ゼロデイ攻撃が増加しています。防御戦略を立てるべき時です。
この記事のバージョンが掲載されました。 SCマガジン.ここで編集およびシンジケートされました。
家に泥棒が入ったことがあるなら、最初は何かがおかしいという感覚を理解できるでしょう。そして実際に盗まれ、侵害されたという事実を悟るのです。これにより通常は長引く不快感が生じ、フォートノックスに匹敵するセキュリティ対策への移行は言うまでもありません。
泥棒たちが自らを鍵として使ったため、家が破られたと想像してみてください。彼らは好き勝手に這い回り、行き来しますが、見つからないよう注意を払います。そんなある日、冷凍庫に隠していた装飾品が消え、金庫が空になり、 個人の所持品がくまなく漁られたことに気づくのは、すでに手遅れでした。これはゼロデイサイバー攻撃の被害に遭った組織が直面する現実と全く同じです。2020年のPonemon研究所の調査によると、成功したデータ侵害の80%はゼロデイエクスプロイトの結果であり、残念ながらほとんどの企業はこの統計を大幅に改善する準備ができていません。
定義によれば、ゼロデイ攻撃は脅威アクターが先に侵入するため、開発者が悪用可能な既存の脆弱性を見つけてパッチを適用する時間を全く与えません。被害を受けた後は、ソフトウェアとビジネスへの評判毀損の両方を解決するための必死の対応が繰り広げられます。攻撃者は常に優位に立つため、最大限の優位性を確保することが重要です。
誰も望んでいなかった名節の贈り物であるLog4Shellは、現在インターネットを熱く沸騰させています。10億台以上のデバイスがこの致命的なJava脆弱性の影響を受けたとされています。これは史上最悪のゼロデイ攻撃となることが予想され、 しかし、一部の報告ではエクスプロイトが公開される数日前に攻撃が始まっていたと述べられており、2016年のブラックハットカンファレンスでのプレゼンテーションが、この問題が以前から知られていたことを示唆しています。さらに悪いことに、悪用が非常に容易なため、地球上のあらゆるスクリプトキディや脅威アクターがこの脆弱性を利用してペイフェイトを狙っています。
では、ソフトウェア開発プロセスで見逃された脆弱性は言うまでもなく、巧妙で悪質な脅威から身を守る最善の方法とは何でしょうか? 見ていきましょう。
大型標的に対するゼロデイ攻撃は稀であり、コストもかかります。
ダークウェブには巨大なエクスプロイト市場が存在します。一例を挙げると、ゼロデイはかなりの金額で取引される傾向があります。この記事が書かれた時点で、250万ドルで上場されました。Apple iOSを悪用したものとされており、セキュリティ研究者の要求価格が天井知らずに高騰したのも驚くべきことではありません。結局のところ、これは何百万台ものデバイスを侵害し、何十億もの機密データ記録を収集し、発見されパッチが適用されるまでの間、可能な限り長くその状態を維持できるゲートウェイとなり得るのです。
とにかく、そんな大金を誰が持っているというのか?一般的に組織化されたサイバー犯罪組織は、価値があると判断すれば現金を用意する。特に常に人気の高いランサムウェア攻撃の場合はなおさらだ。しかし、世界各国の政府や国防総省は脅威インテリジェンスに活用できるエクスプロイトの顧客として挙げられており、より前向きなシナリオでは企業自体が潜在的なゼロデイエクスプロイトを購入して災害を軽減する可能性もある。
2021年には記録が破られました。リアルタイムのゼロデイエクスプロイト発見において、脆弱性が発見されるリスクが最も高いのは大規模組織、政府機関、インフラです。ゼロデイ攻撃の可能性から完全に安全である方法はありませんが、十分な規模で体系的なバグバウンティプログラムを提供すれば、ある程度「ゲーム」を有利に進めることができます。闇のウェブマーケットプレイスで誰かがソフトウェア城の鍵を提供するのを待つのではなく、合法的なセキュリティ専門家を確保し、倫理的な情報開示と潜在的な修正に対して適切な報酬を提供してください。
