データは極めて高価だからだ。そして、プログラム展開後に攻撃対象領域のあらゆる側面を防御し、その変化に追いつこうとすることは、もはやほぼ不可能となっている。
これらの症状を緩和できるアプローチが存在し、その一つは賢明な組織がインフラストラクチャ・アズ・コード(IaC)の概念を採用する際に明らかになる。もちろん、あらゆる開発と同様に、いくつかのセキュリティ上の障害を乗り越える必要がある。開発者がアプリケーションをホストするための重要なインフラを生成するコードに取り組んでいる以上、プロセスの各段階でセキュリティ意識が不可欠である。
では、クラウドサーバー環境で新たに開発を始めた開発者は、具体的にどのようにスキルを向上させ、ノウハウを学び、セキュリティ意識を高めて構築に取り組めばよいのでしょうか?私たちは、IaC(Infrastructure as Code)の最も一般的な脆弱性に対処するため、次期シリーズ「Coders Conquer Security」を立ち上げました。今後のブログでは、開発者であるあなたが自社組織で安全なインフラストラクチャ・アズ・コードの実装を開始するために講じられる対策に焦点を当てていきます。
さあ、始めましょう。
アメリカの西部開拓時代を舞台にした寓話がある。ある男が、強盗が襲って家を荒らすのではないかと偏執的に恐れていた。その不安を解消するため、彼はあらゆる防犯対策に投資した。頑丈な玄関ドアを取り付け、窓をすべて塞ぎ、手の届く場所に多くの武器を置いたのだ。それでもある夜、彼が眠っている間に強盗に遭ってしまった。なぜなら、彼は横のドアを閉めるのを忘れていたからだ。 強盗たちは単に施錠されていないドアを見つけ、素早くその隙を突いたのだ。
インフラストラクチャのセキュリティ機能を無効化することは、それに非常に似ています。たとえネットワークが堅牢なセキュリティ基盤を備えていても、一部の要素が無効化されていれば、ほとんど意味がありません。
本題に入る前に、一つ挑戦を提案させてください:
上記のリンクをクリックすると、ゲーミフィケーションを採用したトレーニングプラットフォームにアクセスできます。そこで、現在無効化されているセキュリティ機能の脆弱性を排除する練習が可能です。(注意:Kubernetesで起動しますが、ドロップダウンメニューからDocker、CloudFormation、Terraform、Ansibleを選択できます)。
どうだった?まだやるべきことがあるなら、読み続けてください:
セキュリティ機能は無効化される場合があります。一部のアプリケーションやフレームワークはデフォルトで無効化されており、動作させるにはまず有効化する必要があります。また、管理者が特定のタスクを容易に実行するため(例:AWS S3バケットを公開する)、頻繁な警告やブロックに直面せずに済むよう、特定のセキュリティ機能を無効化している可能性もあります。 作業終了後、無効化した機能を再有効化するのを忘れる場合があります。また、将来の作業を容易にするため、意図的に無効状態を維持する場合もあります。
セキュリティ機能が無効化されていると、なぜそれほど危険なのか
セキュリティ機能を1つ以上無効化することは、いくつかの理由から好ましくありません。第一に、セキュリティ機能は既知のエクスプロイト、脅威、脆弱性からインフラストラクチャを保護するためにリソースに組み込まれています。無効化すると、リソースを保護できなくなります。
攻撃者は常に、まず簡単に悪用できる脆弱性を探そうとし、一般的な弱点をスキャンするスクリプトさえ使用することがあります。これは、窓を割るよりもはるかに簡単な方法として、通りにあるすべての車のドアが開いていないか確認する泥棒のようなものです。 ハッカーは、一般的なセキュリティ防御が無効になっていることに気づくと驚くだろう。しかし、そうなった場合、彼らがそれを悪用するまでそう時間はかからない。
第二に、優れたセキュリティ対策を施した後でそれを無効化すると、偽りの安心感が生まれます。管理者は、誰かがそれらの防御機能を無効化したことを知らなければ、最も一般的な脅威から保護されていると思い込む可能性があります。
セキュリティ機能を無効化した攻撃者が悪用する例として、AWS S3のパブリックアクセスブロック機能を考えてみましょう。Amazon S3のパブリックアクセスブロックにより、アカウント管理者やバケット所有者は、Amazon S3リソースへのパブリックアクセスを制限する集中管理型制御を簡単に設定できます。 しかし、S3バケットへのアクセスに問題を抱える一部の管理者は、作業を急いで完了させるため、一時的に公開設定を選択することがあります。このセキュリティ機能を有効化するのを忘れた場合、攻撃者はそのS3バケットに保存された情報に完全なアクセス権を得ることになります。これにより情報の漏洩が発生するだけでなく、データ転送料による追加コストも発生します。
