ゼロデイ攻撃が増加しています。今こそディフェンシブエッジを計画する時です。
この記事のバージョンが掲載されました SC マガジン。ここで修正およびシンジケートされています。
泥棒に家に侵入されたことがあれば、最初は何かがおかしいという気持ちが沈み、その後、自分が実際に盗まれて侵害されたことに気づくのがわかるでしょう。フォートノックスに匹敵するセキュリティ対策への転換は言うまでもなく、通常は不快感が長続きします。
泥棒が自分で鍵を作ったために家が壊されたと想像してみてください。彼らは忍び寄り、好きなように行き来しますが、気づかれないように気をつけています。そして、ある日、冷凍庫に隠していたジュエリーがなくなったり、金庫が空になったり、身の回り品が略奪されたことに気付くのが遅すぎました。これは、ゼロデイ・サイバー攻撃の被害に遭った場合に組織が直面する現実とまったく同じです。2020年、ポネモン・インスティテュートが行った調査では、次のことが明らかになりました。 データ漏えい成功の 80% これはゼロデイエクスプロイトの結果であり、残念なことに、ほとんどの企業がこの統計を大幅に改善するための準備が整っていません。
ゼロデイ攻撃は、当然のことながら、攻撃者が最初に侵入するため、開発者が悪用される可能性のある既存の脆弱性を発見してパッチを適用する時間がまったくありません。被害が発生したら、ビジネスに対するソフトウェアと評判の低下の両方を修正しようとすると、狂ったような争いが繰り広げられます。攻撃者は常に有利な立場にあり、そのエッジをできる限り塞ぐことが重要です。
誰も欲しがらなかったホリデーギフトであるLog4Shellは、現在インターネットを席巻しており、10億台を超えるデバイスがこの壊滅的なJavaの脆弱性の影響を受けていると言われています。これは記録上最悪のゼロデイ攻撃になりつつあり、まだ始まったばかりです。にもかかわらず 一部のレポート エクスプロイトは公開の数日前に開始されたと述べ、 2016年のブラックハットカンファレンスでのプレゼンテーション これはしばらくの間既知の問題であったと思われます。痛い。さらに悪いことに、この脆弱性は非常に簡単に悪用され、世界中のあらゆるスクリプト小僧や脅威アクターが、この脆弱性を狙っています。
では、ソフトウェア開発プロセスで見逃されてきた脆弱性は言うまでもなく、滑りやすい邪悪な脅威から身を守るための最善の方法は何でしょうか?それでは見てみましょう。
大きなターゲットに対するゼロデイ攻撃はまれです(そして高価です)
ダークウェブにはエクスプロイトの巨大な市場があり、一例を挙げると、ゼロデイはかなりの金額になる傾向があります この記事で これを書いている時点で250万ドルで上場しています。Apple iOS の悪用であると報告されているが、セキュリティ研究者の提示価格が高騰しているのは驚くことではない。結局のところ、これは実際に、数百万台のデバイスを侵害し、何十億もの機密データレコードを収集し、発見されパッチが適用される前に可能な限り長くそれを行うためのゲートウェイとなる可能性がある。
しかし、そもそも誰がそんなお金を持っているのでしょうか?通常、組織化されたサイバー犯罪シンジケートは、特に人気の高いランサムウェア攻撃に対して、価値があると判断されれば資金を調達します。しかし、世界の政府や防衛部門は、脅威インテリジェンスのために利用できるエクスプロイトの顧客であり、よりポジティブなシナリオでは、企業自身が潜在的なゼロデイエクスプロイトの購入者となり、災害を軽減できる可能性があります。
2021年には記録が破られました ゼロデイエクスプロイトのライブディスカバリの対象であり、弱点について調査されるリスクが最も高いのは大規模な組織、政府機関、およびインフラストラクチャです。ゼロデイ攻撃の可能性から完全に保護する方法はありませんが、寛大でよく構成されたバグ報奨金プログラムを提供することで、ある程度「ゲームをする」ことができます。ダークウェブマーケットプレイスで誰かがソフトウェアキャッスルの鍵を提供するまで待つのではなく、合法的なセキュリティマニアを味方につけ、倫理的開示や潜在的な修正に対して適切な報酬を提供してください。
そして、それがたまたま身の毛もよだつようなゼロデイ脅威である場合は、Amazonギフトカード以上のものを支払う必要があると考えて間違いありません(そうする価値はあります)。
ツールの使用は、セキュリティ担当者の負担となる可能性があります。