ゼロデイ脅威が深刻すぎる場合、Amazonギフトカードよりも多くの費用をかけることを想定するのが安全です(そしてそれだけの価値があるでしょう)。
ツールの管理はセキュリティ担当者の責任となる場合があります。
一般的なCISOが管理する煩雑なセキュリティツール群は長年問題視されてきました。55から75に及ぶ多様なツールが彼らのセキュリティ兵器庫に存在し、世界で最も混乱を招く(比喩的な)スイスアーミーナイフと呼ばれる点を除けば、企業の53%は自らが効果的に機能しているという確信すら持てません。 ポネモン研究所の調査によると、 別の調査ではCISOのわずか17%が自社のセキュリティスタックを「完全に効果的」と考えていることが明らかになりました。
バーンアウト、需要を満たすセキュリティ専門人材の不足、俊敏性への要求で知られるこの分野において、セキュリティ専門家が膨大なツール群から生じるデータ、レポート、監視といった形で情報過負荷に対処することを強いられるのは負担が大きい。Log4jの脆弱性を適切に評価した際、重要な警告を見逃す可能性があるシナリオがまさにこれである。
予防的セキュリティには、開発者中心の脅威モデリングが含まれるべきです。
コードレベルの脆弱性は開発者が導入する場合が多く、セキュリティコーディング技術を構築するには正確な指針と定期的な学習経路が必要です。しかし、セキュリティレベルが一段階高い開発者には、ソフトウェア開発プロセスの一部として脅威モデリングを学び実践する機会が与えられました。
自分のソフトウェアを最もよく知っている人々が、そこに座っている開発者たちであることは驚くべきことではありません。彼らはユーザーがソフトウェアとどのように相互作用するか、機能が使用される場所、そしてセキュリティを十分に認識している場合にソフトウェアが損なわれたり悪用されたりする可能性のあるシナリオについて、強力な知識を持っています。
この問題をLog4Shellのエクスプロイトに置き換えると、残念ながら致命的な脆弱性が専門家や複雑なツールセットによる検出を回避できるシナリオが生じます。 しかしライブラリがユーザー入力を削除するよう構成されていれば、この問題は全く発生しなかった可能性があります。そうしないという決定は、追加の利便性のために曖昧な機能だったようですが、悪用が非常に容易になりました(SQLインジェクションのレベルを考えてみてください。天才的なものではありません)。鋭敏でセキュリティに精通した開発者グループが脅威モデリングを行っていたなら、このシナリオを理論化し考慮していた可能性が高いでしょう。
優れたセキュリティプログラムには、人間が引き起こす問題を解決する上で、人間の介入とニュアンスが核心となる感情的要素があります。脅威モデリングが効果的であるためには共感と経験が必要であり、 ソフトウェアおよびアプリケーションのアーキテクチャレベルにおけるセキュアコーディングや構成も同様です。開発者が一夜にしてこれに没頭する必要はありませんが、この重要な作業に対するセキュリティチームのプレッシャーを軽減できるレベルまで技術をアップグレードできる明確な道筋があれば理想的です(そして両チーム間の関係を構築する良い方法でもあります)。
0日がn日に繋がります
ゼロデイ対応の次の段階は、可能な限り迅速にパッチを適用することです。脆弱なソフトウェアの全ユーザーが、攻撃者が到達する前に確実に、かつ可能な限り早くパッチを適用することを望みます。Log4Shellは、ハートブリードを超える可能性すらあります。何百万ものデバイスに組み込まれており、ソフトウェア構築全体に複雑な依存関係を生み出す点で、その持続性と有効性は抜群です。
現実的に、この種の狡猾な攻撃を完全に防ぐ方法はありません。しかし、あらゆる手段を動員して高品質で安全なソフトウェアを作り、重要インフラのような考え方で開発に取り組むという約束があれば、私たち全員が戦う機会を得られるのです。
