ゼロデイ攻撃が増加しています。今こそディフェンシブエッジを計画する時です。
この記事のバージョンが掲載されました SC マガジン。ここで修正およびシンジケートされています。
泥棒に家に侵入されたことがあれば、最初は何かがおかしいという気持ちが沈み、その後、自分が実際に盗まれて侵害されたことに気づくのがわかるでしょう。フォートノックスに匹敵するセキュリティ対策への転換は言うまでもなく、通常は不快感が長続きします。
泥棒が自分で鍵を作ったために家が壊されたと想像してみてください。彼らは忍び寄り、好き放題に出入りしますが、気づかれないよう細心の注意を払っています。そしてある日、冷凍庫に隠していた宝石が消え、金庫が空になり、身の回りの品々が略奪されていることに気づくのが遅すぎたのです。これは、ゼロデイ・サイバー攻撃の被害に遭った場合に組織が直面する現実と全く同じです。2020年、ポネモン・インスティテュートが行った調査では、次のことが明らかになりました。データ漏洩の成功事例の80%はゼロデイ攻撃の結果であり、残念ながら、ほとんどの企業はこの統計を大幅に改善するための準備が整っていません。
ゼロデイ攻撃は、当然のことながら、攻撃者が最初に侵入するため、開発者が悪用される可能性のある既存の脆弱性を発見してパッチを適用する時間が全くありません。被害が発生したら、ビジネスに対するソフトウェアと評判の低下の両方を修正しようとすると、狂ったような争いが繰り広げられます。攻撃者は常に有利な立場にあり、その優位性を可能な限り封じ込めることが重要です。
誰も欲しがらなかったホリデーギフトであるLog4Shellは、現在インターネットを席巻しており、10億台を超えるデバイスがこの壊滅的なJavaの脆弱性の影響を受けていると言われています。これは記録上最悪のゼロデイ攻撃になりつつあり、まだ始まったばかりです。にもかかわらず一部のレポートエクスプロイトは公開の数日前に開始されたと述べ、2016年のブラックハットカンファレンスでのプレゼンテーションから、これはしばらく前から知られていた問題だったと思われます。痛い。さらに悪いことに、この脆弱性は非常に簡単に悪用され、世界中のあらゆるスクリプト小僧や脅威アクターが、この脆弱性を狙っています。
では、ソフトウェア開発プロセスで見逃されてきた脆弱性は言うまでもなく、滑りやすい邪悪な脅威から身を守るための最善の方法は何でしょうか?それでは見てみましょう。
大きなターゲットに対するゼロデイ攻撃は稀です(そして高価です)
ダークウェブにはエクスプロイトの巨大な市場があり、一例を挙げると、ゼロデイはかなりの金額になる傾向があります。この記事を書いている時点で250万ドルで上場しています。Apple iOSの脆弱性として報告されているが、セキュリティ研究者による提示価格が高騰しているのは驚くべきことではない。結局のところ、これは実際に数百万台のデバイスを侵害し、数十億もの機密データレコードを収集し、発見されパッチが適用される前に可能な限り長くそれを続けるためのゲートウェイとなり得るのである。
しかし、そもそも誰がそんなお金を持っているのでしょうか?通常、組織化されたサイバー犯罪シンジケートは、特に人気の高いランサムウェア攻撃に対して、価値があると判断されれば資金を調達します。しかし、世界の政府や防衛部門は、脅威インテリジェンスのために利用できるエクスプロイトの顧客であり、よりポジティブなシナリオでは、企業自身が潜在的なゼロデイエクスプロイトの購入者となり、災害を軽減できる可能性があります。
2021年には記録が破られました。ゼロデイ攻撃のライブディスカバリーの対象となり、脆弱性について調査されるリスクが最も高いのは大規模な組織、政府機関、およびインフラストラクチャです。ゼロデイ攻撃の可能性から完全に保護する方法はありませんが、寛大でよく構成されたバグ報奨金プログラムを提供することで、ある程度「ゲームをする」ことができます。ダークウェブマーケットプレイスで誰かがソフトウェア城の鍵を提供するまで待つのではなく、合法的なセキュリティマニアを味方につけ、倫理的開示や潜在的な修正に対して適切な報酬を提供してください。
そして、それがたまたま身の毛もよだつようなゼロデイ脅威である場合は、Amazonギフトカード以上のものを支払う必要があると考えて間違いありません(そうする価値はあります)。
