1. HOME
  2. Blog
  3. Others

Info.

お知らせ

Others

ソフトウェアサプライチェーンの セキュリティは改善の傾向が続く のページ写真 1

ソフトウェアサプライチェーンの セキュリティは改善の傾向が続く

2023年1月9日、Mike Vizard ソフトウェアのサプライチェーンに対する脅威は、2 つの大きな侵害をきっかけに増大しているように見えます。まず Slack は、ソフトウェアを構築するためのプライベートなGitHubリポジトリで疑わしい活動を発見しました。限られた数の従業員トークンが盗まれ、外部でホストされているリポジトリにアクセスするために悪用されたというのです。また、正体不明の脅威者がプライベートコードリポジトリをダウンロードしていました。ただし、ダウンロードしたリポジトリには Slack の主要コードベースも顧客データも含まれていませんでした。 ついで、多くの企業がアプリケーションの構築とデプロイに使用している継続的インテグレーション/継続的デリバリー(CI/CD)を提供するCircleCIが、同社で調査中のセキュリティインシデントを踏まえ、プラットフォーム上に保存されているすべての機密事項を直ちにローテーションするよう顧客に警告しています。機密事項とは、パスワード、API キー、SSH キー、設定ファイル、OAuth トークンなどを含みます。 これらのインシデントが最終的にどのような影響をもたらすかは不明ですが、LastPass や SolarWinds が関与した同様の侵害事件をきっかけに、ソフトウェアサプライチェーンのセキュリティ向上の必要性に対する認識が高まっていることは明らかです。これらのインシデントが起きたこと自体が残念ではありますが、タイムリーに発見され、公表されたという事実は、実は意味のある進歩の兆しかもしれません。 少し前までは、この種の侵害が発見される確率は低かったのです。ソフトウェアのサプライチェーンを保護する最善の方法についてはまだまだ議論の余地がありますが、明らかに進歩しています。問題は、ソフトウェアサプライチェーンに注目が集まれば集まるほど、サイバー犯罪者がより多くのサプライチェーンを攻撃するようになることです。もちろん、ソフトウェアサプライチェーンがどの程度危険にさらされているかは誰にも分かりませんが、これまで以上に厳しい監視の目が向けられるようになりました。ソフトウェアサプライチェーンの中には、誰にも知られることなく何年も侵害されているものもあるかもしれません。 最も重要なことは、アプリケーション開発者とサイバーセキュリティの専門家が協力関係を築くことです。ソフトウェアのサプライチェーンを保護するのに欠かせないDevSecOpsのベストプラクティスを採用するうえで、最大の障壁は依然として文化的な要因が大きいのです。想像以上に長い間、多くの開発者は、サイバーセキュリティを品質保証プロセスの中核ではなく、アプリケーション開発の障壁とみなしてきました。克服または回避すべきものだったのです。本番環境で稼働しているアプリケーションには、おそらく総計で数十億という脆弱性があるでしょう。 ただし、忘れてはならない重要なポイントがあります。こうした脆弱性がすべて同じように深刻であるというわけではないことです。アプリケーション開発者がサイバーセキュリティ・チームに対してこれほどの不信感を抱いている理由の一つは、サイバーセキュリティ・チームがこれまで作ってきた、パッチを適用する必要のある脆弱性リストがあまりに根拠がなかったことにあります。新しいコードを書くか古いコードにパッチをあてるかの板挟みになる開発者は、脆弱性リストを嫌悪します。というのも、詳細を見るとコードの構築の仕方あるいはデプロイの仕方によってほとんど役立たないようなパッチであるケースが少なくないからです。さらに悪いことに、たとえ脆弱性が見つかっても、それが悪用される確率は著しく低いのです。 幸い、開発者とサイバーセキュリティの専門家の間には、休戦と協力という新しい精神が芽生え始めています。互いを疑いの目で見るのではなく、関係者全員にとって利益となるような形で、対話の性質を変える真の機会が今、訪れているのです。対立を終わらせるための交渉の例に漏れず、誰かが意を決して最初の一歩を踏み出す必要があるのです。 原文はこちら Software supply chain security improving Jan. 9, 2023  Mike Vizard https://blog.barracuda.com/2023/01/09/software-supply-chain-security-improving/

海外ブログ

特権的アクセス権を持つ従業員のセキュリティは本当に安全か のページ写真 2

特権的アクセス権を持つ従業員のセキュリティは本当に安全か

2022年11月4日、Tilly Travers   企業のネットワークや情報に対するユーザーのアクセスを保護することは、ITセキュリティチームにとってかつてなく難しくなっています。 職場環境のデジタル化、ハイブリッド化、クラウド化が進み、企業ネットワークへの接続を希望するデバイスの数と範囲は急増しています。このような複雑な状況では、ネットワーク内で何が起こっているのか、誰が何の目的で何に対するアクセス権を持っているのかを把握することは困難です。 全域にアクセスが必要か 従業員のアクセスニーズはさまざまです。たとえばIT管理者は、ネットワークの隅々までアクセスできる高レベルのアクセス権や特権的なアクセスを必要とします。こうした特権的アクセスをもつユーザーはサイバー攻撃者の格好の標的となります。特にセキュリティリスクが高まるのは、特権ユーザーがネットワークにリモートからアクセスしようとしている場合です。 組織全体の特権アクセスレベルの管理は、ビジネス上非常に重要です。Identity Defined Security Alliance(IDSA)が2022年に行った調査では、特権の管理が不十分だったことが原因で、3分の1以上(36%)の組織でセキュリティ侵害が発生したことが判明しました。さらに、21%が過剰な特権がインサイダー攻撃につながったと回答しています。 特権的なアクセスを守る 問題は、ユーザーがネットワークやデータ、システムに特権的にアクセスできることではありません。セキュリティに穴があり、そこからサイバー攻撃者が特権的アカウントを制御し、その特権を悪用することで発生するのです。 攻撃者がたとえばソーシャルエンジニアリングを使って認証情報を盗んでアカウントにアクセスできるようになると、そのユーザーがアクセスできるすべてのものに攻撃者もアクセスできるようになります。もしそれが特権的アクセス権を持つユーザーであれば、機密データや重要なシステムにまで攻撃者がアクセスできるようになる可能性があります。 最初は誰にも気づかないケースが少なくありません。攻撃者は、ネットワークへの無制限のアクセス、横方向への移動、追加ツールのダウンロードとインストール、さらなるマシンの侵害など、やがてランサムウェアやマルウェアで大きな損害を与えようとします。そのころになってようやく、セキュリティチームが侵入者に気づいて介入するのです。 特権的アクセスを悪用したサイバー攻撃は防げる ゼロトラスト・ネットワークアクセス(ZTNA)は、従業員が業務に必要な資産やシステムにのみアクセスすることを原則とするものです。そのため、仮に攻撃者がアカウントに侵入できたとしても、そのユーザーがアクセスできる範囲は限定的です。つまり、何よりもまず、特権的アクセスはそれが本当に必要な人にだけ与えられるのです。 しかし、ZTNAはさらに一歩踏み込みます。アクセス権の有無にかかわらず、あらゆる従業員がセキュリティリスクそのものであるととらえます。というのも攻撃者は、いったんアカウントの侵害に成功してネットワークに侵入すると、そこからしばしば特権を昇格させようとしたり、管理者レベルの権限を手に入れようとさまざまな行動をとったりします。つまりZTNAとは、ネットワークにアクセスするすべてのユーザーとデバイスを継続的に検証することなのです。 ゼロトラストは、革新的なセキュリティ技術と従業員の意識向上とトレーニング(効果的なパスワードの衛生管理法、潜在的な脅威の発見方法、それに対する対処法など)を組み合わせたアプローチであり、哲学です。何も信用せず、すべてを検証するというゼロトラストの大前提があれば、ビジネスの最も重要な部分にアクセスする権利を持っている人になりすましたものや人から、組織は自らを守れるのです。 上記に関する新しい無料のe-Bookを掲載しました。こちらからダウンロード可能です。 原文はこちら How secure are your privileged access employees? November 4, 2022 Tilly Travers https://blog.barracuda.com/2022/11/04/how-secure-are-your-privileged-access-employees/