定義によれば、ゼロデイ攻撃は脅威アクターが先に侵入するため、開発者が悪用可能な既存の脆弱性を見つけてパッチを適用する時間を全く与えません。被害を受けた後は、ソフトウェアとビジネスへの評判毀損の両方を解決するための必死の対応が繰り広げられます。攻撃者は常に優位に立つため、最大限の優位性を確保することが重要です。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
この記事のバージョンが掲載されました。 SCマガジン.ここで編集およびシンジケートされました。
家に泥棒が入ったことがあるなら、最初は何かがおかしいという感覚を理解できるでしょう。そして実際に盗まれ、侵害されたという事実を悟るのです。これにより通常は長引く不快感が生じ、フォートノックスに匹敵するセキュリティ対策への移行は言うまでもありません。
泥棒たちが自らを鍵として使ったため、家が破られたと想像してみてください。彼らは好き勝手に這い回り、行き来しますが、見つからないよう注意を払います。そんなある日、冷凍庫に隠していた装飾品が消え、金庫が空になり、 個人の所持品がくまなく漁られたことに気づくのは、すでに手遅れでした。これはゼロデイサイバー攻撃の被害に遭った組織が直面する現実と全く同じです。2020年のPonemon研究所の調査によると、成功したデータ侵害の80%はゼロデイエクスプロイトの結果であり、残念ながらほとんどの企業はこの統計を大幅に改善する準備ができていません。
定義によれば、ゼロデイ攻撃は脅威アクターが先に侵入するため、開発者が悪用可能な既存の脆弱性を見つけてパッチを適用する時間を全く与えません。被害を受けた後は、ソフトウェアとビジネスへの評判毀損の両方を解決するための必死の対応が繰り広げられます。攻撃者は常に優位に立つため、最大限の優位性を確保することが重要です。
誰も望んでいなかった名節の贈り物であるLog4Shellは、現在インターネットを熱く沸騰させています。10億台以上のデバイスがこの致命的なJava脆弱性の影響を受けたとされています。これは史上最悪のゼロデイ攻撃となることが予想され、 しかし、一部の報告ではエクスプロイトが公開される数日前に攻撃が始まっていたと述べられており、2016年のブラックハットカンファレンスでのプレゼンテーションが、この問題が以前から知られていたことを示唆しています。さらに悪いことに、悪用が非常に容易なため、地球上のあらゆるスクリプトキディや脅威アクターがこの脆弱性を利用してペイフェイトを狙っています。
では、ソフトウェア開発プロセスで見逃された脆弱性は言うまでもなく、巧妙で悪質な脅威から身を守る最善の方法とは何でしょうか? 見ていきましょう。
大型標的に対するゼロデイ攻撃は稀であり、コストもかかります。
ダークウェブには巨大なエクスプロイト市場が存在します。一例を挙げると、ゼロデイはかなりの金額で取引される傾向があります。この記事が書かれた時点で、250万ドルで上場されました。Apple iOSを悪用したものとされており、セキュリティ研究者の要求価格が天井知らずに高騰したのも驚くべきことではありません。結局のところ、これは何百万台ものデバイスを侵害し、何十億もの機密データ記録を収集し、発見されパッチが適用されるまでの間、可能な限り長くその状態を維持できるゲートウェイとなり得るのです。
とにかく、そんな大金を誰が持っているというのか?一般的に組織化されたサイバー犯罪組織は、価値があると判断すれば現金を用意する。特に常に人気の高いランサムウェア攻撃の場合はなおさらだ。しかし、世界各国の政府や国防総省は脅威インテリジェンスに活用できるエクスプロイトの顧客として挙げられており、より前向きなシナリオでは企業自体が潜在的なゼロデイエクスプロイトを購入して災害を軽減する可能性もある。
2021年には記録が破られました。リアルタイムのゼロデイエクスプロイト発見において、脆弱性が発見されるリスクが最も高いのは大規模組織、政府機関、インフラです。ゼロデイ攻撃の可能性から完全に安全である方法はありませんが、十分な規模で体系的なバグバウンティプログラムを提供すれば、ある程度「ゲーム」を有利に進めることができます。闇のウェブマーケットプレイスで誰かがソフトウェア城の鍵を提供するのを待つのではなく、合法的なセキュリティ専門家を確保し、倫理的な情報開示と潜在的な修正に対して適切な報酬を提供してください。