ツールの使用は、セキュリティ担当者の負担となる可能性があります。
煩雑なセキュリティツールは長年の課題であり、平均的なCISOが管理するセキュリティツールは55~75個に上ります。世界で最も使いにくい(比喩的な)スイスアーミーナイフであることはさておき、53%の企業が自社のセキュリティツールが効果的に機能しているかさえ確信を持てないと回答しています。ポネモン研究所によるある調査によれば、別の調査では、自社のセキュリティスタックが「完全に効果的」だと考えているCISOはわずか17%であることが明らかになりました。
燃え尽き症候群、セキュリティスキルを持つ人材の不足、アジリティの必要性で知られるこの分野では、膨大なツールセットのデータ、レポート、監視という形で、セキュリティ専門家が情報過多の処理を強いられることは大きな負担となっています。これはまさに、Log4jの脆弱性を適切に評価した際にも当てはまる可能性のある、クリティカルなアラートを見逃す原因となるシナリオです。
予防的セキュリティには、開発者主導の脅威モデリングを含める必要があります
コードレベルの脆弱性は開発者によって導入されることが多く、安全なコーディングスキルを身につけるには、正確なガイダンスと定期的な学習経路が必要です。しかし、次のレベルのセキュア開発者には、ソフトウェア作成プロセスの一部として、脅威モデリングを学び、実践する機会が与えられています。
自社のソフトウェアを最もよく知っている人々が、そこに座ってそれを作成した開発者であることは驚くべきことではありません。彼らは、ユーザーによるソフトウェアの操作方法、機能の使用場所、そしてセキュリティを十分に認識していれば、ソフトウェアが壊れたり悪用されたりする可能性のあるシナリオについて、強力な知識を持っています。
これをLog4Shellエクスプロイトに戻すと、残念ながら専門家や複雑なツールセットでは致命的な脆弱性が検出されないというシナリオが見られます。ただし、ライブラリがユーザー入力をサニタイズするように構成されていれば、まったく発生しなかった可能性があります。そうしないという決定は、利便性を高めるためにあいまいな機能だったようですが、悪用するのが非常に簡単になりました(SQLインジェクションレベルを考えてみてください。確かに天才的なものではありません)。セキュリティに精通した熱心な開発者のグループが脅威モデリングを行っていたなら、このシナリオは理論化され、検討されていた可能性が高いでしょう。
優れたセキュリティプログラムには感情的な要素があり、人間が作り出した問題の解決の中心には人間の介入と微妙な違いがあります。脅威モデリングを効果的に行うには、共感と経験が必要であり、ソフトウェアとアプリケーションのアーキテクチャレベルでの安全なコーディングと構成も求められます。これは開発者が一夜にして取り組むべきことではありませんが、この重要なタスクに対するセキュリティチームのプレッシャーを取り除くことができるレベルまで開発者をスキルアップさせるための明確な道筋を用意することが理想的です (また、両チーム間の信頼関係を築くための優れた方法でもあります)。
ゼロデイは n 日につながる
ゼロデイ対策の次の段階は、パッチをできるだけ早く配布することです。脆弱なソフトウェアのすべてのユーザーができるだけ早く、そして確実に攻撃者が最初にパッチを適用する前に、パッチを適用することを望みます。Log4Shellの脅威は、ハートブリードを凌駕する可能性を秘めている点にあります。何百万ものデバイスに組み込まれ、ソフトウェアビルド全体で複雑な依存関係を生み出しているにもかかわらず、その持続性と高い有効性を維持しているのです。
現実的には、この種の陰湿な攻撃を完全に阻止する方法はありません。しかし、あらゆる手段を駆使して高品質で安全なソフトウェアを作成し、重要なインフラストラクチャと同じ考え方で開発に取り組むことを約束すれば、私たち全員に戦うチャンスがあります。
ゼロデイ攻撃は、当然のことながら、攻撃者が最初に侵入するため、開発者が悪用される可能性のある既存の脆弱性を発見してパッチを適用する時間が全くありません。被害が発生したら、ビジネスに対するソフトウェアと評判の低下の両方を修正しようとすると、狂ったような争いが繰り広げられます。攻撃者は常に有利な立場にあり、その優位性を可能な限り封じ込めることが重要です。
