サイバー脅威に先んじて、セキュリティ専門家による最新の洞察を提供。
今すぐ購読して受け取る:
- 新しいThreatTankエピソードの発表時
- 業界別の上位トレンド攻撃
- 実用的な洞察と対応戦略
- そしてもっと!
ThreatTankの概要–エピソード2:四半期ごとの攻撃の傾向
Tom Gorup:最新の脅威インテリジェンスをカバーするポッドキャスト、ThreatTankへようこそ。 世界中のセキュリティ環境に関する脅威への対応と洞察。 私はあなたのホストであり、Edgioのセキュリティサービス担当副社長であるTom Gorup、そして今日私に加わっているのは、Edgioセキュリティソリューションの製品管理担当シニアディレクターであるRichard YewとEdgioのプラットフォームエンジニアリング担当ディレクターであるMichael Grimshawである。
(トム・ゴラップ)ようこそリチャードマイケル
Richard Yew:また来てくれてありがとう。
Tom Gorup:これは繰り返しのテーマになるかもしれない、リチャード。 前回アイスブレーカーの質問をした時それを続けなくてはいけないと思ったでも見つけるのは簡単じゃないよね?
前回は堅実なバーを設定したと思うから。 これが私の砕氷船 その価値のために考える時間も与えていない だから私も参加しよう しかしここで質問がある。 先に聞くマイケル その場でお前を出す もしテレビ番組に1ヶ月も出演しなければならなかったらどの番組を選ぶか?またその理由は?
マイケル・グリムショー: 最初に頭に浮かんだことを認めざるを得なかった私が生きていなかったのはおそらくギリガン島でしょうなぜなら熱帯の島で丸一ヶ月を過ごすというアイデアはたとえ教授を使って流水やその他のものを見つける必要があったとしても 一ヶ月間素敵な熱帯の島はそんなに悪くないように聞こえる。
トム・ゴラップ:なんて答えなんだろう。 気に入ったよ いや、ギリガン島は久しぶりだし、声に出しても言わないから見て久しぶりだね。 いい答えだな 君はどうだ?
Richard Yew:ああ、ワォ、それは難しいわね。 私はペッパ豚のように豚を持っている他のテレビ番組があるかどうかを知っている、私は私が同じ豚のテーマを続けるつもりだ知っているが、私はそれを止めるつもりだと思う。
僕はハンズ・ダウン・ゲーム・オブ・スローンズのようにゲーム・オブ・スローンズの中に閉じ込められてしまうかもしれないけど最初の日か最後の日は誰が知ってる? でも、そうだ、そうだ、それを使ってみよう。
(トム・ゴラップ)そうだね ええ 勇敢だな
Richard Yew:ええ とても勇敢だ ええ 俺はかなり大胆だ
Richard Yew:黒いマントを着て壁の上に立って何が起こるか見てみよう
マイケル・グリムショー:トム逆も教えて ゲーム・オブ・スローンズやゾンビをテーマにした映画ショーは、リストの一部ではない私の上にあるだろう。
Tom Gorup:いい答えだね。 生き残りたいんだろ? それは公平だ
リチャード大胆だ ゲーム・オブ・スローンズ 残念ながら先週は病気だった 私は新型コロナウイルスに感染したが、それは悲惨だった。 しかし、私はいくつかの古い家の再放送に追いついた。 だから私は家を選ぶだろう。 私は間違いなくいくつかの診断をしたいと思うそれはループスではないとおそらく言う。 一度だけ言っておきたい
ループスじゃない ループスじゃない 一ヶ月間の番組になるわ リチャードの選択に比べて私の生存率はかなり高いだろうと私は知っているそれは良い時間だと思う。
(トム・ゴラップ)はい テレビ番組の話をしに来たのではなく
今日は新しいトレンドレポートについて話したいんだエドジオが発表するんだとても興奮してる 第4四半期のスナップショットを撮り、あらゆるトレンドを見ている。 久しぶりにこの報告書の復活のようなものだと思う
そして、リクエストメソッド、時間の経過に伴うトレンド、MIMEタイプ、あらゆる地理位置情報など、あらゆる種類のデータポイントをカバーしている。
あなたは「それで何? 何が問題なのか? なぜでしょう? なぜ私はこれを見ているのか。 この情報を見て価値を外挿すにはどうすればいいのか? 二人とも仕事ができてとても興奮してる 洞察。 つまり、ある種の高レベルのカテゴリのトピックで、あなたの視点に再び興味を持つようなものは、アプリケーションアーキテクチャだ。
アプリケーションアーキテクチャ–観察した内容が重要
Tom Gorup:このレポートを見て、私たちのアーキテクチャやアプリケーション、アプリケーションのアーキテクチャやコンプライアンスに基づいて適切に設定されるツールをどのように活用しているかを考えている。 この情報をどう利用してアプリを別の方法で考え始められるか
まずはじめに、アプリケーションアーキテクチャと思う。 つまり、ここに基準系を得る。 このレポートには2つのデータポイントがある。 マインドタイプのリクエストメソッドを見てみよう。 我々は間違いなく自由に感じることができる、あなたたちは知っている、あなたたちはレポートにアクセスすることができる。 持っているものは何でも引っ張っていい
でもその前に何? なぜ見ることが重要なのか? マインドタイプのリクエストメソッドのようなもの。 最初に報告書を見たとき投稿を求めるリクエストの98%以上が 何? インターネットへようこそ。 例えばなぜデータをこのように見ることが重要なのか? 君たちはどう思う?