ゼロデイ脅威が深刻すぎる場合、Amazonギフトカードよりも多くの費用をかけることを想定するのが安全です(そしてそれだけの価値があるでしょう)。
ツールの管理はセキュリティ担当者の責任となる場合があります。
一般的なCISOが管理する煩雑なセキュリティツール群は長年問題視されてきました。55から75に及ぶ多様なツールが彼らのセキュリティ兵器庫に存在し、世界で最も混乱を招く(比喩的な)スイスアーミーナイフと呼ばれる点を除けば、企業の53%は自らが効果的に機能しているという確信すら持てません。 ポネモン研究所の調査によると、 別の調査ではCISOのわずか17%が自社のセキュリティスタックを「完全に効果的」と考えていることが明らかになりました。
バーンアウト、需要を満たすセキュリティ専門人材の不足、俊敏性への要求で知られるこの分野において、セキュリティ専門家が膨大なツール群から生じるデータ、レポート、監視といった形で情報過負荷に対処することを強いられるのは負担が大きい。Log4jの脆弱性を適切に評価した際、重要な警告を見逃す可能性があるシナリオがまさにこれである。
予防的セキュリティには、開発者中心の脅威モデリングが含まれるべきです。
コードレベルの脆弱性は開発者が導入する場合が多く、セキュリティコーディング技術を構築するには正確な指針と定期的な学習経路が必要です。しかし、セキュリティレベルが一段階高い開発者には、ソフトウェア開発プロセスの一部として脅威モデリングを学び実践する機会が与えられました。
自分のソフトウェアを最もよく知っている人々が、そこに座っている開発者たちであることは驚くべきことではありません。彼らはユーザーがソフトウェアとどのように相互作用するか、機能が使用される場所、そしてセキュリティを十分に認識している場合にソフトウェアが損なわれたり悪用されたりする可能性のあるシナリオについて、強力な知識を持っています。
この問題をLog4Shellのエクスプロイトに置き換えると、残念ながら致命的な脆弱性が専門家や複雑なツールセットによる検出を回避できるシナリオが生じます。 しかしライブラリがユーザー入力を削除するよう構成されていれば、この問題は全く発生しなかった可能性があります。そうしないという決定は、追加の利便性のために曖昧な機能だったようですが、悪用が非常に容易になりました(SQLインジェクションのレベルを考えてみてください。天才的なものではありません)。鋭敏でセキュリティに精通した開発者グループが脅威モデリングを行っていたなら、このシナリオを理論化し考慮していた可能性が高いでしょう。
優れたセキュリティプログラムには、人間が引き起こす問題を解決する上で、人間の介入とニュアンスが核心となる感情的要素があります。脅威モデリングが効果的であるためには共感と経験が必要であり、 ソフトウェアおよびアプリケーションのアーキテクチャレベルにおけるセキュアコーディングや構成も同様です。開発者が一夜にしてこれに没頭する必要はありませんが、この重要な作業に対するセキュリティチームのプレッシャーを軽減できるレベルまで技術をアップグレードできる明確な道筋があれば理想的です(そして両チーム間の関係を構築する良い方法でもあります)。
0日がn日に繋がります
ゼロデイ対応の次の段階は、可能な限り迅速にパッチを適用することです。脆弱なソフトウェアの全ユーザーが、攻撃者が到達する前に確実に、かつ可能な限り早くパッチを適用することを望みます。Log4Shellは、ハートブリードを超える可能性すらあります。何百万ものデバイスに組み込まれており、ソフトウェア構築全体に複雑な依存関係を生み出す点で、その持続性と有効性は抜群です。
現実的に、この種の狡猾な攻撃を完全に防ぐ方法はありません。しかし、あらゆる手段を動員して高品質で安全なソフトウェアを作り、重要インフラのような考え方で開発に取り組むという約束があれば、私たち全員が戦う機会を得られるのです。