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れている時には、上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
この記事のバージョンが掲載されました SC マガジン。ここで修正およびシンジケートされています。
泥棒に家に侵入されたことがあれば、最初は何かがおかしいという気持ちが沈み、その後、自分が実際に盗まれて侵害されたことに気づくのがわかるでしょう。フォートノックスに匹敵するセキュリティ対策への転換は言うまでもなく、通常は不快感が長続きします。
泥棒が自分で鍵を作ったために家が壊されたと想像してみてください。彼らは忍び寄り、好き放題に出入りしますが、気づかれないよう細心の注意を払っています。そしてある日、冷凍庫に隠していた宝石が消え、金庫が空になり、身の回りの品々が略奪されていることに気づくのが遅すぎたのです。これは、ゼロデイ・サイバー攻撃の被害に遭った場合に組織が直面する現実と全く同じです。2020年、ポネモン・インスティテュートが行った調査では、次のことが明らかになりました。データ漏洩の成功事例の80%はゼロデイ攻撃の結果であり、残念ながら、ほとんどの企業はこの統計を大幅に改善するための準備が整っていません。
ゼロデイ攻撃は、当然のことながら、攻撃者が最初に侵入するため、開発者が悪用される可能性のある既存の脆弱性を発見してパッチを適用する時間が全くありません。被害が発生したら、ビジネスに対するソフトウェアと評判の低下の両方を修正しようとすると、狂ったような争いが繰り広げられます。攻撃者は常に有利な立場にあり、その優位性を可能な限り封じ込めることが重要です。
誰も欲しがらなかったホリデーギフトであるLog4Shellは、現在インターネットを席巻しており、10億台を超えるデバイスがこの壊滅的なJavaの脆弱性の影響を受けていると言われています。これは記録上最悪のゼロデイ攻撃になりつつあり、まだ始まったばかりです。にもかかわらず一部のレポートエクスプロイトは公開の数日前に開始されたと述べ、2016年のブラックハットカンファレンスでのプレゼンテーションから、これはしばらく前から知られていた問題だったと思われます。痛い。さらに悪いことに、この脆弱性は非常に簡単に悪用され、世界中のあらゆるスクリプト小僧や脅威アクターが、この脆弱性を狙っています。
では、ソフトウェア開発プロセスで見逃されてきた脆弱性は言うまでもなく、滑りやすい邪悪な脅威から身を守るための最善の方法は何でしょうか?それでは見てみましょう。
大きなターゲットに対するゼロデイ攻撃は稀です(そして高価です)
ダークウェブにはエクスプロイトの巨大な市場があり、一例を挙げると、ゼロデイはかなりの金額になる傾向があります。この記事を書いている時点で250万ドルで上場しています。Apple iOSの脆弱性として報告されているが、セキュリティ研究者による提示価格が高騰しているのは驚くべきことではない。結局のところ、これは実際に数百万台のデバイスを侵害し、数十億もの機密データレコードを収集し、発見されパッチが適用される前に可能な限り長くそれを続けるためのゲートウェイとなり得るのである。
しかし、そもそも誰がそんなお金を持っているのでしょうか?通常、組織化されたサイバー犯罪シンジケートは、特に人気の高いランサムウェア攻撃に対して、価値があると判断されれば資金を調達します。しかし、世界の政府や防衛部門は、脅威インテリジェンスのために利用できるエクスプロイトの顧客であり、よりポジティブなシナリオでは、企業自身が潜在的なゼロデイエクスプロイトの購入者となり、災害を軽減できる可能性があります。
2021年には記録が破られました。ゼロデイ攻撃のライブディスカバリーの対象となり、脆弱性について調査されるリスクが最も高いのは大規模な組織、政府機関、およびインフラストラクチャです。ゼロデイ攻撃の可能性から完全に保護する方法はありませんが、寛大でよく構成されたバグ報奨金プログラムを提供することで、ある程度「ゲームをする」ことができます。ダークウェブマーケットプレイスで誰かがソフトウェア城の鍵を提供するまで待つのではなく、合法的なセキュリティマニアを味方につけ、倫理的開示や潜在的な修正に対して適切な報酬を提供してください。