海外ブログ

スワップを阻止せよ:SIMスワップ詐欺から端末を守るには のページ写真 3

スワップを阻止せよ:SIMスワップ詐欺から端末を守るには

2023年1月5日、Doug Bonderud SIMスワップ攻撃が急増しています。FBIが公表したデータによると、2021年には1,600件以上のSIMスワップ報告があり、被害総額は6,800万ドルに上りました。 そもそも、SIMスワップ攻撃とは何でしょうか。どのように起こり、ユーザーの脆弱性がどこにあり、スワップを阻止するためにどのような手段を講じればよいのでしょうか。 エサで釣って切り替えさせる:SIMスワップとは? スマートフォンには、SIM(Subscriber Identity Module)が搭載されています。この小さなチップは、物理的なデバイスとユーザーのアカウントを結びつけるポータブルなメモリーストレージユニットとして機能します。SIMは取り外したり、交換したりすることができます。例えば、ユーザーは古いデバイスから新しい携帯電話にSIMカードを移動させるだけで、セットアップを簡単に済ませることができるのです。 サイバー犯罪者にとっては、この物理的な操作が不正なSIMスワップの絶好の機会となるのです。 その仕組みはというと、攻撃者はまずソーシャルエンジニアリングを通してユーザーに関する情報を手に入れます。この情報を使って、アカウント所有者になりすましてモバイルプロバイダーに連絡します。そして、現在使用している端末を紛失または破損した、あるいは新しい端末にアップグレードすると伝えて、モバイルキャリアにユーザーアカウント情報を新しいSIMカードと新しい携帯電話にリンクするよう依頼します。 こうしてモバイルアカウントへのフルアクセスを手にすると、攻撃者は被害者のテキストや電子メールの連絡先リストにまでソーシャルエンジニアリング活動を拡大できるようになります。また、銀行口座や電子商取引口座が携帯電話番号とリンクしている場合、これらの口座を直接侵害できることになります。 SIMスワッピングの現状 SIMスワッピングの量と被害額の両方が増加しています。SIM詐欺師ニコラス・トルグリアは最近、SIMスワップ攻撃を通して2000万ドル以上の暗号資産を盗み、18カ月の実刑判決を受けました。急速な勢いで、これが一般的な脅威のベクトルになりつつあります。攻撃者がモバイルプロバイダーにアカウントデータを新しいSIMに移すよう説得し、そのアカウントが暗号資産プラットフォームと結びついていれば、大量の仮想通貨を素早く移動させられます。さらなる不安要因は、暗号資産の取引が一方通行で1回限りであることです。つまり、SIMスワッピングが発覚しても、元に戻してユーザーに「返金」されることはないのです。 では、なぜSIMスワッピングが増加しているのでしょうか。攻撃者にとっての最大のメリットは、メッセージベースの多要素認証(MFA)をバイパスできることです。パスワードの解読は犯罪者にとって簡単なことですが、MFAの登場で犯罪者は苦労を強いられてきました。しかしSIMスワッピングならば、悪意のある行為者が正規のユーザーになりすまし、そのモバイルアカウントとデバイスを完全にコントロールすることで認証を回避することができるのです。 スワップを阻止せよ:安全を確保する3つの方法 では、モバイルユーザーはどうするとよいのでしょうか。ギリギリになるまで被害に遭っていることに気づかなかったとしても、どうすればSIMスワッピングのリスクを減らせるのでしょうか SIMスワップのリスクを抑えるには、3つの戦術が有効です。 限定的な情報共有 オンライン上で利用可能な個人情報が少なければ少ないほど、攻撃者が効果的にユーザーになりすますことは難しくなります。つまり、個人情報を非公開とし、ソーシャルメディアのプライバシー設定をゆるいものではなく、限定的なものにすることが重要です。 パスワードプロセスの改善 パスワードは完璧なものではありませんが、適切に使用することで一定の保護効果を発揮します。個人の場合は、定期的にパスワードを変更し、決してパスワードを再利用しないことが重要です。企業の場合は、パスワードの長さや文字の種類、定期的な変更などに関するルールを徹底することです。 高度な認証方式 SIMスワップはテキストベースのMFAを回避できますが、物理的なトークンや生体スキャンを使用して本人確認を行う多要素方式に対してはあまり効果がありません。こうした認証方式でもスワップを完全に阻止することはできないかもしれませんが、攻撃が進行していることを早い段階で警告する役割を果たします。 結論として、 SIMスワップは増加しています。攻撃者はソーシャルエンジニアリングを活用して、デバイスへの完全なアクセスを手に入れるからです。SIMスワップを阻止するには、ユーザーがオンラインで共有する情報量を減らし、パスワードの有効性を高め、追加認証を導入することです。 原文はこちら Stop the swap: How to secure devices against SIM swapping fraud Jan. 5, 2023 Doug Bonderud https://blog.barracuda.com/2023/01/05/sim-swapping-fraud/