マイケル・グリムショー:いや私の頭に浮かぶ大きなことは観察しているもの見ているものが重要だということだ そこで新しいグリーンフィールド・アプリのような建築や建築について一方的に話すことができ
でも最初に手に入るのはこのようなレポートやデータや情報の力明らかに脅威インテリジェンス 私はあなたのアーキテクチャをコンプライアンスやセキュリティニーズに合わせてやることに大きな信念を持っている。そして実際に非機能要件とは、アプリケーションのビジネスロジックは小さなプールではなく、ビジネスロジックだけに集中できる時代はなくなった。
何日も話してもいいけど大事なのはあなたが何を探しているかを知るための行動可能な知性を持っていること アプリから、あなたがツールについて言及した事から、それが私が最初に強調したい事の一つ、あなたがどこにいて、ベクトルが何であるかを理解する事だ。 州の俳優が何を利用しているのかスクリプトキディとその間の全員がそれを利用して知っていることをあなたに知らせる必要があるかどうか、あなたがやっているかどうか、四半期ごと、スキャンを知っているかどうか、うまくいけばあなたは四半期ごとに明らかにスキャンをしているだけではない。 コンプライアンスプロファイルに応じて、四半期ごとに最小限の頻度で実施する必要があるが、DevSecOpsシフト右モデルに移行することを期待している。つまり、継続的にスキャンしているか、ビルドとモビリティのセキュリティを継続的に監視している。
まず最初にお聞きしたいのはこのデータだ。 この情報は知っておくことが重要である。 観察可能性スタックを微調整してセキュリティの観察可能性スタックを探し、逆にシフトしてみる必要がある。 それは、コードに導入される可能性のある、より多くのことや潜在的な脆弱性に注意を払い、それを行わないようにすることだ。
水平線を見張る必要がある このような会話をするといつも多くの例えを聞くことになるでしょうがマラソンやクロスカントリーランニングなどをしている時に水平線に目を向けて戦術的にシフトした後に 穴のために何らかの方法で、あなたは川やそのようなものを知っている。 あなたは自分が向かって走っている地平線を見失っていない。
Richard Yew:つまり、逆に、あなたがこれを見ているように、そうだろう?
アプリケーションアーキテクチャに関しても、トムが言ったように、要求のほとんどは押し付けられることがあるが、インターネットだ。 しかし、あなたが分解することの一つは、データを見るときにもあると思う、例えばリクエストの数、それはあなたに、私たちが得ているコンテンツの会話が何であるかのような物語を教えてくれるから。
明らかに もしあなたがたくさんのアプリケーションスペースを使っているなら、特にスパがあるとしよう。 主要なアーキテクチャとして、 たくさんの投稿を見ることになるだろう。 色々な方法を見ることになるでしょう ユーザーが作ったコンテンツをたくさん撮ってみると、たくさんの投稿を見て、入れてしまうかもしれない。 だから、それは見るべき本当に良い故障だ。 そしてこれがセキュリティデータであることを考えると、このデータはウェブ・アプリケーション・ファイアーウォールから来ているということだ。 私たちが検査したペイロードのうちどれだけが実際にトリップしているかを実際に見ている。
だからこの場合、私は多くの場合、正しくなる。 しかし、ポストから来るものもかなり多く、ペイロードがそこにあるので、それは非常に、そしてそれは実際に表面についての物語を語っている。 攻撃の表面積。リクエストメソッドの分布を見てみると、反対にエンドポイントを受け取るものは何でも表面積が大きくなる。
MIMEタイプ
Tom Gorup:でも、リクエストメソッドのようなものが絵を描くようになっているのが好きなんだ。 アプリケーションについて、どのように使用されているか、どのように攻撃されているか、脆弱な場所について説明する。 良い視点を与えてくれる そしてそれはMIMEタイプの種類にもつながる。
一つ面白いと思ったのは、皆さんの意見を聞きたいのだが、これが見られたのは、このブロックの76パーセントだ。 繰り返しになるが、このWAFのアクティビティはアプリケーションのJSON MIMEタイプだった。 だから周りの多くの予防。 JSONリクエストタイプ、そしてそれはインターネット全体について、アプリケーションがどのように開発され、構築されているかを私たちに教えてくれるのか?