そして、それがたまたま身の毛もよだつようなゼロデイ脅威である場合は、Amazonギフトカード以上のものを支払う必要があると考えて間違いありません(そうする価値はあります)。
ツールの使用は、セキュリティ担当者の負担となる可能性があります。
煩雑なセキュリティツールは長年の課題であり、平均的なCISOが管理するセキュリティツールは55~75個に上ります。世界で最も使いにくい(比喩的な)スイスアーミーナイフであることはさておき、53%の企業が自社のセキュリティツールが効果的に機能しているかさえ確信を持てないと回答しています。ポネモン研究所によるある調査によれば、別の調査では、自社のセキュリティスタックが「完全に効果的」だと考えているCISOはわずか17%であることが明らかになりました。
燃え尽き症候群、セキュリティスキルを持つ人材の不足、アジリティの必要性で知られるこの分野では、膨大なツールセットのデータ、レポート、監視という形で、セキュリティ専門家が情報過多の処理を強いられることは大きな負担となっています。これはまさに、Log4jの脆弱性を適切に評価した際にも当てはまる可能性のある、クリティカルなアラートを見逃す原因となるシナリオです。
予防的セキュリティには、開発者主導の脅威モデリングを含める必要があります
コードレベルの脆弱性は開発者によって導入されることが多く、安全なコーディングスキルを身につけるには、正確なガイダンスと定期的な学習経路が必要です。しかし、次のレベルのセキュア開発者には、ソフトウェア作成プロセスの一部として、脅威モデリングを学び、実践する機会が与えられています。
自社のソフトウェアを最もよく知っている人々が、そこに座ってそれを作成した開発者であることは驚くべきことではありません。彼らは、ユーザーによるソフトウェアの操作方法、機能の使用場所、そしてセキュリティを十分に認識していれば、ソフトウェアが壊れたり悪用されたりする可能性のあるシナリオについて、強力な知識を持っています。
これをLog4Shellエクスプロイトに戻すと、残念ながら専門家や複雑なツールセットでは致命的な脆弱性が検出されないというシナリオが見られます。ただし、ライブラリがユーザー入力をサニタイズするように構成されていれば、まったく発生しなかった可能性があります。そうしないという決定は、利便性を高めるためにあいまいな機能だったようですが、悪用するのが非常に簡単になりました(SQLインジェクションレベルを考えてみてください。確かに天才的なものではありません)。セキュリティに精通した熱心な開発者のグループが脅威モデリングを行っていたなら、このシナリオは理論化され、検討されていた可能性が高いでしょう。
優れたセキュリティプログラムには感情的な要素があり、人間が作り出した問題の解決の中心には人間の介入と微妙な違いがあります。脅威モデリングを効果的に行うには、共感と経験が必要であり、ソフトウェアとアプリケーションのアーキテクチャレベルでの安全なコーディングと構成も求められます。これは開発者が一夜にして取り組むべきことではありませんが、この重要なタスクに対するセキュリティチームのプレッシャーを取り除くことができるレベルまで開発者をスキルアップさせるための明確な道筋を用意することが理想的です (また、両チーム間の信頼関係を築くための優れた方法でもあります)。
ゼロデイは n 日につながる
ゼロデイ対策の次の段階は、パッチをできるだけ早く配布することです。脆弱なソフトウェアのすべてのユーザーができるだけ早く、そして確実に攻撃者が最初にパッチを適用する前に、パッチを適用することを望みます。Log4Shellの脅威は、ハートブリードを凌駕する可能性を秘めている点にあります。何百万ものデバイスに組み込まれ、ソフトウェアビルド全体で複雑な依存関係を生み出しているにもかかわらず、その持続性と高い有効性を維持しているのです。