海外ブログ

サイバーセキュリティの1年を振り返る:2022年に学んだ5つのこと のページ写真 4

サイバーセキュリティの1年を振り返る:2022年に学んだ5つのこと

2022年12月28日、Phil Muncaster 2022年は多くの点で、過去5年の傾向をそのまま継続してきました。全米脆弱性データベースに公開されたCVEの数は、2022年も記録を更新する勢いです。ランサムウェアの脅威は、地政学的な対立という特殊要素を含みつつ、かつてなく大胆に展開しています。そして脅威者は、コロナ禍で常態化した新しいワークスタイルを悪用し、組織を追い詰めています。 2022年をとらえる切り口はいろいろあります。しかしここでは、私が注目するトレンドのトップ5と、そこからの学び(これが何より重要です)を紹介します。2023年の企業セキュリティ強化に大いに利用してください。 1. たとえ各国政府が身代金支払いを禁止しても、ランサムウェア攻撃はなくならない ランサムウェアの試行回数は、記録的だった2021年と比べると若干減少したとはいえ、2022年10月までの1年間で数億回に上りました。さらにこの期間中に前年比で増加したのが、英国(20%)および欧州・中東・アフリカ(38%)です。ランサムウェア・アズ・ア・サービス(RaaS)モデルが利益を生み出し続け、関連企業や開発者が敵対的な国家に保護されている限り、終わりは見えません。オーストラリアには、犯罪グループへの身代金の支払い禁止を提案する政治家もいます。しかしそれでは単に報告が表に見えなくなるだけで、むしろ重要なサービスプロバイダーへの攻撃を助長することになりかねません。 代わりにITリーダーが取るべき最善の対応は、改善したユーザーの意識向上プログラムとゼロトラストを組み合わせたサイバー衛生のベストプラクティスです。 2. Z 世代が職場を席巻するなか、インサイダーの脅威に対処する必要がある 私たちは、組織内部からの脅威を深刻に受け止めているとは言い切れません。通常、組織内部の脅威は意図的な悪意に基づくというよりも、むしろ過失によるものです。しかし、だからといって影響がないわけではありません。ある試算によると、インサイダーによるインシデントの修復には、年間1,500万ドル以上のコストがかかっています。さらに懸念されるのは、若い世代の従業員による会社のデータの扱いにリスクが伴う傾向が強いという事実です。たとえばアップデートを期限内に適用しない、仕事でも個人のアカウントでもパスワードを再利用する、個人のデバイスのセキュリティを会社のデバイスの保護よりも真剣に考える、といった具合です。 ハイブリッド型の働き方で、こうした傾向はさらに拍車がかかるでしょう。在宅勤務のときのセキュリティに関しては従業員が自分自身のルールに自由に従うからです。こうした新しい現実に対応するために、組織は適切なテクノロジーとユーザー教育を通してポリシーを書き換える必要があります。多要素認証(MFA)からゼロトラスト、セキュアアクセスサービスエッジ(SASE)の導入に至るまで、セキュリティ管理は強力かつ実質的に摩擦がないものでなければなりません。 3. WebアプリケーションとAPIは持続的かつあまり報告されない脅威 2022年は、ランサムウェアと国家による攻撃が最も注目された年だったことは間違いありません。しかし、企業が直面した脅威はほかにもあります。華やかさには欠けますが、アプリケーションとクラウドのセキュリティも同じくらい重要です。SQL インジェクション攻撃をはじめとする Web アプリケーションの脆弱性を狙った攻撃は、ハッカーの大好物です。しかもハッカーにとっては、顧客や従業員の有益なデータを直接入手する経路となる可能性があります。また API は、DX(デジタル改革)においてますます重要になっていくため、アカウント乗っ取りやデータ窃取などを目的とする脅威者の格好の標的となるでしょう。 2022年に発表されたレポートによると、95%の組織が過去 12カ月間に API セキュリティインシデントを経験し、12%が月平均 500 以上の攻撃に悩まされていたことが明らかになりました。デジタル環境のこの分野のセキュリティにも、そろそろ真剣に取り組むべき時が来ているのです。 4. 中小企業にとって、情報漏えいは存亡に関わる問題 セキュリティ侵害は、企業にとってどれほどの損害をもたらすものなのでしょうか。この質問への答えは簡単には見つかりません。というのも、多くの企業は、顧客や投資家、パートナーを遠ざけることを恐れて、インシデントについてあまり多くを開示したがらないからです。しかし、国際保険会社のヒスコックス社は2022年、米国と欧州諸国の5社に1社が歴史的な攻撃によって倒産に近い状態に陥ったという調査結果を発表しました。ほとんどの企業が、サイバー攻撃をビジネス上の脅威のトップに挙げ、リモートワークによって組織がより脆弱になったことを認めています。 この調査では、企業の規模別に評価したわけではありませんが、リソースの少ない企業のほうがランサムウェアやその他の攻撃によって存亡の危機にさらされる可能性が高いことはいうまでもありません。繰り返しになりますが、特効薬はありません。業界のベストプラクティスに従って、保護とユーザーの意識を高めることが重要なのです。 5.ディープフェイクでビジネスメール詐欺(BEC)は加速 サイバー犯罪の地下世界では、常にイノベーションが起きています。フィッシングと対峙する企業と脅威者コミュニティとの間のイタチごっこが絶え間なく続くのを私たちは目にしています。もう一つ、BEC 攻撃も激しさを増しています。FBI は2022年、BEC の手法にディープフェイク技術やビデオ会議ソフトを組み合わせた試みがあると警告を発した。 ディープフェイク音声は、ユーザーを騙して詐欺師に多額の資金を送金させることで大きな被害をすでにもたらしています。また技術が進んで安価で説得力のあるものになれば、Zoom会議で配信されるフェイク映像は、間違いなくさらなる混乱を引き起こす可能性があります。この問題に取り組むには、より優れた訓練を受けた人材、電信送金の署名プロセスの改善、ディープフェイクを発見してブロックする AI 搭載ツールの組み合わせが必要です。 経済的な逆風が吹き荒れる2023年、中小企業のITリーダーは、セキュリティ予算を堅持し、賢く活用することが不可欠となります。 原文はこちら A cybersecurity year in review: Five things we learned from 2022 Dec. 28, 2022 Phil Muncaster https://blog.barracuda.com/2022/12/28/cybersecurity-year-in-review-2022/