この記事のバージョンが掲載されました。 SCマガジン.ここで編集およびシンジケートされました。
家に泥棒が入ったことがあるなら、最初は何かがおかしいという感覚を理解できるでしょう。そして実際に盗まれ、侵害されたという事実を悟るのです。これにより通常は長引く不快感が生じ、フォートノックスに匹敵するセキュリティ対策への移行は言うまでもありません。
泥棒たちが自らを鍵として使ったため、家が破られたと想像してみてください。彼らは好き勝手に這い回り、行き来しますが、見つからないよう注意を払います。そんなある日、冷凍庫に隠していた装飾品が消え、金庫が空になり、 個人の所持品がくまなく漁られたことに気づくのは、すでに手遅れでした。これはゼロデイサイバー攻撃の被害に遭った組織が直面する現実と全く同じです。2020年のPonemon研究所の調査によると、成功したデータ侵害の80%はゼロデイエクスプロイトの結果であり、残念ながらほとんどの企業はこの統計を大幅に改善する準備ができていません。
定義によれば、ゼロデイ攻撃は脅威アクターが先に侵入するため、開発者が悪用可能な既存の脆弱性を見つけてパッチを適用する時間を全く与えません。被害を受けた後は、ソフトウェアとビジネスへの評判毀損の両方を解決するための必死の対応が繰り広げられます。攻撃者は常に優位に立つため、最大限の優位性を確保することが重要です。
誰も望んでいなかった名節の贈り物であるLog4Shellは、現在インターネットを熱く沸騰させています。10億台以上のデバイスがこの致命的なJava脆弱性の影響を受けたとされています。これは史上最悪のゼロデイ攻撃となることが予想され、 しかし、一部の報告ではエクスプロイトが公開される数日前に攻撃が始まっていたと述べられており、2016年のブラックハットカンファレンスでのプレゼンテーションが、この問題が以前から知られていたことを示唆しています。さらに悪いことに、悪用が非常に容易なため、地球上のあらゆるスクリプトキディや脅威アクターがこの脆弱性を利用してペイフェイトを狙っています。
では、ソフトウェア開発プロセスで見逃された脆弱性は言うまでもなく、巧妙で悪質な脅威から身を守る最善の方法とは何でしょうか? 見ていきましょう。
大型標的に対するゼロデイ攻撃は稀であり、コストもかかります。
ダークウェブには巨大なエクスプロイト市場が存在します。一例を挙げると、ゼロデイはかなりの金額で取引される傾向があります。この記事が書かれた時点で、250万ドルで上場されました。Apple iOSを悪用したものとされており、セキュリティ研究者の要求価格が天井知らずに高騰したのも驚くべきことではありません。結局のところ、これは何百万台ものデバイスを侵害し、何十億もの機密データ記録を収集し、発見されパッチが適用されるまでの間、可能な限り長くその状態を維持できるゲートウェイとなり得るのです。
とにかく、そんな大金を誰が持っているというのか?一般的に組織化されたサイバー犯罪組織は、価値があると判断すれば現金を用意する。特に常に人気の高いランサムウェア攻撃の場合はなおさらだ。しかし、世界各国の政府や国防総省は脅威インテリジェンスに活用できるエクスプロイトの顧客として挙げられており、より前向きなシナリオでは企業自体が潜在的なゼロデイエクスプロイトを購入して災害を軽減する可能性もある。
2021年には記録が破られました。リアルタイムのゼロデイエクスプロイト発見において、脆弱性が発見されるリスクが最も高いのは大規模組織、政府機関、インフラです。ゼロデイ攻撃の可能性から完全に安全である方法はありませんが、十分な規模で体系的なバグバウンティプログラムを提供すれば、ある程度「ゲーム」を有利に進めることができます。闇のウェブマーケットプレイスで誰かがソフトウェア城の鍵を提供するのを待つのではなく、合法的なセキュリティ専門家を確保し、倫理的な情報開示と潜在的な修正に対して適切な報酬を提供してください。