煩雑なセキュリティツールは長い間問題となっており、平均的なCISOが管理しています 55個から75個のツールまで 彼らのセキュリティアーセナルで。世界で最もわかりにくい (比喩的な) スイスアーミーナイフであることはさておき、53% の企業が、自分たちが効果的に働いていることにさえ自信がないと回答しています。 ある研究によると ポネモンインスティテュートによる。 別の研究 自社のセキュリティスタックが「完全に効果的」だと考えているCISOはわずか17%であることが明らかになりました。
燃え尽き症候群、需要を満たすセキュリティスキルのある人材の不足、アジリティの必要性で知られるこの分野では、膨大なツールセットのデータ、レポート、監視という形で、セキュリティ専門家が情報過多の処理を強いられることは大きな負担となっています。これはまさに、Log4jの弱点を適切に評価したときにも当てはまる可能性のある、クリティカルなアラートを見逃す原因となるようなシナリオです。
予防的セキュリティには、開発者主導の脅威モデリングを含める必要があります
コードレベルの脆弱性は開発者によって導入されることが多く、安全なコーディングスキルを身に付けるには、正確なガイダンスと定期的な学習経路が必要です。しかし、次のレベルのセキュア開発者には、ソフトウェア作成プロセスの一環として、脅威モデリングを学び、実践する機会が与えられています。
自社のソフトウェアを最もよく知っている人々が、そこに座ってそれを作成した開発者であることは驚くべきことではありません。彼らは、ユーザーによるソフトウェアの操作方法、機能の使用場所、そしてセキュリティを十分に認識していれば、ソフトウェアが壊れたり悪用されたりする可能性のあるシナリオについて、強力な知識を持っています。
これをLog4Shellエクスプロイトに戻すと、残念ながら専門家や複雑なツールセットでは致命的な脆弱性が検出されないというシナリオが見られます。ただし、ライブラリがユーザー入力をサニタイズするように構成されていれば、まったく発生しなかった可能性があります。そうしないという決定 利便性を高めるためにあいまいな機能だったようですですが、悪用するのが非常に簡単になりました(SQLインジェクションレベルを考えてみてください。確かに天才的なものではありません)。セキュリティに精通した熱心な開発者のグループが脅威モデリングを行っていたら、このシナリオは理論化され、検討された可能性が高いでしょう。
優れたセキュリティプログラムには感情的な要素があり、人間が作り出した問題の解決の中心に人間の介入と微妙な違いがあります。脅威モデリングを効果的に行うには、共感と経験が必要であり、ソフトウェアとアプリケーションのアーキテクチャレベルでの安全なコーディングと構成も必要です。これは開発者が一夜にして取り組むべきことではありませんが、この重要なタスクに対するセキュリティチームのプレッシャーを取り除くことができるレベルまで開発者をスキルアップするための明確な道筋を用意することが理想的です (また、両チーム間の信頼関係を築くための優れた方法でもあります)。
ゼロデイは n 日につながる
ゼロデイ対策の次の段階は、パッチをできるだけ早く配布することです。脆弱なソフトウェアのすべてのユーザーができるだけ早く、そして確実に攻撃者が最初にパッチを適用する前に、パッチを適用することを望みます。Log4Shell を使うと、 ハートブリードを食い尽くすかもしれない 何百万ものデバイスに組み込まれ、ソフトウェアビルド全体で複雑な依存関係を作り出しているにもかかわらず、その耐久性と効力の高さにあります。
現実的には、この種の陰湿な攻撃を完全に阻止する方法はありません。しかし、あらゆる手段を駆使して高品質で安全なソフトウェアを作成し、重要なインフラストラクチャと同じ考え方で開発に取り組むことを約束すれば、私たち全員に戦いのチャンスがあります。
ゼロデイ攻撃は、当然のことながら、攻撃者が最初に侵入するため、開発者が悪用される可能性のある既存の脆弱性を発見してパッチを適用する時間がまったくありません。被害が発生したら、ビジネスに対するソフトウェアと評判の低下の両方を修正しようとすると、狂ったような争いが繰り広げられます。攻撃者は常に有利な立場にあり、そのエッジをできる限り塞ぐことが重要です。