現実的には、この種の陰湿な攻撃を完全に阻止する方法はありません。しかし、あらゆる手段を駆使して高品質で安全なソフトウェアを作成し、重要なインフラストラクチャと同じ考え方で開発に取り組むことを約束すれば、私たち全員に戦うチャンスがあります。
この記事のバージョンが掲載されました SC マガジン。ここで修正およびシンジケートされています。
泥棒に家に侵入されたことがあれば、最初は何かがおかしいという気持ちが沈み、その後、自分が実際に盗まれて侵害されたことに気づくのがわかるでしょう。フォートノックスに匹敵するセキュリティ対策への転換は言うまでもなく、通常は不快感が長続きします。
泥棒が自分で鍵を作ったために家が壊されたと想像してみてください。彼らは忍び寄り、好き放題に出入りしますが、気づかれないよう細心の注意を払っています。そしてある日、冷凍庫に隠していた宝石が消え、金庫が空になり、身の回りの品々が略奪されていることに気づくのが遅すぎたのです。これは、ゼロデイ・サイバー攻撃の被害に遭った場合に組織が直面する現実と全く同じです。2020年、ポネモン・インスティテュートが行った調査では、次のことが明らかになりました。データ漏洩の成功事例の80%はゼロデイ攻撃の結果であり、残念ながら、ほとんどの企業はこの統計を大幅に改善するための準備が整っていません。
ゼロデイ攻撃は、当然のことながら、攻撃者が最初に侵入するため、開発者が悪用される可能性のある既存の脆弱性を発見してパッチを適用する時間が全くありません。被害が発生したら、ビジネスに対するソフトウェアと評判の低下の両方を修正しようとすると、狂ったような争いが繰り広げられます。攻撃者は常に有利な立場にあり、その優位性を可能な限り封じ込めることが重要です。
誰も欲しがらなかったホリデーギフトであるLog4Shellは、現在インターネットを席巻しており、10億台を超えるデバイスがこの壊滅的なJavaの脆弱性の影響を受けていると言われています。これは記録上最悪のゼロデイ攻撃になりつつあり、まだ始まったばかりです。にもかかわらず一部のレポートエクスプロイトは公開の数日前に開始されたと述べ、2016年のブラックハットカンファレンスでのプレゼンテーションから、これはしばらく前から知られていた問題だったと思われます。痛い。さらに悪いことに、この脆弱性は非常に簡単に悪用され、世界中のあらゆるスクリプト小僧や脅威アクターが、この脆弱性を狙っています。
では、ソフトウェア開発プロセスで見逃されてきた脆弱性は言うまでもなく、滑りやすい邪悪な脅威から身を守るための最善の方法は何でしょうか?それでは見てみましょう。
大きなターゲットに対するゼロデイ攻撃は稀です(そして高価です)
ダークウェブにはエクスプロイトの巨大な市場があり、一例を挙げると、ゼロデイはかなりの金額になる傾向があります。この記事を書いている時点で250万ドルで上場しています。Apple iOSの脆弱性として報告されているが、セキュリティ研究者による提示価格が高騰しているのは驚くべきことではない。結局のところ、これは実際に数百万台のデバイスを侵害し、数十億もの機密データレコードを収集し、発見されパッチが適用される前に可能な限り長くそれを続けるためのゲートウェイとなり得るのである。
しかし、そもそも誰がそんなお金を持っているのでしょうか?通常、組織化されたサイバー犯罪シンジケートは、特に人気の高いランサムウェア攻撃に対して、価値があると判断されれば資金を調達します。しかし、世界の政府や防衛部門は、脅威インテリジェンスのために利用できるエクスプロイトの顧客であり、よりポジティブなシナリオでは、企業自身が潜在的なゼロデイエクスプロイトの購入者となり、災害を軽減できる可能性があります。
2021年には記録が破られました。ゼロデイ攻撃のライブディスカバリーの対象となり、脆弱性について調査されるリスクが最も高いのは大規模な組織、政府機関、およびインフラストラクチャです。ゼロデイ攻撃の可能性から完全に保護する方法はありませんが、寛大でよく構成されたバグ報奨金プログラムを提供することで、ある程度「ゲームをする」ことができます。ダークウェブマーケットプレイスで誰かがソフトウェア城の鍵を提供するまで待つのではなく、合法的なセキュリティマニアを味方につけ、倫理的開示や潜在的な修正に対して適切な報酬を提供してください。