ゼロデイ脅威が深刻すぎる場合、Amazonギフトカードよりも多くの費用をかけることを想定するのが安全です(そしてそれだけの価値があるでしょう)。
ツールの管理はセキュリティ担当者の責任となる場合があります。
一般的なCISOが管理する煩雑なセキュリティツール群は長年問題視されてきました。55から75に及ぶ多様なツールが彼らのセキュリティ兵器庫に存在し、世界で最も混乱を招く(比喩的な)スイスアーミーナイフと呼ばれる点を除けば、企業の53%は自らが効果的に機能しているという確信すら持てません。 ポネモン研究所の調査によると、 別の調査ではCISOのわずか17%が自社のセキュリティスタックを「完全に効果的」と考えていることが明らかになりました。
バーンアウト、需要を満たすセキュリティ専門人材の不足、俊敏性への要求で知られるこの分野において、セキュリティ専門家が膨大なツール群から生じるデータ、レポート、監視といった形で情報過負荷に対処することを強いられるのは負担が大きい。Log4jの脆弱性を適切に評価した際、重要な警告を見逃す可能性があるシナリオがまさにこれである。
予防的セキュリティには、開発者中心の脅威モデリングが含まれるべきです。
コードレベルの脆弱性は開発者が導入する場合が多く、セキュリティコーディング技術を構築するには正確な指針と定期的な学習経路が必要です。しかし、セキュリティレベルが一段階高い開発者には、ソフトウェア開発プロセスの一部として脅威モデリングを学び実践する機会が与えられました。
自分のソフトウェアを最もよく知っている人々が、そこに座っている開発者たちであることは驚くべきことではありません。彼らはユーザーがソフトウェアとどのように相互作用するか、機能が使用される場所、そしてセキュリティを十分に認識している場合にソフトウェアが損なわれたり悪用されたりする可能性のあるシナリオについて、強力な知識を持っています。
この問題をLog4Shellのエクスプロイトに置き換えると、残念ながら致命的な脆弱性が専門家や複雑なツールセットによる検出を回避できるシナリオが生じます。 しかしライブラリがユーザー入力を削除するよう構成されていれば、この問題は全く発生しなかった可能性があります。そうしないという決定は、追加の利便性のために曖昧な機能だったようですが、悪用が非常に容易になりました(SQLインジェクションのレベルを考えてみてください。天才的なものではありません)。鋭敏でセキュリティに精通した開発者グループが脅威モデリングを行っていたなら、このシナリオを理論化し考慮していた可能性が高いでしょう。
優れたセキュリティプログラムには、人間が引き起こす問題を解決する上で、人間の介入とニュアンスが核心となる感情的要素があります。脅威モデリングが効果的であるためには共感と経験が必要であり、 ソフトウェアおよびアプリケーションのアーキテクチャレベルにおけるセキュアコーディングや構成も同様です。開発者が一夜にしてこれに没頭する必要はありませんが、この重要な作業に対するセキュリティチームのプレッシャーを軽減できるレベルまで技術をアップグレードできる明確な道筋があれば理想的です(そして両チーム間の関係を構築する良い方法でもあります)。
0日がn日に繋がります
ゼロデイ対応の次の段階は、可能な限り迅速にパッチを適用することです。脆弱なソフトウェアの全ユーザーが、攻撃者が到達する前に確実に、かつ可能な限り早くパッチを適用することを望みます。Log4Shellは、ハートブリードを超える可能性すらあります。何百万ものデバイスに組み込まれており、ソフトウェア構築全体に複雑な依存関係を生み出す点で、その持続性と有効性は抜群です。
現実的に、この種の狡猾な攻撃を完全に防ぐ方法はありません。しかし、あらゆる手段を動員して高品質で安全なソフトウェアを作り、重要インフラのような考え方で開発に取り組むという約束があれば、私たち全員が戦う機会を得られるのです。
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