実際のコードをいくつか比較してみましょう。以下のCloudFormationのスニペットを参照してください:
ヴァルネラブル。
企業用キューブ:
タイプ: AWS: :S3: :Bucket
プロパティ:
パブリックアクセスブロック設定:
blockPublicACLS: false
BlockPublicPolicy: false
ignorePublicacls: false
restrictPublicBuckets: false
バージョン管理設定:
状態: 有効
バケット暗号化:
サーバーサイド暗号化設定:
- デフォルトのサーバーサイド暗号化:
SSEアルゴリズム: 「AES256」
セグロ:
コーポレートバケット:
タイプ: AWS: :S3: :Bucket
プロパティ:
パブリックアクセスブロック設定:
BlockPublicACLS: true
BlockPublicPolicy: true
ignorePublicacls: true
RestrictPublicBuckets: true
バージョン管理の設定:
状態: 有効
バケットの暗号化:
サーバーサイド暗号化の設定:
- デフォルトのサーバーサイド暗号化:
SSEアルゴリズム: 「AES256」
無効化されたセキュリティ機能を防止する
セキュリティ機能を無効化することで組織に悪影響が生じるのを防ぐことは、方針と実践の両面に関わる問題である。 セキュリティ機能を無効化すべき状況は極めて限定的である旨を定めた厳格なポリシーが存在する必要があります。問題解決やアプリケーション更新のため一時的に機能を無効化する必要が生じた事象は記録すべきです。必要な作業完了後は、機能が完全に再有効化されていることを確認する必要があります。
セキュリティ機能を恒久的に無効化して運用を効率化する場合、既定の保護が失われることでハッカーがデータにアクセスできないよう、影響を受けるデータに対して代替の保護策を講じる必要があります。必要な保護機能を無効化した場合、攻撃者がその隙を突いて侵入するのは時間の問題です。
さらに詳しく知る、自分自身に挑戦する:
Secure Code Warrior をチェックしよう Secure Code Warrior ブログページをご覧ください。この脆弱性に関する詳細や、組織と顧客を他のセキュリティ上の欠陥や脆弱性の被害から守る方法について知ることができます。
この投稿を読んだ今、この脆弱性を見つけて修正する準備はできていますか?さあ、実行しましょう!Secure Code Warrior プラットフォームでiMac向けのゲーミフィケーション型セキュリティチャレンジに挑戦し Secure Code Warrior サイバーセキュリティスキルを磨き続け、最新Secure Code Warrior
これはインフラストラクチャ・アズ・コードにおける主要な8つの脆弱性を毎週取り上げるシリーズです。来週もぜひご覧ください!
攻撃者は常に、まず簡単に悪用できる脆弱性を見つけようと試み、一般的な弱点をスキャンするスクリプトさえ使用することがあります。これは、通りにあるすべての車のドアが開いていないか確認する泥棒のようなもので、窓を割るよりもはるかに簡単なのです。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
現代のサイバーセキュリティ脅威は遍在し、絶え間なく襲いかかる。生活のあらゆる側面がデジタル化されるにつれ、サイバー犯罪者の狙いは拡大する。保護すべきコードは膨大であり、個人データは極めて高価だからだ。そして、プログラム展開後に攻撃対象領域のあらゆる側面を防御し、その変化に追いつこうとすることは、もはやほぼ不可能となっている。
これらの症状を緩和できるアプローチが存在し、その一つは賢明な組織がインフラストラクチャ・アズ・コード(IaC)の概念を採用する際に明らかになる。もちろん、あらゆる開発と同様に、いくつかのセキュリティ上の障害を乗り越える必要がある。開発者がアプリケーションをホストするための重要なインフラを生成するコードに取り組んでいる以上、プロセスの各段階でセキュリティ意識が不可欠である。
では、クラウドサーバー環境で新たに開発を始めた開発者は、具体的にどのようにスキルを向上させ、ノウハウを学び、セキュリティ意識を高めて構築に取り組めばよいのでしょうか?私たちは、IaC(Infrastructure as Code)の最も一般的な脆弱性に対処するため、次期シリーズ「Coders Conquer Security」を立ち上げました。今後のブログでは、開発者であるあなたが自社組織で安全なインフラストラクチャ・アズ・コードの実装を開始するために講じられる対策に焦点を当てていきます。
さあ、始めましょう。