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。Matias はゲント大学で静的分析ソリューションを中心にアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手伝わずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesome の一員としてデスクにいないときは、RSA カンファレンス、BlackHat、DefCon などのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。Matias はゲント大学で静的分析ソリューションを中心にアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手伝わずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesome の一員としてデスクにいないときは、RSA カンファレンス、BlackHat、DefCon などのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Matiasは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れているときには、マティアスは上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
この記事のバージョンが掲載されました SC マガジン。ここで修正およびシンジケートされています。
泥棒に家に侵入されたことがあれば、最初は何かがおかしいという気持ちが沈み、その後、自分が実際に盗まれて侵害されたことに気づくのがわかるでしょう。フォートノックスに匹敵するセキュリティ対策への転換は言うまでもなく、通常は不快感が長続きします。
泥棒が自分で鍵を作ったために家が壊されたと想像してみてください。彼らは忍び寄り、好きなように行き来しますが、気づかれないように気をつけています。そして、ある日、冷凍庫に隠していたジュエリーがなくなったり、金庫が空になったり、身の回り品が略奪されたことに気付くのが遅すぎました。これは、ゼロデイ・サイバー攻撃の被害に遭った場合に組織が直面する現実とまったく同じです。2020年、ポネモン・インスティテュートが行った調査では、次のことが明らかになりました。 データ漏えい成功の 80% これはゼロデイエクスプロイトの結果であり、残念なことに、ほとんどの企業がこの統計を大幅に改善するための準備が整っていません。
ゼロデイ攻撃は、当然のことながら、攻撃者が最初に侵入するため、開発者が悪用される可能性のある既存の脆弱性を発見してパッチを適用する時間がまったくありません。被害が発生したら、ビジネスに対するソフトウェアと評判の低下の両方を修正しようとすると、狂ったような争いが繰り広げられます。攻撃者は常に有利な立場にあり、そのエッジをできる限り塞ぐことが重要です。
誰も欲しがらなかったホリデーギフトであるLog4Shellは、現在インターネットを席巻しており、10億台を超えるデバイスがこの壊滅的なJavaの脆弱性の影響を受けていると言われています。これは記録上最悪のゼロデイ攻撃になりつつあり、まだ始まったばかりです。にもかかわらず 一部のレポート エクスプロイトは公開の数日前に開始されたと述べ、 2016年のブラックハットカンファレンスでのプレゼンテーション これはしばらくの間既知の問題であったと思われます。痛い。さらに悪いことに、この脆弱性は非常に簡単に悪用され、世界中のあらゆるスクリプト小僧や脅威アクターが、この脆弱性を狙っています。
では、ソフトウェア開発プロセスで見逃されてきた脆弱性は言うまでもなく、滑りやすい邪悪な脅威から身を守るための最善の方法は何でしょうか?それでは見てみましょう。
大きなターゲットに対するゼロデイ攻撃はまれです(そして高価です)
ダークウェブにはエクスプロイトの巨大な市場があり、一例を挙げると、ゼロデイはかなりの金額になる傾向があります この記事で これを書いている時点で250万ドルで上場しています。Apple iOS の悪用であると報告されているが、セキュリティ研究者の提示価格が高騰しているのは驚くことではない。結局のところ、これは実際に、数百万台のデバイスを侵害し、何十億もの機密データレコードを収集し、発見されパッチが適用される前に可能な限り長くそれを行うためのゲートウェイとなる可能性がある。
しかし、そもそも誰がそんなお金を持っているのでしょうか?通常、組織化されたサイバー犯罪シンジケートは、特に人気の高いランサムウェア攻撃に対して、価値があると判断されれば資金を調達します。しかし、世界の政府や防衛部門は、脅威インテリジェンスのために利用できるエクスプロイトの顧客であり、よりポジティブなシナリオでは、企業自身が潜在的なゼロデイエクスプロイトの購入者となり、災害を軽減できる可能性があります。