この記事のバージョンが掲載されました。 SCマガジン.ここで編集およびシンジケートされました。
家に泥棒が入ったことがあるなら、最初は何かがおかしいという感覚を理解できるでしょう。そして実際に盗まれ、侵害されたという事実を悟るのです。これにより通常は長引く不快感が生じ、フォートノックスに匹敵するセキュリティ対策への移行は言うまでもありません。
泥棒たちが自らを鍵として使ったため、家が破られたと想像してみてください。彼らは好き勝手に這い回り、行き来しますが、見つからないよう注意を払います。そんなある日、冷凍庫に隠していた装飾品が消え、金庫が空になり、 個人の所持品がくまなく漁られたことに気づくのは、すでに手遅れでした。これはゼロデイサイバー攻撃の被害に遭った組織が直面する現実と全く同じです。2020年のPonemon研究所の調査によると、成功したデータ侵害の80%はゼロデイエクスプロイトの結果であり、残念ながらほとんどの企業はこの統計を大幅に改善する準備ができていません。
定義によれば、ゼロデイ攻撃は脅威アクターが先に侵入するため、開発者が悪用可能な既存の脆弱性を見つけてパッチを適用する時間を全く与えません。被害を受けた後は、ソフトウェアとビジネスへの評判毀損の両方を解決するための必死の対応が繰り広げられます。攻撃者は常に優位に立つため、最大限の優位性を確保することが重要です。
誰も望んでいなかった名節の贈り物であるLog4Shellは、現在インターネットを熱く沸騰させています。10億台以上のデバイスがこの致命的なJava脆弱性の影響を受けたとされています。これは史上最悪のゼロデイ攻撃となることが予想され、 しかし、一部の報告ではエクスプロイトが公開される数日前に攻撃が始まっていたと述べられており、2016年のブラックハットカンファレンスでのプレゼンテーションが、この問題が以前から知られていたことを示唆しています。さらに悪いことに、悪用が非常に容易なため、地球上のあらゆるスクリプトキディや脅威アクターがこの脆弱性を利用してペイフェイトを狙っています。
では、ソフトウェア開発プロセスで見逃された脆弱性は言うまでもなく、巧妙で悪質な脅威から身を守る最善の方法とは何でしょうか? 見ていきましょう。
大型標的に対するゼロデイ攻撃は稀であり、コストもかかります。
ダークウェブには巨大なエクスプロイト市場が存在します。一例を挙げると、ゼロデイはかなりの金額で取引される傾向があります。この記事が書かれた時点で、250万ドルで上場されました。Apple iOSを悪用したものとされており、セキュリティ研究者の要求価格が天井知らずに高騰したのも驚くべきことではありません。結局のところ、これは何百万台ものデバイスを侵害し、何十億もの機密データ記録を収集し、発見されパッチが適用されるまでの間、可能な限り長くその状態を維持できるゲートウェイとなり得るのです。
とにかく、そんな大金を誰が持っているというのか?一般的に組織化されたサイバー犯罪組織は、価値があると判断すれば現金を用意する。特に常に人気の高いランサムウェア攻撃の場合はなおさらだ。しかし、世界各国の政府や国防総省は脅威インテリジェンスに活用できるエクスプロイトの顧客として挙げられており、より前向きなシナリオでは企業自体が潜在的なゼロデイエクスプロイトを購入して災害を軽減する可能性もある。
2021年には記録が破られました。リアルタイムのゼロデイエクスプロイト発見において、脆弱性が発見されるリスクが最も高いのは大規模組織、政府機関、インフラです。ゼロデイ攻撃の可能性から完全に安全である方法はありませんが、十分な規模で体系的なバグバウンティプログラムを提供すれば、ある程度「ゲーム」を有利に進めることができます。闇のウェブマーケットプレイスで誰かがソフトウェア城の鍵を提供するのを待つのではなく、合法的なセキュリティ専門家を確保し、倫理的な情報開示と潜在的な修正に対して適切な報酬を提供してください。