アメリカの西部開拓時代を舞台にした寓話がある。ある男が、強盗が襲って家を荒らすのではないかと偏執的に恐れていた。その不安を解消するため、彼はあらゆる防犯対策に投資した。頑丈な玄関ドアを取り付け、窓をすべて塞ぎ、手の届く場所に多くの武器を置いたのだ。それでもある夜、彼が眠っている間に強盗に遭ってしまった。なぜなら、彼は横のドアを閉めるのを忘れていたからだ。 強盗たちは単に施錠されていないドアを見つけ、素早くその隙を突いたのだ。
インフラストラクチャのセキュリティ機能を無効化することは、それに非常に似ています。たとえネットワークが堅牢なセキュリティ基盤を備えていても、一部の要素が無効化されていれば、ほとんど意味がありません。
本題に入る前に、一つ挑戦を提案させてください:
上記のリンクをクリックすると、ゲーミフィケーションを採用したトレーニングプラットフォームにアクセスできます。そこで、現在無効化されているセキュリティ機能の脆弱性を排除する練習が可能です。(注意:Kubernetesで起動しますが、ドロップダウンメニューからDocker、CloudFormation、Terraform、Ansibleを選択できます)。
どうだった?まだやるべきことがあるなら、読み続けてください:
セキュリティ機能は無効化される場合があります。一部のアプリケーションやフレームワークはデフォルトで無効化されており、動作させるにはまず有効化する必要があります。また、管理者が特定のタスクを容易に実行するため(例:AWS S3バケットを公開する)、頻繁な警告やブロックに直面せずに済むよう、特定のセキュリティ機能を無効化している可能性もあります。 作業終了後、無効化した機能を再有効化するのを忘れる場合があります。また、将来の作業を容易にするため、意図的に無効状態を維持する場合もあります。
セキュリティ機能が無効化されていると、なぜそれほど危険なのか
セキュリティ機能を1つ以上無効化することは、いくつかの理由から好ましくありません。第一に、セキュリティ機能は既知のエクスプロイト、脅威、脆弱性からインフラストラクチャを保護するためにリソースに組み込まれています。無効化すると、リソースを保護できなくなります。
攻撃者は常に、まず簡単に悪用できる脆弱性を探そうとし、一般的な弱点をスキャンするスクリプトさえ使用することがあります。これは、窓を割るよりもはるかに簡単な方法として、通りにあるすべての車のドアが開いていないか確認する泥棒のようなものです。 ハッカーは、一般的なセキュリティ防御が無効になっていることに気づくと驚くだろう。しかし、そうなった場合、彼らがそれを悪用するまでそう時間はかからない。
第二に、優れたセキュリティ対策を施した後でそれを無効化すると、偽りの安心感が生まれます。管理者は、誰かがそれらの防御機能を無効化したことを知らなければ、最も一般的な脅威から保護されていると思い込む可能性があります。
セキュリティ機能を無効化した攻撃者が悪用する例として、AWS S3のパブリックアクセスブロック機能を考えてみましょう。Amazon S3のパブリックアクセスブロックにより、アカウント管理者やバケット所有者は、Amazon S3リソースへのパブリックアクセスを制限する集中管理型制御を簡単に設定できます。 しかし、S3バケットへのアクセスに問題を抱える一部の管理者は、作業を急いで完了させるため、一時的に公開設定を選択することがあります。このセキュリティ機能を有効化するのを忘れた場合、攻撃者はそのS3バケットに保存された情報に完全なアクセス権を得ることになります。これにより情報の漏洩が発生するだけでなく、データ転送料による追加コストも発生します。
実際のコードをいくつか比較してみましょう。以下のCloudFormationのスニペットを参照してください:
ヴァルネラブル。
企業用キューブ:
タイプ: AWS: :S3: :Bucket
プロパティ:
パブリックアクセスブロック設定:
blockPublicACLS: false
BlockPublicPolicy: false
ignorePublicacls: false
restrictPublicBuckets: false
バージョン管理設定:
状態: 有効
バケット暗号化:
サーバーサイド暗号化設定:
- デフォルトのサーバーサイド暗号化:
SSEアルゴリズム: 「AES256」
セグロ:
コーポレートバケット:
タイプ: AWS: :S3: :Bucket
プロパティ:
パブリックアクセスブロック設定:
BlockPublicACLS: true
BlockPublicPolicy: true
ignorePublicacls: true
RestrictPublicBuckets: true
バージョン管理の設定:
状態: 有効
バケットの暗号化:
サーバーサイド暗号化の設定:
- デフォルトのサーバーサイド暗号化:
SSEアルゴリズム: 「AES256」