2021年には記録が破られました ゼロデイエクスプロイトのライブディスカバリの対象であり、弱点について調査されるリスクが最も高いのは大規模な組織、政府機関、およびインフラストラクチャです。ゼロデイ攻撃の可能性から完全に保護する方法はありませんが、寛大でよく構成されたバグ報奨金プログラムを提供することで、ある程度「ゲームをする」ことができます。ダークウェブマーケットプレイスで誰かがソフトウェアキャッスルの鍵を提供するまで待つのではなく、合法的なセキュリティマニアを味方につけ、倫理的開示や潜在的な修正に対して適切な報酬を提供してください。
そして、それがたまたま身の毛もよだつようなゼロデイ脅威である場合は、Amazonギフトカード以上のものを支払う必要があると考えて間違いありません(そうする価値はあります)。
ツールの使用は、セキュリティ担当者の負担となる可能性があります。
煩雑なセキュリティツールは長い間問題となっており、平均的なCISOが管理しています 55個から75個のツールまで 彼らのセキュリティアーセナルで。世界で最もわかりにくい (比喩的な) スイスアーミーナイフであることはさておき、53% の企業が、自分たちが効果的に働いていることにさえ自信がないと回答しています。 ある研究によると ポネモンインスティテュートによる。 別の研究 自社のセキュリティスタックが「完全に効果的」だと考えているCISOはわずか17%であることが明らかになりました。
燃え尽き症候群、需要を満たすセキュリティスキルのある人材の不足、アジリティの必要性で知られるこの分野では、膨大なツールセットのデータ、レポート、監視という形で、セキュリティ専門家が情報過多の処理を強いられることは大きな負担となっています。これはまさに、Log4jの弱点を適切に評価したときにも当てはまる可能性のある、クリティカルなアラートを見逃す原因となるようなシナリオです。
予防的セキュリティには、開発者主導の脅威モデリングを含める必要があります
コードレベルの脆弱性は開発者によって導入されることが多く、安全なコーディングスキルを身に付けるには、正確なガイダンスと定期的な学習経路が必要です。しかし、次のレベルのセキュア開発者には、ソフトウェア作成プロセスの一環として、脅威モデリングを学び、実践する機会が与えられています。
自社のソフトウェアを最もよく知っている人々が、そこに座ってそれを作成した開発者であることは驚くべきことではありません。彼らは、ユーザーによるソフトウェアの操作方法、機能の使用場所、そしてセキュリティを十分に認識していれば、ソフトウェアが壊れたり悪用されたりする可能性のあるシナリオについて、強力な知識を持っています。
これをLog4Shellエクスプロイトに戻すと、残念ながら専門家や複雑なツールセットでは致命的な脆弱性が検出されないというシナリオが見られます。ただし、ライブラリがユーザー入力をサニタイズするように構成されていれば、まったく発生しなかった可能性があります。そうしないという決定 利便性を高めるためにあいまいな機能だったようですですが、悪用するのが非常に簡単になりました(SQLインジェクションレベルを考えてみてください。確かに天才的なものではありません)。セキュリティに精通した熱心な開発者のグループが脅威モデリングを行っていたら、このシナリオは理論化され、検討された可能性が高いでしょう。
優れたセキュリティプログラムには感情的な要素があり、人間が作り出した問題の解決の中心に人間の介入と微妙な違いがあります。脅威モデリングを効果的に行うには、共感と経験が必要であり、ソフトウェアとアプリケーションのアーキテクチャレベルでの安全なコーディングと構成も必要です。これは開発者が一夜にして取り組むべきことではありませんが、この重要なタスクに対するセキュリティチームのプレッシャーを取り除くことができるレベルまで開発者をスキルアップするための明確な道筋を用意することが理想的です (また、両チーム間の信頼関係を築くための優れた方法でもあります)。
ゼロデイは n 日につながる
ゼロデイ対策の次の段階は、パッチをできるだけ早く配布することです。脆弱なソフトウェアのすべてのユーザーができるだけ早く、そして確実に攻撃者が最初にパッチを適用する前に、パッチを適用することを望みます。Log4Shell を使うと、 ハートブリードを食い尽くすかもしれない 何百万ものデバイスに組み込まれ、ソフトウェアビルド全体で複雑な依存関係を作り出しているにもかかわらず、その耐久性と効力の高さにあります。
現実的には、この種の陰湿な攻撃を完全に阻止する方法はありません。しかし、あらゆる手段を駆使して高品質で安全なソフトウェアを作成し、重要なインフラストラクチャと同じ考え方で開発に取り組むことを約束すれば、私たち全員に戦いのチャンスがあります。