海外ブログ

CISAが2023~25年のサイバーセキュリティ戦略を公開 のページ写真 5

CISAが2023~25年のサイバーセキュリティ戦略を公開

2022年12月15日、Mike Vizard 毎年この時期になると、サイバーセキュリティのリーダーたちは、来年の戦略のようなものを作成しようとします。ただサイバーセキュリティ戦略に関しては、直面する脅威の性質が常に進化し続けているため、正確さを期すことは難しいのです。しかしCSIA (Cybersecurity and Infrastructure Security Agency、米サイバーセキュリティー・インフラセキュリティー庁)は、多くのサイバーセキュリティリーダーがそっくりそのままコピー&ペーストしたくなるような2023〜25年の戦略計画を親切にも発表しています。 37ページにおよぶこの文書は、細かいルールを定めたものではありませんが、組織内の全員が達成に向けて取り組むべきサイバーセキュリティの4つの大きな目標を示しています。企業の IT 部門の観点からは、以下のように要約することができます。 防御力と回復力を確保する取り組みを率先して行う:そうすることで、サイバー攻撃やインシデントへの抵抗力も強くなります。その一環として、組織はサイバー脅威を積極的に検知する能力の向上、重要なサイバー脆弱性の開示と緩和、そして可能な限りIT環境をデフォルトで安全にすることに注力すべきです。 重要インフラへのリスクを軽減する:リスク分析ツールへの投資により可視性を拡大すること、限られたリソースの配分の優先順位を高めることで可能となります。 ステークホルダー間の業務連携を強化する:情報共有も同様に強化しましょう。 機能、能力、労働力を統合する:そうすることで、卓越した文化に基づく統一されたサイバーセキュリティチームを構築するのです。 目印となる「北極星」をつくり出す サイバーセキュリティ専門家の多くは、目の前のミッションを直感的に理解しています。サイバーセキュリティ専門家にとってより大きな問題は、それを達成するためにどのようなリソースを利用できるのか、なのです。利用可能なリソースによって、どのような戦術でさまざまな種類のリスクと戦うかが決まるのですから。しかし、サイバーセキュリティの戦略を明確に周囲に伝えることも大切です。CISAのディレクターのジェン・イースタリーが言うように、その戦略が組織にとっての「北極星」となり、サイバーセキュリティにどのくらいの予算を配分する必要があるかを皆に思い起こさせるからです。今のように、ストレスの多い時期にはなおさら重要です。 実際、その任務の一環としてイースタリーは、サイバーセキュリティ諮問委員会に対し、その具体的な目標を推進するために設立される小委員会を通じて、「サイバーセキュリティのリスクを効果的に管理するために取締役会や経営幹部が何をすべきか」に焦点を当てる予定だと述べています。 難しい選択 もちろん、ランサムウェアの台頭を受け、ビジネスリーダーはサイバーセキュリティの価値をかつてないほど評価しているでしょう。しかし、評価しているからといって、必ずしも深く理解しているとは限りません。多くのビジネスリーダーが経済的に難しい選択を迫られていますが、サイバーセキュリティは「予算を削ることでより多くを成し遂げられる」分野ではありません。 効率化を進めるために、予算を再配分することもあるでしょう。しかし、サイバー攻撃がますます増加し、巧妙になっている今、サイバーセキュリティへの支出を削減してしまえば、ビジネスへのリスクレベルが高まることは間違いありません。ほかに選択肢のないような状況もありますが、ビジネスリーダーは、どのようなトレードオフがあるのかを深く理解する必要があります。 一方、サイバーセキュリティ専門家は今、組織のリーダーになる特別なチャンスに遭遇しています。完璧なサイバーセキュリティは実現できないかもしれませんが、脅威のレベルに対する理解が深まれば深まるほど、どの組織のメンバーも、サイバーセキュリティ専門家の指導に耳を傾けるようになるはずです。そして、その目的と希望も理解するようになるでしょう。 原文はこちら CISA shares 2023-2025 cybersecurity strategy Dec. 15, 2022 Mike Vizard https://blog.barracuda.com/2022/12/15/cisa-shares-2023-2025-cybersecurity-strategy/