Richard Yew:まず始めよう お前のジャンクがどこから来たのかを教えてくれる ある意味では、JSONは理にかなっているのは、ほとんどのAPIエンドポイントのように、ええと。 安らかでなくてもGraphQLのように名前は? JSONペイロードのようなものを含む。 うーん、右。 私の意見では、多くの組織にとって驚くべきことではないだろうか?
HTMLコンテンツタイプのようなペイロードも見られるし、XMLのようなものも見られるよね? だから、セキュリティメカニズムの設計とセキュリティについては、絶対に1つのことが欲しいと思うだろう? JSONだけを見たいわけではなく、ただ見たいだけだ。私はあるセキュリティ製品を見たことがあるので、それらはXMLと言って解析することしかできない。
JSONを解析する能力がないこと。 JSONを解析できないとペイロードを見ることができないような感じ。 だから、JSONができることを確認したい。 パーサーが最新の状態にあることを確認しなければならない。 つまり何だと思う? WAVにバイパスされているので、WAVにはパーサを悪用するのが好きなのだ。
つまり、ペイロードを特殊な符号化フォーマットで送るか、あるいは、こんなフォーマットで送る。 たまにはただ変わるだけだ これはJSONであるが、フォーマットをマルチパートに変更した。 webは解析を止めましたヘッダだけを見たから ああ、これはJSONではない。 だから解析してない
これがペイロードをスライドさせる方法だ だから、間違いなく、あなたができるようにしたいもの、例えば、すごい、JSON、それは一番人気のあるものだ。 またより不明瞭な物のいくつかであるものを見たいと思う。 ここにあるアイテムや指摘したいが、後で使えるように保存しておく。
Michael Grimshaw : Richardの素晴らしいポイントは、それが単なるXであり、ウェブ開発の現代の時代には、それをカバーしないパーサーはないということだ。 現代のWeb開発ではJSONは世界に存在し、Web開発だけではないので、アプリケーションのJSONとJSONのペイロードがこれほど大きな割合を占めているのは驚くべきことではない。
例えば、誰かが雲を被るべきであることを見る。 CloudFormationやAWSやその他のことを話しているかどうかにかかわらず、AWSは大きなものだから私に使用させてくれ。 そんなに昔ではなく4、5年かもう少し前かな 正確な日付は覚えていないが、CloudFormationは完全にXMLで、JSONベースに移行して完全に引き継がれた。
ウェブ開発インフラのJSON。 XMLだけでなくJSONでも解析できるようになる必要があるが、Richardのポイントはさらに難解であり、外れ値はすべてのデータを解析できるようにする必要があるということだ。
Richard Yew:ええ 外れ値と言えば、データを見る時はいつもより小さなデータ点を見ている。例えば1%とか0.5%とか、レポートから目立っているのは、0.14だ。 つまり0.14%のデータが 他の特徴のない情報、そうではないか。 奇妙に聞こえるかもしれませんが月に何十億ものデータポイントを扱う時つまり10億の0.14%ということはかなりの量だ そしてそれらのコンテンツタイプのいくつかは、画像のようなものであることが判明した。 JavaScriptやその他のものは、歴史的に見て、静的なコンテンツだ、高度にキャッシュ可能だ、と思っているように。 なぜ、あなたのjpegの前にWAVを置くか。
なぜたくさんの画像を持っているのか? 何をするのか? それを言わせてくれ セキュリティの横移動と呼ばれるものがあるよね? それはそれらのJPEGのようなものである。 例えば、エッジやネットストレージなどに入れていない限り、これらのリクエストはウェブ階層に戻され、環境のように、たとえ0.1%でも元のリクエストに戻ってきたとしても、攻撃者は実際にペイロードを送って、ヘッダ、クッキー、クッキー、クエリ文字列、引数などの形でJPEGファイルに送ってバックエンドに送ることができる。 つまりもしあなたが同じバックエンドを使っているなら、例えばHTMLとjpeg、例えばjpegのように。
横方向の動きに敏感になるのは「これはただの画像領域だ」と言っているからだ 保護する必要はないかもしれない 多くの人はこう言います「なんでWAFを入れるの?」 無駄遣いをするのはほとんど静的なものに保護をかけるようなものだ これも注目すべき点だ
ディフェンダーとして、ブルーチームとして、常に正しいことをしなければならない。 攻撃者は一度だけ正しければいいんだろ? ご存知の通り、最初のJSONリクエストの最初のペイロードのように、バックドアを作成したオリジンに転送された。 それは起こるかもしれない。
(トム・ゴーラップ)そう 100%そして、あなたがこれを使っているところを私が気に入っているのは、それが最初に絵を描くことや、あなたのアプリケーションについてストーリーを語ることについて話した、ということ。 アプリケーションのアーキテクチャをよく理解する。 どこでコントロールしてるの?