この記事のバージョンが掲載されました SC マガジン。ここで修正およびシンジケートされています。
泥棒に家に侵入されたことがあれば、最初は何かがおかしいという気持ちが沈み、その後、自分が実際に盗まれて侵害されたことに気づくのがわかるでしょう。フォートノックスに匹敵するセキュリティ対策への転換は言うまでもなく、通常は不快感が長続きします。
泥棒が自分で鍵を作ったために家が壊されたと想像してみてください。彼らは忍び寄り、好きなように行き来しますが、気づかれないように気をつけています。そして、ある日、冷凍庫に隠していたジュエリーがなくなったり、金庫が空になったり、身の回り品が略奪されたことに気付くのが遅すぎました。これは、ゼロデイ・サイバー攻撃の被害に遭った場合に組織が直面する現実とまったく同じです。2020年、ポネモン・インスティテュートが行った調査では、次のことが明らかになりました。 データ漏えい成功の 80% これはゼロデイエクスプロイトの結果であり、残念なことに、ほとんどの企業がこの統計を大幅に改善するための準備が整っていません。
ゼロデイ攻撃は、当然のことながら、攻撃者が最初に侵入するため、開発者が悪用される可能性のある既存の脆弱性を発見してパッチを適用する時間がまったくありません。被害が発生したら、ビジネスに対するソフトウェアと評判の低下の両方を修正しようとすると、狂ったような争いが繰り広げられます。攻撃者は常に有利な立場にあり、そのエッジをできる限り塞ぐことが重要です。
誰も欲しがらなかったホリデーギフトであるLog4Shellは、現在インターネットを席巻しており、10億台を超えるデバイスがこの壊滅的なJavaの脆弱性の影響を受けていると言われています。これは記録上最悪のゼロデイ攻撃になりつつあり、まだ始まったばかりです。にもかかわらず 一部のレポート エクスプロイトは公開の数日前に開始されたと述べ、 2016年のブラックハットカンファレンスでのプレゼンテーション これはしばらくの間既知の問題であったと思われます。痛い。さらに悪いことに、この脆弱性は非常に簡単に悪用され、世界中のあらゆるスクリプト小僧や脅威アクターが、この脆弱性を狙っています。
では、ソフトウェア開発プロセスで見逃されてきた脆弱性は言うまでもなく、滑りやすい邪悪な脅威から身を守るための最善の方法は何でしょうか?それでは見てみましょう。
大きなターゲットに対するゼロデイ攻撃はまれです(そして高価です)
ダークウェブにはエクスプロイトの巨大な市場があり、一例を挙げると、ゼロデイはかなりの金額になる傾向があります この記事で これを書いている時点で250万ドルで上場しています。Apple iOS の悪用であると報告されているが、セキュリティ研究者の提示価格が高騰しているのは驚くことではない。結局のところ、これは実際に、数百万台のデバイスを侵害し、何十億もの機密データレコードを収集し、発見されパッチが適用される前に可能な限り長くそれを行うためのゲートウェイとなる可能性がある。
しかし、そもそも誰がそんなお金を持っているのでしょうか?通常、組織化されたサイバー犯罪シンジケートは、特に人気の高いランサムウェア攻撃に対して、価値があると判断されれば資金を調達します。しかし、世界の政府や防衛部門は、脅威インテリジェンスのために利用できるエクスプロイトの顧客であり、よりポジティブなシナリオでは、企業自身が潜在的なゼロデイエクスプロイトの購入者となり、災害を軽減できる可能性があります。
2021年には記録が破られました ゼロデイエクスプロイトのライブディスカバリの対象であり、弱点について調査されるリスクが最も高いのは大規模な組織、政府機関、およびインフラストラクチャです。ゼロデイ攻撃の可能性から完全に保護する方法はありませんが、寛大でよく構成されたバグ報奨金プログラムを提供することで、ある程度「ゲームをする」ことができます。ダークウェブマーケットプレイスで誰かがソフトウェアキャッスルの鍵を提供するまで待つのではなく、合法的なセキュリティマニアを味方につけ、倫理的開示や潜在的な修正に対して適切な報酬を提供してください。
そして、それがたまたま身の毛もよだつようなゼロデイ脅威である場合は、Amazonギフトカード以上のものを支払う必要があると考えて間違いありません(そうする価値はあります)。
ツールの使用は、セキュリティ担当者の負担となる可能性があります。