海外ブログ

バラクーダのセキュリティ最前線から2023年の脅威を予測 のページ写真 6

バラクーダのセキュリティ最前線から2023年の脅威を予測

トピック: Attacks and Threat Actors, User Training and Security Awareness 2022年11月21日、Tilly Travers 未来を予測するのは難しいですが、この1年の流行や新しいトレンドを見ることで、起こりうる出来事を予想することはできます。バラクーダは、2023年の脅威予測の一環として、セキュリティ最前線の専門家に、2022年に何を見て、2023年に何に遭遇すると思うか尋ねました。意外だったのはどんなことで、組織が過小評価または過大評価しているリスクは何で、今後1年間危険にさらされる可能性があることは何でしょうか。   Q: 2022年に最も驚いたセキュリティ関連トピックで、2023年以降にも影響があると考えられることがらは何ですか? 脆弱なソフトウェアのサプライチェーン、兵器化したソーシャルメディア、多要素認証(MFA)の乱用、地政学的な動機に基づくサイバー攻撃の拡大、Everything-as-a-Service(コンピュータ処理に必要なソフトウェアやハードウェアなどがインターネットを通してクラウドから「サービス」として提供する概念や仕組み)です。 Riaz Lakhani バラクーダ最高情報セキュリティ責任者(CISO):私が最も驚いたのは、重大な脆弱性が報告された人気のサードパーティ製ソフトウェア・ライブラリの多さと、それらのライブラリを自社のアプリケーションなどで使用しているために影響を受けた大企業の数が多いことです。 Adam Kahn Barracuda XDR VPセキュリティオペレーションズ担当:今年は初めて、個人がソーシャルメディアプロフィールからランサムウェア攻撃を受けるのを目のあたりにしました。 Shani Mahler  Barracuda XDR のエンジニアリング・プロダクトマネジメントディレクター:「インフルエンスベース」のサイバー攻撃がいかにエスカレートしているか、です。大手SNSにはこの問題を解決するインセンティブがほとんど見当たらず、したがって解決されないままで、セキュリティチームもインフルエンスオペレーションを監視することができません。セキュリティオペレーションセンター(SOC)の仕事は、機械やネットワークを監視してリスクを発見することであり、人がどのように影響を受けて混乱を引き起こすかを監視することではありません。ソーシャルメディアの影響力は、監視されていない、非常に有効なサイバー脅威であり、2023年も引き続き猛威を振るうと考えられます。 Merium Khalid オフェンシブセキュリティ・シニア SOC マネジャー:多要素認証(MFA)の乱用が増えたこと。2022年は、MFAがすべてのセキュリティの問題を解決してくれるわけではないことがわかった年だったと思います。かつてないほど多くの侵害が報告されました。MFAの乱用かあるいはソーシャルエンジニアリングを通じてMFAコードを攻撃者に引き渡してしまった結果です。 Stefan van der Wal アプリケーションセキュリティのコンサルティングシステムエンジニア:ランサムウェアがまだ問題であること。これほど壊滅的な影響を及ぼす攻撃に関して、2022年にはかつてないほど報じられてきました。それにもかかわらず、いまだに予防・検知・対応・復旧の面で適切な対策をとっていない組織が残っていることに驚きました。脅威により対処しやすくなるよう、セキュリティ業界全体がこれほど努力しているにもかかわらず、です。 John Flatley E メールセキュリティのコンサルティングシステムエンジニア:攻撃ツールがいかに簡単にアクセスでき、利用できるようになったかということ。攻撃者にこうしたサービスをすべて提供するサブスクリプションサービスがあります。 Stefan Schachinger ネットワークセキュリティ・プロダクトマネジャー:2022年の地政学的な紛争から、私たちはサイバー脅威に国境はないこと、そして世界がサイバー攻撃にいかに弱いかを思い知らされました。ランサムウェアを含む多くのサイバー脅威は、もともとターゲットを破壊するためではなく、金儲けのために設計されたものです。この状況は2022年に一変しました。紛争に直接関与していない国や組織が突然、それまで考えられなかったような巧妙なレベルで、混乱や妨害を目的として実行される国家主導の(あるいは容認の)攻撃の標的となったのです。世界的なサイバー攻撃に対する脆弱性のレベルがいかに低いかを痛感させられました。しかし重要な教訓ともなりました。2023年に脅威のレベルが低下する可能性は低いのですから。 こうした背景のもと、2023年に組織が備えるべきサイバー脅威のトップトレンドは? 悪用される認証方式、拡大する攻撃対象、増え続けるゼロデイ、サプライチェーン攻撃、Webおよびアプリケーション攻撃、脆弱なIoT RL:アカウント乗っ取りが、攻撃者にとって簡単に手に入る果実であり、組織にとって最優先のリスクであることに変わりはありません。二要素認証やMFA疲労攻撃が容易になり、TOTP(時刻に同期して生成されるワンタイムパスワード)はソーシャルエンジニアリングの影響を受けやすいため、セキュリティ担当者は認証対策を見直す必要があるでしょう。 AK:2023年には、クラウドベースやSaaSを採用する組織が増えるため、組織が攻撃対象となる可能性は高まるでしょう。幸い、これには問題なく対応できるはずです。というのも、サイバー脅威が活発で進化しており、インテリジェントで自動化されたリアルタイムの監視と対応が必要であるという理解が広まりつつあるからです。 SM:2023年、組織はその規模や業種に関わらず、どんなサイバー脅威から狙われても対処できるような準備が必要です。 MK:ゼロデイ脆弱性が増加するでしょう。 2022年、CVE(新たな脆弱性)の登録件数は2万1000件でした。その多くは「クリティカル」に分類され、攻撃者によって積極的に悪用されるものも少なくありませんでした。ゼロデイが警告なしに組織を襲うため、組織はできるだけ早くソフトウェアのパッチを当て、修正できるようなチームを編成する必要があります。 SVDW:サプライチェーンへの攻撃。2022年はサプライチェーン攻撃の年でした。より多くの攻撃者が企業を攻撃する際に最も弱いリンクを狙うようになりました。どの企業も外部の企業とビジネスを行っており、誰も他の組織への攻撃のピボットにはなりたくありません。 JF:メールアカウント乗っ取り、ランサムウェア、ウェブアプリケーション攻撃という恐ろしい3つの攻撃。 SS:インフラに接続されるモノが増え、エッジコンピューティングと連携したクラウドサービスが増え、リモートワークが続く中、攻撃対象は拡大しています。このため、組織はセキュリティの見直しを迫られています。長年にわたり、セキュリティの主な目的は、最初の侵害から身を守ること、つまりマルウェアや攻撃者をネットワークから締め出すことでした。しかし現在では、何かまたは誰かが侵入してきた場合に備え、侵入されたときにどのように対応するかを準備する必要があります。 私たちはどのくらい準備ができている? 2022年、組織が最も過小評価しがちだったサイバーリスクは? 脆弱なソフトウェア開発パイプライン、従業員のセキュリティ意識、アプリケーションのセキュリティ、攻撃の可能性 RL:過小評価されがちだったのは、アカウントの乗っ取りがいかに容易か、何が最も重要な資産でそれはネットワーク上のどこに存在するか、攻撃対象領域はどのようなものかという点です。開発からパッチ適用、デプロイなど、ソフトウェア生産を自動化するためのCI/CD(継続的インテグレーションとデリバリー)パイプラインを強化する必要性も、過小評価する企業が多々あります。CI/CDパイプラインには、ソースコード、アプリケーションコードリポジトリ、コンテナ、ビルドサーバなどの重要なコンポーネントが含まれているため、攻撃者の最重要ターゲットになるのです。 SVDW:最も過小評価されているのはアプリケーションセキュリティリスクでしょう。現在、多くの攻撃がアプリケーションから発生していますが、セキュリティに積極的に取り組むべきだとすべての企業が認識しているわけではありません。企業は、サイバー攻撃者に先んじて、サプライヤーに保護措置について尋ね、アプリケーションのセキュリティ体制を調べておく必要があります。 SM:従業員のセキュリティに関する理解度がいかに低いかを組織側は十分に認識していません。従業員は常にフィッシングやスミッシングといったソーシャルエンジニアリングの手口で狙われています。しかし多くの企業では、従業員に対するセキュリティ啓発教育(SAT)を年に1回しか行っていません。 MK:過小評価されているのは、セキュリティ意識向上トレーニングの重要性。発生する漏洩や侵害の多くは、クレデンシャルの漏洩が原因であり、これはより良い教育を通して減らせます。 JF:過小評価されているリスクは、前述の攻撃タイプの規模とアクセス性が上がっていること。そして、攻撃ツールの活用がいかに容易になったかということ。 SS:組織も政府も過小評価しているのは、標的型攻撃の被害に遭う可能性と、攻撃の影響がいかに広範囲に及ぶかです。2022年は、たった1つの組織が経済や社会にとってどれほど重要な存在になり得るかを教えてくれました。すべてがつながった世界では、相互依存の関係は巨大になり、小さな原因が大きな影響を及ぼしかねません。例えば、文書や請求書などのシステムが1つでも危険にさらされれば、企業は世界中の業務を停止せざるを得なくなるし、電力網が機能しなくなれば、全国的な停電を引き起こす可能性があります。私たちは、組織やインフラを守るより効率的な方法を生み出し、「小さな」理由で大規模なダウンタイムを回避するためのレジリエンスを強化し、継続的な攻撃を阻止できるようにならなければなりません。 では、過大評価しがちなサイバーリスクとは? ブルートフォースアタック、データコンプライアンス違反、そして防御がいかに優れているか MK:ブルートフォースアタックが成功するリスクを過大評価しがちです。ネットワークをスキャンして脆弱性を探すことは、私がSOCで目にする最も一般的な敵対的偵察活動の1つです。ビジネス上の必要性から外部に向けた資産を保有している場合、ブルートフォースや脆弱性のスキャンを受ける可能性は非常に高いです。しかし、企業がジオブロック、VPN、MFAなどの管理体制を敷いている場合、ブルートフォース・アクティビティが侵害につながる可能性は低くなります。 SVDW:GDPRのコンプライアンスリスクを過大評価しがちです。データプライバシーに関して非常に制限的なポリシーを構築している組織もあります。PII(個人を特定できる情報)が関与していないデータ周りのビジネスの俊敏性を阻害し始めない限り、良いことでしょう。これは、例えば、コンプライアンス部門がデータリスクとして考えているセキュリティ対策を、組織がとらないことを意味します。一方、本当のリスクは、情報セキュリティリスクに対応するシステムを導入していないことです。 SS:組織は、自分たちの保護レベルや、おそらくすでに足場を固めている攻撃者から自分たちを守る能力を過大評価しがちです。また、緩やかにしか統合されていない、あるいはまったく統合されていない孤立したセキュリティ対策やツールのプラス効果を過大評価しています。 2023年、どのようなセキュリティ対応をすべき? AI、アプリケーションセキュリティ、新しい認証方法、自動化、24時間365日の人間主導のリアルタイム監視、セキュリティオペレーションセンター(SOC)-as-a-Serviceが2023年のサイバーセキュリティを強化 RL:既存の認証方法が攻撃者に狙われるなか、セキュリティ担当者は代替手段を検討する必要があり、パスワードレスやFIDO U2F(ユニバーサル2ndファクター)シングルセキュリティキー技術が注目されるでしょう。 MK:2023年以降、テクノロジー業界は、生体認証やパスワードレスな認証方法にシフトしていくことが予想されます。 AK:脅威検知、特にセキュリティの注意力を削ぐ「誤検知」ノイズを除去するうえで、人工知能(AI)がより多く利用されるようになり、それがセキュリティに大きな変化をもたらすでしょう。これにより、即時の注意と対応が必要なセキュリティアラームに優先順位をつけることができます。自動化されたSOAR(Security...