そして、それがたまたま身の毛もよだつようなゼロデイ脅威である場合は、Amazonギフトカード以上のものを支払う必要があると考えて間違いありません(そうする価値はあります)。
ツールの使用は、セキュリティ担当者の負担となる可能性があります。
煩雑なセキュリティツールは長年の課題であり、平均的なCISOが管理するセキュリティツールは55~75個に上ります。世界で最も使いにくい(比喩的な)スイスアーミーナイフであることはさておき、53%の企業が自社のセキュリティツールが効果的に機能しているかさえ確信を持てないと回答しています。ポネモン研究所によるある調査によれば、別の調査では、自社のセキュリティスタックが「完全に効果的」だと考えているCISOはわずか17%であることが明らかになりました。
燃え尽き症候群、セキュリティスキルを持つ人材の不足、アジリティの必要性で知られるこの分野では、膨大なツールセットのデータ、レポート、監視という形で、セキュリティ専門家が情報過多の処理を強いられることは大きな負担となっています。これはまさに、Log4jの脆弱性を適切に評価した際にも当てはまる可能性のある、クリティカルなアラートを見逃す原因となるシナリオです。
予防的セキュリティには、開発者主導の脅威モデリングを含める必要があります
コードレベルの脆弱性は開発者によって導入されることが多く、安全なコーディングスキルを身につけるには、正確なガイダンスと定期的な学習経路が必要です。しかし、次のレベルのセキュア開発者には、ソフトウェア作成プロセスの一部として、脅威モデリングを学び、実践する機会が与えられています。
自社のソフトウェアを最もよく知っている人々が、そこに座ってそれを作成した開発者であることは驚くべきことではありません。彼らは、ユーザーによるソフトウェアの操作方法、機能の使用場所、そしてセキュリティを十分に認識していれば、ソフトウェアが壊れたり悪用されたりする可能性のあるシナリオについて、強力な知識を持っています。
これをLog4Shellエクスプロイトに戻すと、残念ながら専門家や複雑なツールセットでは致命的な脆弱性が検出されないというシナリオが見られます。ただし、ライブラリがユーザー入力をサニタイズするように構成されていれば、まったく発生しなかった可能性があります。そうしないという決定は、利便性を高めるためにあいまいな機能だったようですが、悪用するのが非常に簡単になりました(SQLインジェクションレベルを考えてみてください。確かに天才的なものではありません)。セキュリティに精通した熱心な開発者のグループが脅威モデリングを行っていたなら、このシナリオは理論化され、検討されていた可能性が高いでしょう。
優れたセキュリティプログラムには感情的な要素があり、人間が作り出した問題の解決の中心には人間の介入と微妙な違いがあります。脅威モデリングを効果的に行うには、共感と経験が必要であり、ソフトウェアとアプリケーションのアーキテクチャレベルでの安全なコーディングと構成も求められます。これは開発者が一夜にして取り組むべきことではありませんが、この重要なタスクに対するセキュリティチームのプレッシャーを取り除くことができるレベルまで開発者をスキルアップさせるための明確な道筋を用意することが理想的です (また、両チーム間の信頼関係を築くための優れた方法でもあります)。
ゼロデイは n 日につながる
ゼロデイ対策の次の段階は、パッチをできるだけ早く配布することです。脆弱なソフトウェアのすべてのユーザーができるだけ早く、そして確実に攻撃者が最初にパッチを適用する前に、パッチを適用することを望みます。Log4Shellの脅威は、ハートブリードを凌駕する可能性を秘めている点にあります。何百万ものデバイスに組み込まれ、ソフトウェアビルド全体で複雑な依存関係を生み出しているにもかかわらず、その持続性と高い有効性を維持しているのです。
現実的には、この種の陰湿な攻撃を完全に阻止する方法はありません。しかし、あらゆる手段を駆使して高品質で安全なソフトウェアを作成し、重要なインフラストラクチャと同じ考え方で開発に取り組むことを約束すれば、私たち全員に戦うチャンスがあります。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れている時には、上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