ゼロデイ脅威が深刻すぎる場合、Amazonギフトカードよりも多くの費用をかけることを想定するのが安全です(そしてそれだけの価値があるでしょう)。
ツールの管理はセキュリティ担当者の責任となる場合があります。
一般的なCISOが管理する煩雑なセキュリティツール群は長年問題視されてきました。55から75に及ぶ多様なツールが彼らのセキュリティ兵器庫に存在し、世界で最も混乱を招く(比喩的な)スイスアーミーナイフと呼ばれる点を除けば、企業の53%は自らが効果的に機能しているという確信すら持てません。 ポネモン研究所の調査によると、 別の調査ではCISOのわずか17%が自社のセキュリティスタックを「完全に効果的」と考えていることが明らかになりました。
バーンアウト、需要を満たすセキュリティ専門人材の不足、俊敏性への要求で知られるこの分野において、セキュリティ専門家が膨大なツール群から生じるデータ、レポート、監視といった形で情報過負荷に対処することを強いられるのは負担が大きい。Log4jの脆弱性を適切に評価した際、重要な警告を見逃す可能性があるシナリオがまさにこれである。
予防的セキュリティには、開発者中心の脅威モデリングが含まれるべきです。
コードレベルの脆弱性は開発者が導入する場合が多く、セキュリティコーディング技術を構築するには正確な指針と定期的な学習経路が必要です。しかし、セキュリティレベルが一段階高い開発者には、ソフトウェア開発プロセスの一部として脅威モデリングを学び実践する機会が与えられました。
自分のソフトウェアを最もよく知っている人々が、そこに座っている開発者たちであることは驚くべきことではありません。彼らはユーザーがソフトウェアとどのように相互作用するか、機能が使用される場所、そしてセキュリティを十分に認識している場合にソフトウェアが損なわれたり悪用されたりする可能性のあるシナリオについて、強力な知識を持っています。
この問題をLog4Shellのエクスプロイトに置き換えると、残念ながら致命的な脆弱性が専門家や複雑なツールセットによる検出を回避できるシナリオが生じます。 しかしライブラリがユーザー入力を削除するよう構成されていれば、この問題は全く発生しなかった可能性があります。そうしないという決定は、追加の利便性のために曖昧な機能だったようですが、悪用が非常に容易になりました(SQLインジェクションのレベルを考えてみてください。天才的なものではありません)。鋭敏でセキュリティに精通した開発者グループが脅威モデリングを行っていたなら、このシナリオを理論化し考慮していた可能性が高いでしょう。
優れたセキュリティプログラムには、人間が引き起こす問題を解決する上で、人間の介入とニュアンスが核心となる感情的要素があります。脅威モデリングが効果的であるためには共感と経験が必要であり、 ソフトウェアおよびアプリケーションのアーキテクチャレベルにおけるセキュアコーディングや構成も同様です。開発者が一夜にしてこれに没頭する必要はありませんが、この重要な作業に対するセキュリティチームのプレッシャーを軽減できるレベルまで技術をアップグレードできる明確な道筋があれば理想的です(そして両チーム間の関係を構築する良い方法でもあります)。
0日がn日に繋がります
ゼロデイ対応の次の段階は、可能な限り迅速にパッチを適用することです。脆弱なソフトウェアの全ユーザーが、攻撃者が到達する前に確実に、かつ可能な限り早くパッチを適用することを望みます。Log4Shellは、ハートブリードを超える可能性すらあります。何百万ものデバイスに組み込まれており、ソフトウェア構築全体に複雑な依存関係を生み出す点で、その持続性と有効性は抜群です。
現実的に、この種の狡猾な攻撃を完全に防ぐ方法はありません。しかし、あらゆる手段を動員して高品質で安全なソフトウェアを作り、重要インフラのような考え方で開発に取り組むという約束があれば、私たち全員が戦う機会を得られるのです。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約ダウンロード
%20(1).avif)
.avif)