海外ブログ

ゼロトラスト・ネットワークアクセスを始めよう のページ写真 7

ゼロトラスト・ネットワークアクセスを始めよう

2022年11月4日、Tilly Travers   ゼロトラスト・ネットワークアクセスの必要性 COVID-19の急速な感染拡大に対応するため、企業はほぼ一夜にしてリモートワークやハイブリッドワークを導入しました。その結果、BYOD(Bring Your Own Device)ポリシーが急増し、データもアプリケーションもインフラもクラウドに移行されました。 これらの変化は一過性のものではなく、多くの企業にとって恒久的なものとなっています。つまり、とりあえずのセキュリティ対策をより永続的で拡張性と将来性のある保護対策にアップグレードする必要があるのです。 そこでバラクーダは、新しい無料のe-Bookを掲載しました。企業がビジネスセキュリティを強化するために、ゼロトラスト・ネットワークアクセスを理解し、導入する助けになるでしょう。以下に簡単に概要を記します。 もはや機能しないもの  VPN VPNは、企業ネットワークへの安全なアクセスを多数のリモートユーザーやコンピューティングデバイスに提供するのに悪戦苦闘しています。さらに事を複雑にしているのは、すべてのユーザーが、データとアプリケーション、およびシステムに対して同じアクセス権を持つ必要はなく、また持つべきでもないという事実です。 サイバー攻撃者は、高いレベルのいわゆる特権アクセス権を持つ管理者のようなユーザーに引き寄せられます。しかし、技術者でない契約社員やリモートワーカーに対してアクセス制御があまかったり過剰なアクセス権が与えられていたりすれば、攻撃者はこうした契約社員やリモートワーカーを利用して簡単にクレデンシャルを盗むことができます。 組織は、ユーザーやデバイス、トラフィックがすべて本物であることを確認し、それぞれが必要なデータやシステムだけにアクセスできるようにする、より強固な方法を必要としています。 複雑なセキュリティインフラストラクチャ ソーシャルエンジニアリングや悪意のあるソフトウェアからユーザーを保護しようと、多くの場合、ファイアウォールとVPN、Webゲートウェイ、それにネットワークアクセス制御ソリューションを組み合わせます。その結果、管理するのも理解するのも難しい複雑なインフラストラクチャが出来上がってしまいます。パッチワークのようなセキュリティインフラストラクチャは統合的な可視性を欠き、誰がどこからネットワークのどの部分にアクセスしようとしているのか、それが正当なアクセスなのかどうかを判断できません。 進むべき道:何も信用せず、すべてを検証する そこで登場するのがゼロトラスト・ネットワークアクセス(ZTNA)です。ゼロトラストは、あらゆるものを継続的に検証し、ユーザーが必要なものだけにアクセス権が与えられるようにするアプローチです。 ゼロトラストは、空港での移動に例えるとわかりやすいでしょう。 チェックインカウンターに到着したら、パスポートで本人確認を行います。これで、海外旅行の第一段階は終了です。しかし、飛行機に搭乗するためには、搭乗券も必要です。両方の書類がなければ、旅は始まりません。 これをネットワークアクセスに置き換えてみましょう。ネットワークにアクセスするために、本人確認と必要な権限があることを証明できなければ、あなたは旅を続けることはできません。 ZTNAの3大メリット ZTNAは、許可がないことを理由に、ネットワークにアクセスしようとする不審な試みを自動的にブロックします。 ネットワークにアクセスしようとしたすべてのデバイス、場所、ユーザーの身元を記録します。コンプライアンスや監査に必要な大切な包括的ログを提供するのです。 強力な自動化により、承認やサインインにかかる時間を短縮し、リモートアクセス、パフォーマンス、生産性を向上させ、セキュリティも強化します。 ZTNAを始めるための3つの重要な質問 保護したいものは何か。個人情報、機密データ、重要なアプリケーションやサービス、資産、デバイス、知的財産などが考えられます。 この一部または全部にアクセスする許可を必要とするのは誰か。 ユーザー、デバイス、トラフィックが既知で本物であることを、あらゆる段階で判断するにはどうすればよいか。   原文はこちら Getting started with Zero Trust Network Access November 4, 2022 Tilly Travers https://blog.barracuda.com/2022/11/04/getting-started-with-zero-trust-network-access/