無効化されたセキュリティ機能を防止する
セキュリティ機能を無効化することで組織に悪影響が生じるのを防ぐことは、方針と実践の両面に関わる問題である。 セキュリティ機能を無効化すべき状況は極めて限定的である旨を定めた厳格なポリシーが存在する必要があります。問題解決やアプリケーション更新のため一時的に機能を無効化する必要が生じた事象は記録すべきです。必要な作業完了後は、機能が完全に再有効化されていることを確認する必要があります。
セキュリティ機能を恒久的に無効化して運用を効率化する場合、既定の保護が失われることでハッカーがデータにアクセスできないよう、影響を受けるデータに対して代替の保護策を講じる必要があります。必要な保護機能を無効化した場合、攻撃者がその隙を突いて侵入するのは時間の問題です。
さらに詳しく知る、自分自身に挑戦する:
Secure Code Warrior をチェックしよう Secure Code Warrior ブログページをご覧ください。この脆弱性に関する詳細や、組織と顧客を他のセキュリティ上の欠陥や脆弱性の被害から守る方法について知ることができます。
この投稿を読んだ今、この脆弱性を見つけて修正する準備はできていますか?さあ、実行しましょう!Secure Code Warrior プラットフォームでiMac向けのゲーミフィケーション型セキュリティチャレンジに挑戦し Secure Code Warrior サイバーセキュリティスキルを磨き続け、最新Secure Code Warrior
これはインフラストラクチャ・アズ・コードにおける主要な8つの脆弱性を毎週取り上げるシリーズです。来週もぜひご覧ください!
現代のサイバーセキュリティ脅威は遍在し、絶え間なく襲いかかる。生活のあらゆる側面がデジタル化されるにつれ、サイバー犯罪者の狙いは拡大する。保護すべきコードは膨大であり、個人データは極めて高価だからだ。そして、プログラム展開後に攻撃対象領域のあらゆる側面を防御し、その変化に追いつこうとすることは、もはやほぼ不可能となっている。
これらの症状を緩和できるアプローチが存在し、その一つは賢明な組織がインフラストラクチャ・アズ・コード(IaC)の概念を採用する際に明らかになる。もちろん、あらゆる開発と同様に、いくつかのセキュリティ上の障害を乗り越える必要がある。開発者がアプリケーションをホストするための重要なインフラを生成するコードに取り組んでいる以上、プロセスの各段階でセキュリティ意識が不可欠である。
では、クラウドサーバー環境で新たに開発を始めた開発者は、具体的にどのようにスキルを向上させ、ノウハウを学び、セキュリティ意識を高めて構築に取り組めばよいのでしょうか?私たちは、IaC(Infrastructure as Code)の最も一般的な脆弱性に対処するため、次期シリーズ「Coders Conquer Security」を立ち上げました。今後のブログでは、開発者であるあなたが自社組織で安全なインフラストラクチャ・アズ・コードの実装を開始するために講じられる対策に焦点を当てていきます。
さあ、始めましょう。
アメリカの西部開拓時代を舞台にした寓話がある。ある男が、強盗が襲って家を荒らすのではないかと偏執的に恐れていた。その不安を解消するため、彼はあらゆる防犯対策に投資した。頑丈な玄関ドアを取り付け、窓をすべて塞ぎ、手の届く場所に多くの武器を置いたのだ。それでもある夜、彼が眠っている間に強盗に遭ってしまった。なぜなら、彼は横のドアを閉めるのを忘れていたからだ。 強盗たちは単に施錠されていないドアを見つけ、素早くその隙を突いたのだ。
インフラストラクチャのセキュリティ機能を無効化することは、それに非常に似ています。たとえネットワークが堅牢なセキュリティ基盤を備えていても、一部の要素が無効化されていれば、ほとんど意味がありません。
本題に入る前に、一つ挑戦を提案させてください:
上記のリンクをクリックすると、ゲーミフィケーションを採用したトレーニングプラットフォームにアクセスできます。そこで、現在無効化されているセキュリティ機能の脆弱性を排除する練習が可能です。(注意:Kubernetesで起動しますが、ドロップダウンメニューからDocker、CloudFormation、Terraform、Ansibleを選択できます)。
どうだった?まだやるべきことがあるなら、読み続けてください:
セキュリティ機能は無効化される場合があります。一部のアプリケーションやフレームワークはデフォルトで無効化されており、動作させるにはまず有効化する必要があります。また、管理者が特定のタスクを容易に実行するため(例:AWS S3バケットを公開する)、頻繁な警告やブロックに直面せずに済むよう、特定のセキュリティ機能を無効化している可能性もあります。 作業終了後、無効化した機能を再有効化するのを忘れる場合があります。また、将来の作業を容易にするため、意図的に無効状態を維持する場合もあります。
