ゼロデイ攻撃が増加しています。今こそディフェンシブエッジを計画する時です。

この記事のバージョンが掲載されました SC マガジン。ここで修正およびシンジケートされています。
泥棒に家に侵入されたことがあれば、最初は何かがおかしいという気持ちが沈み、その後、自分が実際に盗まれて侵害されたことに気づくのがわかるでしょう。フォートノックスに匹敵するセキュリティ対策への転換は言うまでもなく、通常は不快感が長続きします。
泥棒が自分で鍵を作ったために家が壊されたと想像してみてください。彼らは忍び寄り、好きなように行き来しますが、気づかれないように気をつけています。そして、ある日、冷凍庫に隠していたジュエリーがなくなったり、金庫が空になったり、身の回り品が略奪されたことに気付くのが遅すぎました。これは、ゼロデイ・サイバー攻撃の被害に遭った場合に組織が直面する現実とまったく同じです。2020年、ポネモン・インスティテュートが行った調査では、次のことが明らかになりました。 データ漏えい成功の 80% これはゼロデイエクスプロイトの結果であり、残念なことに、ほとんどの企業がこの統計を大幅に改善するための準備が整っていません。
ゼロデイ攻撃は、当然のことながら、攻撃者が最初に侵入するため、開発者が悪用される可能性のある既存の脆弱性を発見してパッチを適用する時間がまったくありません。被害が発生したら、ビジネスに対するソフトウェアと評判の低下の両方を修正しようとすると、狂ったような争いが繰り広げられます。攻撃者は常に有利な立場にあり、そのエッジをできる限り塞ぐことが重要です。
誰も欲しがらなかったホリデーギフトであるLog4Shellは、現在インターネットを席巻しており、10億台を超えるデバイスがこの壊滅的なJavaの脆弱性の影響を受けていると言われています。これは記録上最悪のゼロデイ攻撃になりつつあり、まだ始まったばかりです。にもかかわらず 一部のレポート エクスプロイトは公開の数日前に開始されたと述べ、 2016年のブラックハットカンファレンスでのプレゼンテーション これはしばらくの間既知の問題であったと思われます。痛い。さらに悪いことに、この脆弱性は非常に簡単に悪用され、世界中のあらゆるスクリプト小僧や脅威アクターが、この脆弱性を狙っています。
では、ソフトウェア開発プロセスで見逃されてきた脆弱性は言うまでもなく、滑りやすい邪悪な脅威から身を守るための最善の方法は何でしょうか?それでは見てみましょう。
大きなターゲットに対するゼロデイ攻撃はまれです(そして高価です)
ダークウェブにはエクスプロイトの巨大な市場があり、一例を挙げると、ゼロデイはかなりの金額になる傾向があります この記事で これを書いている時点で250万ドルで上場しています。Apple iOS の悪用であると報告されているが、セキュリティ研究者の提示価格が高騰しているのは驚くことではない。結局のところ、これは実際に、数百万台のデバイスを侵害し、何十億もの機密データレコードを収集し、発見されパッチが適用される前に可能な限り長くそれを行うためのゲートウェイとなる可能性がある。
しかし、そもそも誰がそんなお金を持っているのでしょうか?通常、組織化されたサイバー犯罪シンジケートは、特に人気の高いランサムウェア攻撃に対して、価値があると判断されれば資金を調達します。しかし、世界の政府や防衛部門は、脅威インテリジェンスのために利用できるエクスプロイトの顧客であり、よりポジティブなシナリオでは、企業自身が潜在的なゼロデイエクスプロイトの購入者となり、災害を軽減できる可能性があります。
2021年には記録が破られました ゼロデイエクスプロイトのライブディスカバリの対象であり、弱点について調査されるリスクが最も高いのは大規模な組織、政府機関、およびインフラストラクチャです。ゼロデイ攻撃の可能性から完全に保護する方法はありませんが、寛大でよく構成されたバグ報奨金プログラムを提供することで、ある程度「ゲームをする」ことができます。ダークウェブマーケットプレイスで誰かがソフトウェアキャッスルの鍵を提供するまで待つのではなく、合法的なセキュリティマニアを味方につけ、倫理的開示や潜在的な修正に対して適切な報酬を提供してください。
そして、それがたまたま身の毛もよだつようなゼロデイ脅威である場合は、Amazonギフトカード以上のものを支払う必要があると考えて間違いありません(そうする価値はあります)。
ツールの使用は、セキュリティ担当者の負担となる可能性があります。