海外ブログ

ゼロトラストへの賛成は早めに、そして頻繁に のページ写真 8

ゼロトラストへの賛成は早めに、そして頻繁に

2022年11月29日、Mike Vizard サイバーセキュリティ純粋主義者にとってゼロトラストITとは、ネットワークに接続されたいかなるユーザーもアプリケーションもマシンも、証明されるまで信用しないというアーキテクチャです。米国立標準技術研究所(NIST)が定義するように、ゼロトラストITとは、「かつて静的なネットワークベースの境界線にあった防御をユーザーと資産、およびリソースに焦点を当てるようにした、一連の進化しつつあるサイバーセキュリティパラダイム」です。したがって、物理的またはネットワーク上の位置や資産の所有権のみに基づいて、資産やユーザーに暗黙の信頼が与えられることはありません。 ほとんどのサイバーセキュリティ専門家にとって、ゼロトラストは決して新しいアイデアではありません。フォレスター・リサーチのアナリストであるジョン・キンダーヴァグが2010年にこの言葉を広めたとされていますが、コンセプト自体は2004年にまでさかのぼることができます。しかし今日、ゼロトラストITは、キャンペーンのスローガンに近いものへと進化しています。ほぼすべての組織が、なんらかのゼロトラストアーキテクチャを採用する方向に向かっています。実際、米国防総省(DoD)はつい最近、今後1年間でゼロトラストIT目標を達成するというビジョンをまとめた37ページの報告書を発表しました。自分の組織のために同様のサイバーセキュリティ戦略を定義しようとしている担当者は、この報告書をコピー&ペーストするとよいでしょう。 当然のように、ゼロトラスト IT へのシニカルな見方も出てきます。サイバーセキュリティのプラットフォームやサービスを提供するプロバイダはこぞって、サイバーセキュリティ担当者にゼロトラスト IT の目標を達成を促すサービスを売り込みます。しかしサイバーセキュリティの現状を見れば、ゼロトラストITに懐疑や不安の目が向けられても無理はありません。 ただ、懐疑的な見方をしたくなるのはごく自然だとしても、それではより重要な点を見逃してしまいます。サイバーセキュリティ担当者が長い間直面してきた最大の問題の 1 つは、経営陣からのサポートの欠如です。サイバーセキュリティはこれまでずっと、最小化すべきコストとみなされてきました。サイバーセキュリティのなかでも絶対に不可欠だとされる項目にだけ予算が割り当てられてきたのです。一方、「ゼロトラストIT」は、ビジネスリーダーがより理解しやすいキャッチフレーズです。現在の目標は、単にコンプライアンスを達成することではなく、IT 環境を真にロックダウンすることです。そのため、景気後退期であってもサイバーセキュリティに予算を割り当てる傾向がかつてなく高まっています。もちろん、ランサムウェアの台頭も、こうした姿勢の変化に少なからず影響を与えているでしょう。 企業の経営者の関心があるのは、ゼロトラストIT目標をいかに達成するかではありません。成果がすべてなのです。一方、IT担当は、ゼロトラストと聞いて大きくうなずきはしますが、大半はそれが何を意味しているのか正確には理解していません。サイバーセキュリティの観点から最も重要なのは、すべてのステークホルダーがゼロトラストの概念を支持することです。最新の流行語やキャッチフレーズにすぐに飛びつかないほうがカッコいいかもしれませんが、ゼロトラストITキャンペーンはサイバーセキュリティ担当者のためのものではありません。サイバーセキュリティ担当者にとってゼロトラストは、すでに十分に理解されている「多重防衛」の延長線上にあるものです。現在の状況がこれまでと異なるのは、サイバーセキュリティ担当だけでなく、多くの人々がこの議論に参加している点です。 もちろん、どんなスローガンもいずれは空疎に響くことになります。それでもサイバーセキュリティ担当者は、ゼロトラストという言葉が流行している今のうちに、社内のゼロトラストITキャンペーンを開始するとよいでしょう。今ならば次世代サイバーセキュリティ技術への投資をより簡単にとりつけられる、というだけでも十分すぎる理由です。何をすべきかよく理解していない、もちろん感謝もしていない人々に代わってサイバー攻撃と闘い続けるために、セキュリティ担当者たちにはこの新しい技術が大いに必要なのですから。 原文はこちら Vote for Zero Trust early and often November 29, 2022 Mike Vizard https://blog.barracuda.com/2022/11/26/vote-for-zero-trust-early-and-often/