セキュリティ機能が無効化されていると、なぜそれほど危険なのか
セキュリティ機能を1つ以上無効化することは、いくつかの理由から好ましくありません。第一に、セキュリティ機能は既知のエクスプロイト、脅威、脆弱性からインフラストラクチャを保護するためにリソースに組み込まれています。無効化すると、リソースを保護できなくなります。
攻撃者は常に、まず簡単に悪用できる脆弱性を探そうとし、一般的な弱点をスキャンするスクリプトさえ使用することがあります。これは、窓を割るよりもはるかに簡単な方法として、通りにあるすべての車のドアが開いていないか確認する泥棒のようなものです。 ハッカーは、一般的なセキュリティ防御が無効になっていることに気づくと驚くだろう。しかし、そうなった場合、彼らがそれを悪用するまでそう時間はかからない。
第二に、優れたセキュリティ対策を施した後でそれを無効化すると、偽りの安心感が生まれます。管理者は、誰かがそれらの防御機能を無効化したことを知らなければ、最も一般的な脅威から保護されていると思い込む可能性があります。
セキュリティ機能を無効化した攻撃者が悪用する例として、AWS S3のパブリックアクセスブロック機能を考えてみましょう。Amazon S3のパブリックアクセスブロックにより、アカウント管理者やバケット所有者は、Amazon S3リソースへのパブリックアクセスを制限する集中管理型制御を簡単に設定できます。 しかし、S3バケットへのアクセスに問題を抱える一部の管理者は、作業を急いで完了させるため、一時的に公開設定を選択することがあります。このセキュリティ機能を有効化するのを忘れた場合、攻撃者はそのS3バケットに保存された情報に完全なアクセス権を得ることになります。これにより情報の漏洩が発生するだけでなく、データ転送料による追加コストも発生します。
実際のコードをいくつか比較してみましょう。以下のCloudFormationのスニペットを参照してください:
ヴァルネラブル。
企業用キューブ:
タイプ: AWS: :S3: :Bucket
プロパティ:
パブリックアクセスブロック設定:
blockPublicACLS: false
BlockPublicPolicy: false
ignorePublicacls: false
restrictPublicBuckets: false
バージョン管理設定:
状態: 有効
バケット暗号化:
サーバーサイド暗号化設定:
- デフォルトのサーバーサイド暗号化:
SSEアルゴリズム: 「AES256」
セグロ:
コーポレートバケット:
タイプ: AWS: :S3: :Bucket
プロパティ:
パブリックアクセスブロック設定:
BlockPublicACLS: true
BlockPublicPolicy: true
ignorePublicacls: true
RestrictPublicBuckets: true
バージョン管理の設定:
状態: 有効
バケットの暗号化:
サーバーサイド暗号化の設定:
- デフォルトのサーバーサイド暗号化:
SSEアルゴリズム: 「AES256」
無効化されたセキュリティ機能を防止する
セキュリティ機能を無効化することで組織に悪影響が生じるのを防ぐことは、方針と実践の両面に関わる問題である。 セキュリティ機能を無効化すべき状況は極めて限定的である旨を定めた厳格なポリシーが存在する必要があります。問題解決やアプリケーション更新のため一時的に機能を無効化する必要が生じた事象は記録すべきです。必要な作業完了後は、機能が完全に再有効化されていることを確認する必要があります。
セキュリティ機能を恒久的に無効化して運用を効率化する場合、既定の保護が失われることでハッカーがデータにアクセスできないよう、影響を受けるデータに対して代替の保護策を講じる必要があります。必要な保護機能を無効化した場合、攻撃者がその隙を突いて侵入するのは時間の問題です。
さらに詳しく知る、自分自身に挑戦する:
Secure Code Warrior をチェックしよう Secure Code Warrior ブログページをご覧ください。この脆弱性に関する詳細や、組織と顧客を他のセキュリティ上の欠陥や脆弱性の被害から守る方法について知ることができます。
この投稿を読んだ今、この脆弱性を見つけて修正する準備はできていますか?さあ、実行しましょう!Secure Code Warrior プラットフォームでiMac向けのゲーミフィケーション型セキュリティチャレンジに挑戦し Secure Code Warrior サイバーセキュリティスキルを磨き続け、最新Secure Code Warrior
これはインフラストラクチャ・アズ・コードにおける主要な8つの脆弱性を毎週取り上げるシリーズです。来週もぜひご覧ください!