この記事のバージョンが掲載されました SC マガジン。ここで修正およびシンジケートされています。
泥棒に家に侵入されたことがあれば、最初は何かがおかしいという気持ちが沈み、その後、自分が実際に盗まれて侵害されたことに気づくのがわかるでしょう。フォートノックスに匹敵するセキュリティ対策への転換は言うまでもなく、通常は不快感が長続きします。
泥棒が自分で鍵を作ったために家が壊されたと想像してみてください。彼らは忍び寄り、好き放題に出入りしますが、気づかれないよう細心の注意を払っています。そしてある日、冷凍庫に隠していた宝石が消え、金庫が空になり、身の回りの品々が略奪されていることに気づくのが遅すぎたのです。これは、ゼロデイ・サイバー攻撃の被害に遭った場合に組織が直面する現実と全く同じです。2020年、ポネモン・インスティテュートが行った調査では、次のことが明らかになりました。データ漏洩の成功事例の80%はゼロデイ攻撃の結果であり、残念ながら、ほとんどの企業はこの統計を大幅に改善するための準備が整っていません。
ゼロデイ攻撃は、当然のことながら、攻撃者が最初に侵入するため、開発者が悪用される可能性のある既存の脆弱性を発見してパッチを適用する時間が全くありません。被害が発生したら、ビジネスに対するソフトウェアと評判の低下の両方を修正しようとすると、狂ったような争いが繰り広げられます。攻撃者は常に有利な立場にあり、その優位性を可能な限り封じ込めることが重要です。
誰も欲しがらなかったホリデーギフトであるLog4Shellは、現在インターネットを席巻しており、10億台を超えるデバイスがこの壊滅的なJavaの脆弱性の影響を受けていると言われています。これは記録上最悪のゼロデイ攻撃になりつつあり、まだ始まったばかりです。にもかかわらず一部のレポートエクスプロイトは公開の数日前に開始されたと述べ、2016年のブラックハットカンファレンスでのプレゼンテーションから、これはしばらく前から知られていた問題だったと思われます。痛い。さらに悪いことに、この脆弱性は非常に簡単に悪用され、世界中のあらゆるスクリプト小僧や脅威アクターが、この脆弱性を狙っています。
では、ソフトウェア開発プロセスで見逃されてきた脆弱性は言うまでもなく、滑りやすい邪悪な脅威から身を守るための最善の方法は何でしょうか?それでは見てみましょう。
大きなターゲットに対するゼロデイ攻撃は稀です(そして高価です)
ダークウェブにはエクスプロイトの巨大な市場があり、一例を挙げると、ゼロデイはかなりの金額になる傾向があります。この記事を書いている時点で250万ドルで上場しています。Apple iOSの脆弱性として報告されているが、セキュリティ研究者による提示価格が高騰しているのは驚くべきことではない。結局のところ、これは実際に数百万台のデバイスを侵害し、数十億もの機密データレコードを収集し、発見されパッチが適用される前に可能な限り長くそれを続けるためのゲートウェイとなり得るのである。
しかし、そもそも誰がそんなお金を持っているのでしょうか?通常、組織化されたサイバー犯罪シンジケートは、特に人気の高いランサムウェア攻撃に対して、価値があると判断されれば資金を調達します。しかし、世界の政府や防衛部門は、脅威インテリジェンスのために利用できるエクスプロイトの顧客であり、よりポジティブなシナリオでは、企業自身が潜在的なゼロデイエクスプロイトの購入者となり、災害を軽減できる可能性があります。
2021年には記録が破られました。ゼロデイ攻撃のライブディスカバリーの対象となり、脆弱性について調査されるリスクが最も高いのは大規模な組織、政府機関、およびインフラストラクチャです。ゼロデイ攻撃の可能性から完全に保護する方法はありませんが、寛大でよく構成されたバグ報奨金プログラムを提供することで、ある程度「ゲームをする」ことができます。ダークウェブマーケットプレイスで誰かがソフトウェア城の鍵を提供するまで待つのではなく、合法的なセキュリティマニアを味方につけ、倫理的開示や潜在的な修正に対して適切な報酬を提供してください。