煩雑なセキュリティツールは長い間問題となっており、平均的なCISOが管理しています 55個から75個のツールまで 彼らのセキュリティアーセナルで。世界で最もわかりにくい (比喩的な) スイスアーミーナイフであることはさておき、53% の企業が、自分たちが効果的に働いていることにさえ自信がないと回答しています。 ある研究によると ポネモンインスティテュートによる。 別の研究 自社のセキュリティスタックが「完全に効果的」だと考えているCISOはわずか17%であることが明らかになりました。
燃え尽き症候群、需要を満たすセキュリティスキルのある人材の不足、アジリティの必要性で知られるこの分野では、膨大なツールセットのデータ、レポート、監視という形で、セキュリティ専門家が情報過多の処理を強いられることは大きな負担となっています。これはまさに、Log4jの弱点を適切に評価したときにも当てはまる可能性のある、クリティカルなアラートを見逃す原因となるようなシナリオです。
予防的セキュリティには、開発者主導の脅威モデリングを含める必要があります
コードレベルの脆弱性は開発者によって導入されることが多く、安全なコーディングスキルを身に付けるには、正確なガイダンスと定期的な学習経路が必要です。しかし、次のレベルのセキュア開発者には、ソフトウェア作成プロセスの一環として、脅威モデリングを学び、実践する機会が与えられています。
自社のソフトウェアを最もよく知っている人々が、そこに座ってそれを作成した開発者であることは驚くべきことではありません。彼らは、ユーザーによるソフトウェアの操作方法、機能の使用場所、そしてセキュリティを十分に認識していれば、ソフトウェアが壊れたり悪用されたりする可能性のあるシナリオについて、強力な知識を持っています。
これをLog4Shellエクスプロイトに戻すと、残念ながら専門家や複雑なツールセットでは致命的な脆弱性が検出されないというシナリオが見られます。ただし、ライブラリがユーザー入力をサニタイズするように構成されていれば、まったく発生しなかった可能性があります。そうしないという決定 利便性を高めるためにあいまいな機能だったようですですが、悪用するのが非常に簡単になりました(SQLインジェクションレベルを考えてみてください。確かに天才的なものではありません)。セキュリティに精通した熱心な開発者のグループが脅威モデリングを行っていたら、このシナリオは理論化され、検討された可能性が高いでしょう。
優れたセキュリティプログラムには感情的な要素があり、人間が作り出した問題の解決の中心に人間の介入と微妙な違いがあります。脅威モデリングを効果的に行うには、共感と経験が必要であり、ソフトウェアとアプリケーションのアーキテクチャレベルでの安全なコーディングと構成も必要です。これは開発者が一夜にして取り組むべきことではありませんが、この重要なタスクに対するセキュリティチームのプレッシャーを取り除くことができるレベルまで開発者をスキルアップするための明確な道筋を用意することが理想的です (また、両チーム間の信頼関係を築くための優れた方法でもあります)。
ゼロデイは n 日につながる
ゼロデイ対策の次の段階は、パッチをできるだけ早く配布することです。脆弱なソフトウェアのすべてのユーザーができるだけ早く、そして確実に攻撃者が最初にパッチを適用する前に、パッチを適用することを望みます。Log4Shell を使うと、 ハートブリードを食い尽くすかもしれない 何百万ものデバイスに組み込まれ、ソフトウェアビルド全体で複雑な依存関係を作り出しているにもかかわらず、その耐久性と効力の高さにあります。
現実的には、この種の陰湿な攻撃を完全に阻止する方法はありません。しかし、あらゆる手段を駆使して高品質で安全なソフトウェアを作成し、重要なインフラストラクチャと同じ考え方で開発に取り組むことを約束すれば、私たち全員に戦いのチャンスがあります。
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
これは、オーラが射手と鼻の穴を広げることによって、腸管を熱的に発芽させ、臭いを帯びていることを防ぐためのものです。
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.
.webp)
Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)
Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