煩雑なセキュリティツールは長い間問題となっており、平均的なCISOが管理しています 55個から75個のツールまで 彼らのセキュリティアーセナルで。世界で最もわかりにくい (比喩的な) スイスアーミーナイフであることはさておき、53% の企業が、自分たちが効果的に働いていることにさえ自信がないと回答しています。 ある研究によると ポネモンインスティテュートによる。 別の研究 自社のセキュリティスタックが「完全に効果的」だと考えているCISOはわずか17%であることが明らかになりました。
燃え尽き症候群、需要を満たすセキュリティスキルのある人材の不足、アジリティの必要性で知られるこの分野では、膨大なツールセットのデータ、レポート、監視という形で、セキュリティ専門家が情報過多の処理を強いられることは大きな負担となっています。これはまさに、Log4jの弱点を適切に評価したときにも当てはまる可能性のある、クリティカルなアラートを見逃す原因となるようなシナリオです。
予防的セキュリティには、開発者主導の脅威モデリングを含める必要があります
コードレベルの脆弱性は開発者によって導入されることが多く、安全なコーディングスキルを身に付けるには、正確なガイダンスと定期的な学習経路が必要です。しかし、次のレベルのセキュア開発者には、ソフトウェア作成プロセスの一環として、脅威モデリングを学び、実践する機会が与えられています。
自社のソフトウェアを最もよく知っている人々が、そこに座ってそれを作成した開発者であることは驚くべきことではありません。彼らは、ユーザーによるソフトウェアの操作方法、機能の使用場所、そしてセキュリティを十分に認識していれば、ソフトウェアが壊れたり悪用されたりする可能性のあるシナリオについて、強力な知識を持っています。
これをLog4Shellエクスプロイトに戻すと、残念ながら専門家や複雑なツールセットでは致命的な脆弱性が検出されないというシナリオが見られます。ただし、ライブラリがユーザー入力をサニタイズするように構成されていれば、まったく発生しなかった可能性があります。そうしないという決定 利便性を高めるためにあいまいな機能だったようですですが、悪用するのが非常に簡単になりました(SQLインジェクションレベルを考えてみてください。確かに天才的なものではありません)。セキュリティに精通した熱心な開発者のグループが脅威モデリングを行っていたら、このシナリオは理論化され、検討された可能性が高いでしょう。
優れたセキュリティプログラムには感情的な要素があり、人間が作り出した問題の解決の中心に人間の介入と微妙な違いがあります。脅威モデリングを効果的に行うには、共感と経験が必要であり、ソフトウェアとアプリケーションのアーキテクチャレベルでの安全なコーディングと構成も必要です。これは開発者が一夜にして取り組むべきことではありませんが、この重要なタスクに対するセキュリティチームのプレッシャーを取り除くことができるレベルまで開発者をスキルアップするための明確な道筋を用意することが理想的です (また、両チーム間の信頼関係を築くための優れた方法でもあります)。
ゼロデイは n 日につながる
ゼロデイ対策の次の段階は、パッチをできるだけ早く配布することです。脆弱なソフトウェアのすべてのユーザーができるだけ早く、そして確実に攻撃者が最初にパッチを適用する前に、パッチを適用することを望みます。Log4Shell を使うと、 ハートブリードを食い尽くすかもしれない 何百万ものデバイスに組み込まれ、ソフトウェアビルド全体で複雑な依存関係を作り出しているにもかかわらず、その耐久性と効力の高さにあります。
現実的には、この種の陰湿な攻撃を完全に阻止する方法はありません。しかし、あらゆる手段を駆使して高品質で安全なソフトウェアを作成し、重要なインフラストラクチャと同じ考え方で開発に取り組むことを約束すれば、私たち全員に戦いのチャンスがあります。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。Matias はゲント大学で静的分析ソリューションを中心にアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手伝わずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesome の一員としてデスクにいないときは、RSA カンファレンス、BlackHat、DefCon などのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Matiasは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れているときには、マティアスは上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