そして、それがたまたま身の毛もよだつようなゼロデイ脅威である場合は、Amazonギフトカード以上のものを支払う必要があると考えて間違いありません(そうする価値はあります)。
ツールの使用は、セキュリティ担当者の負担となる可能性があります。
煩雑なセキュリティツールは長年の課題であり、平均的なCISOが管理するセキュリティツールは55~75個に上ります。世界で最も使いにくい(比喩的な)スイスアーミーナイフであることはさておき、53%の企業が自社のセキュリティツールが効果的に機能しているかさえ確信を持てないと回答しています。ポネモン研究所によるある調査によれば、別の調査では、自社のセキュリティスタックが「完全に効果的」だと考えているCISOはわずか17%であることが明らかになりました。
燃え尽き症候群、セキュリティスキルを持つ人材の不足、アジリティの必要性で知られるこの分野では、膨大なツールセットのデータ、レポート、監視という形で、セキュリティ専門家が情報過多の処理を強いられることは大きな負担となっています。これはまさに、Log4jの脆弱性を適切に評価した際にも当てはまる可能性のある、クリティカルなアラートを見逃す原因となるシナリオです。
予防的セキュリティには、開発者主導の脅威モデリングを含める必要があります
コードレベルの脆弱性は開発者によって導入されることが多く、安全なコーディングスキルを身につけるには、正確なガイダンスと定期的な学習経路が必要です。しかし、次のレベルのセキュア開発者には、ソフトウェア作成プロセスの一部として、脅威モデリングを学び、実践する機会が与えられています。
自社のソフトウェアを最もよく知っている人々が、そこに座ってそれを作成した開発者であることは驚くべきことではありません。彼らは、ユーザーによるソフトウェアの操作方法、機能の使用場所、そしてセキュリティを十分に認識していれば、ソフトウェアが壊れたり悪用されたりする可能性のあるシナリオについて、強力な知識を持っています。
これをLog4Shellエクスプロイトに戻すと、残念ながら専門家や複雑なツールセットでは致命的な脆弱性が検出されないというシナリオが見られます。ただし、ライブラリがユーザー入力をサニタイズするように構成されていれば、まったく発生しなかった可能性があります。そうしないという決定は、利便性を高めるためにあいまいな機能だったようですが、悪用するのが非常に簡単になりました(SQLインジェクションレベルを考えてみてください。確かに天才的なものではありません)。セキュリティに精通した熱心な開発者のグループが脅威モデリングを行っていたなら、このシナリオは理論化され、検討されていた可能性が高いでしょう。
優れたセキュリティプログラムには感情的な要素があり、人間が作り出した問題の解決の中心には人間の介入と微妙な違いがあります。脅威モデリングを効果的に行うには、共感と経験が必要であり、ソフトウェアとアプリケーションのアーキテクチャレベルでの安全なコーディングと構成も求められます。これは開発者が一夜にして取り組むべきことではありませんが、この重要なタスクに対するセキュリティチームのプレッシャーを取り除くことができるレベルまで開発者をスキルアップさせるための明確な道筋を用意することが理想的です (また、両チーム間の信頼関係を築くための優れた方法でもあります)。
ゼロデイは n 日につながる
ゼロデイ対策の次の段階は、パッチをできるだけ早く配布することです。脆弱なソフトウェアのすべてのユーザーができるだけ早く、そして確実に攻撃者が最初にパッチを適用する前に、パッチを適用することを望みます。Log4Shellの脅威は、ハートブリードを凌駕する可能性を秘めている点にあります。何百万ものデバイスに組み込まれ、ソフトウェアビルド全体で複雑な依存関係を生み出しているにもかかわらず、その持続性と高い有効性を維持しているのです。
現実的には、この種の陰湿な攻撃を完全に阻止する方法はありません。しかし、あらゆる手段を駆使して高品質で安全なソフトウェアを作成し、重要なインフラストラクチャと同じ考え方で開発に取り組むことを約束すれば、私たち全員に戦うチャンスがあります。
目次
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]
%20(1).avif)
.avif)