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
現代のサイバーセキュリティ脅威は遍在し、絶え間なく襲いかかる。生活のあらゆる側面がデジタル化されるにつれ、サイバー犯罪者の狙いは拡大する。保護すべきコードは膨大であり、個人データは極めて高価だからだ。そして、プログラム展開後に攻撃対象領域のあらゆる側面を防御し、その変化に追いつこうとすることは、もはやほぼ不可能となっている。
これらの症状を緩和できるアプローチが存在し、その一つは賢明な組織がインフラストラクチャ・アズ・コード(IaC)の概念を採用する際に明らかになる。もちろん、あらゆる開発と同様に、いくつかのセキュリティ上の障害を乗り越える必要がある。開発者がアプリケーションをホストするための重要なインフラを生成するコードに取り組んでいる以上、プロセスの各段階でセキュリティ意識が不可欠である。
では、クラウドサーバー環境で新たに開発を始めた開発者は、具体的にどのようにスキルを向上させ、ノウハウを学び、セキュリティ意識を高めて構築に取り組めばよいのでしょうか?私たちは、IaC(Infrastructure as Code)の最も一般的な脆弱性に対処するため、次期シリーズ「Coders Conquer Security」を立ち上げました。今後のブログでは、開発者であるあなたが自社組織で安全なインフラストラクチャ・アズ・コードの実装を開始するために講じられる対策に焦点を当てていきます。
さあ、始めましょう。
アメリカの西部開拓時代を舞台にした寓話がある。ある男が、強盗が襲って家を荒らすのではないかと偏執的に恐れていた。その不安を解消するため、彼はあらゆる防犯対策に投資した。頑丈な玄関ドアを取り付け、窓をすべて塞ぎ、手の届く場所に多くの武器を置いたのだ。それでもある夜、彼が眠っている間に強盗に遭ってしまった。なぜなら、彼は横のドアを閉めるのを忘れていたからだ。 強盗たちは単に施錠されていないドアを見つけ、素早くその隙を突いたのだ。
インフラストラクチャのセキュリティ機能を無効化することは、それに非常に似ています。たとえネットワークが堅牢なセキュリティ基盤を備えていても、一部の要素が無効化されていれば、ほとんど意味がありません。
本題に入る前に、一つ挑戦を提案させてください:
上記のリンクをクリックすると、ゲーミフィケーションを採用したトレーニングプラットフォームにアクセスできます。そこで、現在無効化されているセキュリティ機能の脆弱性を排除する練習が可能です。(注意:Kubernetesで起動しますが、ドロップダウンメニューからDocker、CloudFormation、Terraform、Ansibleを選択できます)。
どうだった?まだやるべきことがあるなら、読み続けてください:
セキュリティ機能は無効化される場合があります。一部のアプリケーションやフレームワークはデフォルトで無効化されており、動作させるにはまず有効化する必要があります。また、管理者が特定のタスクを容易に実行するため(例:AWS S3バケットを公開する)、頻繁な警告やブロックに直面せずに済むよう、特定のセキュリティ機能を無効化している可能性もあります。 作業終了後、無効化した機能を再有効化するのを忘れる場合があります。また、将来の作業を容易にするため、意図的に無効状態を維持する場合もあります。
セキュリティ機能が無効化されていると、なぜそれほど危険なのか
セキュリティ機能を1つ以上無効化することは、いくつかの理由から好ましくありません。第一に、セキュリティ機能は既知のエクスプロイト、脅威、脆弱性からインフラストラクチャを保護するためにリソースに組み込まれています。無効化すると、リソースを保護できなくなります。
攻撃者は常に、まず簡単に悪用できる脆弱性を探そうとし、一般的な弱点をスキャンするスクリプトさえ使用することがあります。これは、窓を割るよりもはるかに簡単な方法として、通りにあるすべての車のドアが開いていないか確認する泥棒のようなものです。 ハッカーは、一般的なセキュリティ防御が無効になっていることに気づくと驚くだろう。しかし、そうなった場合、彼らがそれを悪用するまでそう時間はかからない。