海外ブログ

バラクーダ、2022 CRN Tech Innovator Awardsファイナリストに選出される のページ写真 9

バラクーダ、2022 CRN Tech Innovator Awardsファイナリストに選出される

トピック: Managed Services 2022年11月14日、Morgan Pratt うれしいお知らせです。バラクーダは2022年 CRN Tech Innovator Awardsの2つの部門でファイナリストに選ばれました。マネージドディテクション&レスポンスとセキュリティサービスエッジの2部門で、前者のファイナリストとなったのはBarracuda XDR。これは24時間365日のセキュリティオペレーションセンター(SOC)に支えられた拡張的な可視化・検知・応答(XDR)プラットフォームです。一方、Barracuda CloudGen WANは、使いやすいSD-WANとクラウド型ファイアウォール(FWaaS、Firewall-as-a-Service)、そしてセキュリティサービスエッジソリューションを提供します。 2022年 CRN Tech Innovator Awardsとは CRNは毎年、クラウドからインフラストラクチャ、セキュリティ、ソフトウェア、デバイスにいたる全IT業界で注目の製品のなかからTech Innovator Awardsを選びます。とりわけ技術に大きな進歩をもたらす製品や、パートナーの成長の機会を提供する製品を選出します。 Barracuda XDR バラクーダは2020年、SKOUT Cybersecurityを買収し、そのXDR製品をMSP(マネージドサービスプロバイダ)製品ポートフォリオに完全に組み入れました。Barracuda XDRは、技術と24時間365日稼働するSOC(セキュリティオペレーションセンター)を合体したもので、MSPが顧客にホリスティックなサイバーセキュリティ・アズ・ア・サービスを提供できるようにするワンストップショップです。統合すべき機能のリストが、今後も長くなり続けるなかで、Barracuda XDR があればMSPは顧客の最も重要なデータを保護することができます。 2022年1月にバラクーダは、Barracuda Email ProtectionとBarracuda XDRの統合を発表しました。これによりMSPは、なりすましやドメイン詐欺の防止、メールゲートウェイの保護、脅威検出やインシデントレポートの分析のためのログデータへのアクセスなど、プラットフォーム内で強化されたメールセキュリティ機能も提供できるようになります。 Barracuda XDRがファイナリストに選出されたのは、これがMSP向けの初めてのサイバーセキュリティソリューションだからです。Barracuda XDRを通して、以下が可能となります。 脅威への効率的な対処:24時間365日体制のSOCに支えられたXDRプラットフォームは、インシデントレスポンスを合理化し、攻撃が顧客に与えるダメージを軽減します。 セキュリティの提供内容の向上:Barracuda XDRプラットフォームは、さまざまなサイバーセキュリティ・アズ・ア・ソリューションを統合し、基本的なセキュリティ監視と複数の保護レイヤを提供して、疑わしい行動を検出・無効化します。 セキュリティの専門家をチームに加える:あらゆるSOCのニーズに対応するセキュリティ専門家を活用した24時間365日のサービスにより、MSPはなかなか見つからないセキュリティ専門家のトレーニングや人材確保に投資する必要がありません。 Barracuda CloudGen WAN Barracuda CloudGen WANは、バラクーダの Secure Access Service Edge(SASE)プラットフォームの一部として、使いやすいSD-WANやFWaaS、およびセキュリティサービスエッジソリューションを実装しています。Azureグローバルネットワークは、Azure Virtual WANに統合されており、複数の地域でクラウド拡張性の高いSD-WAN接続を提供します。 Barracuda CloudGen WANは、革新的な製品です。SD-WANとFWaaS、およびインテントベースのクラウド管理コンソールで提供されるプライベートサービスエッジセキュリティを組み合わせた、現在入手可能な唯一のソリューションなのです。Barracuda CloudGen WANは、複数のソリューションを1つにまとめ、ホスティング先に依存しないシームレスなアプリケーションの可用性を保証する必要がある中小企業やサービスプロバイダの要件に対応するように設計されています。このような企業が従来のソリューションにかかる時間の何分の一かの時間で、完全なセキュリティを含むSD-WANベースのクラウドオンランプを導入することを可能にします。 Azure Virtual WANにサービスエントリーポイントを配置することで、Microsoft Global Networkを高性能なWANバックボーンとして利用し、長期のサービス契約なしにすべてのオフィスを迅速に相互接続するソリューションです。 このソリューションは、既存のファイアウォールの隣に簡単に導入でき、数百のクラウドおよびSaaSアプリケーションのデフォルト設定で、すぐにクラウドアクセスを最適化し、毎月のSaaS課金というメリットを提供します。 バラクーダは、このような評価を受け、光栄に思っています。これらの革新的な製品の詳細については、こちらでご確認いただけます。 原文はこちら Barracuda recognized as a finalist for 2022 CRN Tech Innovator Awards...

海外ブログ

OpenSSLへのパッチ適用の時間との闘いが再び始まる のページ写真 10

OpenSSLへのパッチ適用の時間との闘いが再び始まる

2022年10月31日、Mike Vizard 新しい脆弱性が公開されるときのその方法が変わりつつあります。そのこと自体は称賛されるべきでしょう。先週、OpenSSLプロジェクトの管理者は、とりわけ未知の重要な脆弱性に対処したアップデートを11月1日にリリースすることを発表しました。 ほどなくサイバー犯罪者を含むすべての人が、その脆弱性が何であるかを知ることになるでしょう。しかし、サイバーセキュリティチームにとってこれは、組織が直ちにOpenSSLへの更新プログラムをインストールできるよう準備せよ、という事前警告です。 OpenSSLコミュニティは、Webサイトやアプリケーションで広く利用されているTLS(Transport Layer Security)プロトコルの通信を保護するための暗号化ツールキットの開発を統括しています。最も有名なのは、2014年に発見されたOpenSSLのHeartbleedバグです。このバグを通してサイバー犯罪者は、脆弱なWebサイトやアプリケーションに対して、小さなマルウェアペイロードと大きなlengthフィールドを持つ不正なハートビート要求を送信できるようになりました。 この欠陥の発見が引き起こした混乱は相当なものでした。Heartbleedバグの発見から3年経っても、このバグを悪用した侵害の報告は後を絶ちません。今週公開されるパッチで、多くの企業のセキュリティインシデント対応能力が再び試されることになります。これは、時間との闘いなのです。サイバー犯罪者もまた、今週公開されるであろうOpenSSLの内容について、同じくらい注目していることは間違いないでしょう。 もちろん、脆弱性をどのように公開するかは、多くのサイバーセキュリティの専門家にとって頭の痛い問題です。特にオープンソースのコミュニティは、コミュニティによって維持されているプロジェクトに共通する精神に則って、開示が公に共有されるアプローチを好む傾向があります。しかしここ数年、それはとりわけ困難になってきています。というのも、さまざまなアプリケーションに組み込まれたオープンソースコードの量が飛躍的に増加したためです。多くの IT 組織は、Java アプリケーションからログデータを収集するために広く使用されているオープンソースの Log4J ソフトウェアの脆弱性のすべてのインスタンスをまだ探しています。 プラス面としては、オープンソースのセキュリティ危機が少なくとも無駄になることはないという点です。オープンソースソフトウェアプロジェクトの管理者は、実にさまざまな手段を使うようになっています。コード署名による暗号化もその一つですし、あらゆるコード片のインスタンスがどこで実行されているかを容易に発見できるようにするソフトウェア部品表(SBOM)の自動作成も同様です。 問題は、アクセス可能になった情報をもとに、セキュリティインシデント対応プロセスがどの程度改善されているかということです。ITチームはまず、脆弱性の重大性を判断し、続いて、DevSecOpsのベストプラクティスを適用して最も重要な脆弱性をできるだけ早く修正する必要があります。 今後数カ月の間に、パッチが適用されていないOpenSSLの脆弱なインスタンスに起因するセキュリティ侵害が発生することはほぼ間違いないでしょう。そして、同じくらい明らかなのは、こうしたセキュリティ侵害の発生を防ぐのに必要なアップデートをインストールしなかったことの責任がどこに求められるか、なのです。 原文はこちら Race to patch OpenSSL is on again October 31, 2022 Mike Vizard https://blog.barracuda.com/2022/10/31/race-to-patch-openssl-is-on-again/

海外ブログ

HTML Snippets Powered By : XYZScripts.com