この記事のバージョンが掲載されました SC マガジン。ここで修正およびシンジケートされています。
泥棒に家に侵入されたことがあれば、最初は何かがおかしいという気持ちが沈み、その後、自分が実際に盗まれて侵害されたことに気づくのがわかるでしょう。フォートノックスに匹敵するセキュリティ対策への転換は言うまでもなく、通常は不快感が長続きします。
泥棒が自分で鍵を作ったために家が壊されたと想像してみてください。彼らは忍び寄り、好きなように行き来しますが、気づかれないように気をつけています。そして、ある日、冷凍庫に隠していたジュエリーがなくなったり、金庫が空になったり、身の回り品が略奪されたことに気付くのが遅すぎました。これは、ゼロデイ・サイバー攻撃の被害に遭った場合に組織が直面する現実とまったく同じです。2020年、ポネモン・インスティテュートが行った調査では、次のことが明らかになりました。 データ漏えい成功の 80% これはゼロデイエクスプロイトの結果であり、残念なことに、ほとんどの企業がこの統計を大幅に改善するための準備が整っていません。
ゼロデイ攻撃は、当然のことながら、攻撃者が最初に侵入するため、開発者が悪用される可能性のある既存の脆弱性を発見してパッチを適用する時間がまったくありません。被害が発生したら、ビジネスに対するソフトウェアと評判の低下の両方を修正しようとすると、狂ったような争いが繰り広げられます。攻撃者は常に有利な立場にあり、そのエッジをできる限り塞ぐことが重要です。
誰も欲しがらなかったホリデーギフトであるLog4Shellは、現在インターネットを席巻しており、10億台を超えるデバイスがこの壊滅的なJavaの脆弱性の影響を受けていると言われています。これは記録上最悪のゼロデイ攻撃になりつつあり、まだ始まったばかりです。にもかかわらず 一部のレポート エクスプロイトは公開の数日前に開始されたと述べ、 2016年のブラックハットカンファレンスでのプレゼンテーション これはしばらくの間既知の問題であったと思われます。痛い。さらに悪いことに、この脆弱性は非常に簡単に悪用され、世界中のあらゆるスクリプト小僧や脅威アクターが、この脆弱性を狙っています。
では、ソフトウェア開発プロセスで見逃されてきた脆弱性は言うまでもなく、滑りやすい邪悪な脅威から身を守るための最善の方法は何でしょうか?それでは見てみましょう。
大きなターゲットに対するゼロデイ攻撃はまれです(そして高価です)
ダークウェブにはエクスプロイトの巨大な市場があり、一例を挙げると、ゼロデイはかなりの金額になる傾向があります この記事で これを書いている時点で250万ドルで上場しています。Apple iOS の悪用であると報告されているが、セキュリティ研究者の提示価格が高騰しているのは驚くことではない。結局のところ、これは実際に、数百万台のデバイスを侵害し、何十億もの機密データレコードを収集し、発見されパッチが適用される前に可能な限り長くそれを行うためのゲートウェイとなる可能性がある。
しかし、そもそも誰がそんなお金を持っているのでしょうか?通常、組織化されたサイバー犯罪シンジケートは、特に人気の高いランサムウェア攻撃に対して、価値があると判断されれば資金を調達します。しかし、世界の政府や防衛部門は、脅威インテリジェンスのために利用できるエクスプロイトの顧客であり、よりポジティブなシナリオでは、企業自身が潜在的なゼロデイエクスプロイトの購入者となり、災害を軽減できる可能性があります。
2021年には記録が破られました ゼロデイエクスプロイトのライブディスカバリの対象であり、弱点について調査されるリスクが最も高いのは大規模な組織、政府機関、およびインフラストラクチャです。ゼロデイ攻撃の可能性から完全に保護する方法はありませんが、寛大でよく構成されたバグ報奨金プログラムを提供することで、ある程度「ゲームをする」ことができます。ダークウェブマーケットプレイスで誰かがソフトウェアキャッスルの鍵を提供するまで待つのではなく、合法的なセキュリティマニアを味方につけ、倫理的開示や潜在的な修正に対して適切な報酬を提供してください。
そして、それがたまたま身の毛もよだつようなゼロデイ脅威である場合は、Amazonギフトカード以上のものを支払う必要があると考えて間違いありません(そうする価値はあります)。
ツールの使用は、セキュリティ担当者の負担となる可能性があります。