第二に、優れたセキュリティ対策を施した後でそれを無効化すると、偽りの安心感が生まれます。管理者は、誰かがそれらの防御機能を無効化したことを知らなければ、最も一般的な脅威から保護されていると思い込む可能性があります。
セキュリティ機能を無効化した攻撃者が悪用する例として、AWS S3のパブリックアクセスブロック機能を考えてみましょう。Amazon S3のパブリックアクセスブロックにより、アカウント管理者やバケット所有者は、Amazon S3リソースへのパブリックアクセスを制限する集中管理型制御を簡単に設定できます。 しかし、S3バケットへのアクセスに問題を抱える一部の管理者は、作業を急いで完了させるため、一時的に公開設定を選択することがあります。このセキュリティ機能を有効化するのを忘れた場合、攻撃者はそのS3バケットに保存された情報に完全なアクセス権を得ることになります。これにより情報の漏洩が発生するだけでなく、データ転送料による追加コストも発生します。
実際のコードをいくつか比較してみましょう。以下のCloudFormationのスニペットを参照してください:
ヴァルネラブル。
企業用キューブ:
タイプ: AWS: :S3: :Bucket
プロパティ:
パブリックアクセスブロック設定:
blockPublicACLS: false
BlockPublicPolicy: false
ignorePublicacls: false
restrictPublicBuckets: false
バージョン管理設定:
状態: 有効
バケット暗号化:
サーバーサイド暗号化設定:
- デフォルトのサーバーサイド暗号化:
SSEアルゴリズム: 「AES256」
セグロ:
コーポレートバケット:
タイプ: AWS: :S3: :Bucket
プロパティ:
パブリックアクセスブロック設定:
BlockPublicACLS: true
BlockPublicPolicy: true
ignorePublicacls: true
RestrictPublicBuckets: true
バージョン管理の設定:
状態: 有効
バケットの暗号化:
サーバーサイド暗号化の設定:
- デフォルトのサーバーサイド暗号化:
SSEアルゴリズム: 「AES256」
無効化されたセキュリティ機能を防止する
セキュリティ機能を無効化することで組織に悪影響が生じるのを防ぐことは、方針と実践の両面に関わる問題である。 セキュリティ機能を無効化すべき状況は極めて限定的である旨を定めた厳格なポリシーが存在する必要があります。問題解決やアプリケーション更新のため一時的に機能を無効化する必要が生じた事象は記録すべきです。必要な作業完了後は、機能が完全に再有効化されていることを確認する必要があります。
セキュリティ機能を恒久的に無効化して運用を効率化する場合、既定の保護が失われることでハッカーがデータにアクセスできないよう、影響を受けるデータに対して代替の保護策を講じる必要があります。必要な保護機能を無効化した場合、攻撃者がその隙を突いて侵入するのは時間の問題です。
さらに詳しく知る、自分自身に挑戦する:
Secure Code Warrior をチェックしよう Secure Code Warrior ブログページをご覧ください。この脆弱性に関する詳細や、組織と顧客を他のセキュリティ上の欠陥や脆弱性の被害から守る方法について知ることができます。
この投稿を読んだ今、この脆弱性を見つけて修正する準備はできていますか?さあ、実行しましょう!Secure Code Warrior プラットフォームでiMac向けのゲーミフィケーション型セキュリティチャレンジに挑戦し Secure Code Warrior サイバーセキュリティスキルを磨き続け、最新Secure Code Warrior
これはインフラストラクチャ・アズ・コードにおける主要な8つの脆弱性を毎週取り上げるシリーズです。来週もぜひご覧ください!
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