煩雑なセキュリティツールは長い間問題となっており、平均的なCISOが管理しています 55個から75個のツールまで 彼らのセキュリティアーセナルで。世界で最もわかりにくい (比喩的な) スイスアーミーナイフであることはさておき、53% の企業が、自分たちが効果的に働いていることにさえ自信がないと回答しています。 ある研究によると ポネモンインスティテュートによる。 別の研究 自社のセキュリティスタックが「完全に効果的」だと考えているCISOはわずか17%であることが明らかになりました。
燃え尽き症候群、需要を満たすセキュリティスキルのある人材の不足、アジリティの必要性で知られるこの分野では、膨大なツールセットのデータ、レポート、監視という形で、セキュリティ専門家が情報過多の処理を強いられることは大きな負担となっています。これはまさに、Log4jの弱点を適切に評価したときにも当てはまる可能性のある、クリティカルなアラートを見逃す原因となるようなシナリオです。
予防的セキュリティには、開発者主導の脅威モデリングを含める必要があります
コードレベルの脆弱性は開発者によって導入されることが多く、安全なコーディングスキルを身に付けるには、正確なガイダンスと定期的な学習経路が必要です。しかし、次のレベルのセキュア開発者には、ソフトウェア作成プロセスの一環として、脅威モデリングを学び、実践する機会が与えられています。
自社のソフトウェアを最もよく知っている人々が、そこに座ってそれを作成した開発者であることは驚くべきことではありません。彼らは、ユーザーによるソフトウェアの操作方法、機能の使用場所、そしてセキュリティを十分に認識していれば、ソフトウェアが壊れたり悪用されたりする可能性のあるシナリオについて、強力な知識を持っています。
これをLog4Shellエクスプロイトに戻すと、残念ながら専門家や複雑なツールセットでは致命的な脆弱性が検出されないというシナリオが見られます。ただし、ライブラリがユーザー入力をサニタイズするように構成されていれば、まったく発生しなかった可能性があります。そうしないという決定 利便性を高めるためにあいまいな機能だったようですですが、悪用するのが非常に簡単になりました(SQLインジェクションレベルを考えてみてください。確かに天才的なものではありません)。セキュリティに精通した熱心な開発者のグループが脅威モデリングを行っていたら、このシナリオは理論化され、検討された可能性が高いでしょう。
優れたセキュリティプログラムには感情的な要素があり、人間が作り出した問題の解決の中心に人間の介入と微妙な違いがあります。脅威モデリングを効果的に行うには、共感と経験が必要であり、ソフトウェアとアプリケーションのアーキテクチャレベルでの安全なコーディングと構成も必要です。これは開発者が一夜にして取り組むべきことではありませんが、この重要なタスクに対するセキュリティチームのプレッシャーを取り除くことができるレベルまで開発者をスキルアップするための明確な道筋を用意することが理想的です (また、両チーム間の信頼関係を築くための優れた方法でもあります)。
ゼロデイは n 日につながる
ゼロデイ対策の次の段階は、パッチをできるだけ早く配布することです。脆弱なソフトウェアのすべてのユーザーができるだけ早く、そして確実に攻撃者が最初にパッチを適用する前に、パッチを適用することを望みます。Log4Shell を使うと、 ハートブリードを食い尽くすかもしれない 何百万ものデバイスに組み込まれ、ソフトウェアビルド全体で複雑な依存関係を作り出しているにもかかわらず、その耐久性と効力の高さにあります。
現実的には、この種の陰湿な攻撃を完全に阻止する方法はありません。しかし、あらゆる手段を駆使して高品質で安全なソフトウェアを作成し、重要なインフラストラクチャと同じ考え方で開発に取り組むことを約束すれば、私たち全員に戦いのチャンスがあります。
目次
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。Matias はゲント大学で静的分析ソリューションを中心にアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手伝わずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesome の一員としてデスクにいないときは、RSA カンファレンス、BlackHat、DefCon などのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]始めるためのリソース
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