君が最も弱いと思うのは我々が見ている時のアプローチの仕方かもしれないそしてまたこれも報告書の中だ しかし、軽減された攻撃のカテゴリを見ると、45%が実際にはアクセス制御ルールであり、ポストリクエストの防止を意味する。
脅威の状況を制限するなど、アプリケーションが投稿を受け入れない場合は、アクセス制御ルールを適用して、攻撃者がアプリケーションを突き刺したり攻撃したりできる場所を制限する。 もしあなたが申請を受け入れないなら、ジェイソン、それをブロックする。 そうだな それを防ぐ。 1位でそんなことさせておく理由はない。
そして、アプリの外れ値の種類、より小さな部分を見るなどの良い点を持ってくる。 その思考過程が好きだ だから、これらの線に沿って、その糸を少し引っ張り続けよう。 45%がアクセス制御規則で37%をブロックした ルールセットは管理されてる
これが脅威情報とクロスサイトスクリプティングの全てだ 19%はこれを見てレイヤー防御のように考えているカスタムルールだった そういう意味で、リクエストが入ってくると、彼らはあなたが考えなければならないフィルターを通過するのだと思っていた。
多層防御アプローチ
Tom Gorup:アプリケーション内にWAFやセキュリティ制御を導入する際には、そのアーキテクチャを理解し、それに合わせてセキュリティツールを調整する必要がある。 脅威の状況を制限すると同時にレイヤーも必要になるでしょう
マイケル・グリムショー:レイヤーが必要だね そして私がやりたいことの一つは、レイヤについて話したいが、これがここで話していることだと思うのは、あなたの開発、機能開発者、SDLC、アーキテクト、セキュリティチームの間のフィードバックループの重要性に光を当てることだ。セキュリティチーム、WAF、SOCなどが盲目的に飛んでいても、彼らは知らないから。
投稿しないの? 何をしているのか? それがコミュニケーションフィードバックの輪なのか? FTEが時間を無駄にしている限り、金を節約でき、ツールにお金を節約でき、開発者、アーキテクト、セキュリティチームの間の緊密なフィードバックループが世界のすべての違いをもたらす。
Richard Yew:レイヤーに関してはいつも「いや深層防衛のようなメタ・バズワードを持ち出す」 あなたが知っているように、私たちは本当に必要だと思う、我々は本当にあなたの条件のための秩序を持っている精神を持っている必要がある。 でも間違ってるかも
単層の水フィルターがあるかもしれないココナッツの炭素みたいに素敵なものを使っていて そうだな でも普通証券を見るときは 単一のレイヤーが魔法の弾丸であると仮定することはできない。 例えば、ボット管理があるからといって、ボット管理がDDoSのようなアプリケーションからアカウントの乗っ取りまで、すべてを捕まえることを期待したいわけではない。
すべてのメカニズムは連動する。 そして、あなたがそれを言おうとしている方法は、あなたが知っているように、のように。 オーケー。 可能な限り効率的。 だから45%の過剰なルールを採用している。 ACLと呼ぶのが好き。 つまりこれはACLだよね? ACLは通常、最初のレイヤで動作する。 それには理由がある走るのが安いから
それはIP、国、何でものようなただの束である。 アスンja3の署名だろ? それは静的な署名だからそれに違反するものは何でも後ろに走らせる。 すぐに未来が離れていくのは2ミリ秒のようにね レイヤー全体で、複数回はサブミリ秒で実行される。
でも、あなたが知っているように、あなたはそのがらくたをできるだけ取り除くことができるようにしたいのだろうか? 以前は業界で働いていた仲間がいて彼が言うようにこれは干し草の山を縮めることだと たくさんの依頼を受けたいんだろ? そして攻撃を見つけようとする
それは、あなたがその悪いペイロードを運んでいる単一のHTTPリクエストを見つけようとしているようなもので、それは違反につながる。 干し草の山を探してるのね だから、最も洗練された層が処理できるように、それらのがらくたのできるだけ多くをフロント層から取り除くことができる。
追加のデータで、何が非常に役立つだろう、それは我々が単に境界防衛を実行しているという事実に戻るだろう? 壁を越えたからだ 見張り塔があるという意味じゃないだろ? 事実、多層防御の概念は、ローマが帝国になるまで領土を拡大してきたことに端を発した軍事戦略である。
ただの壁になって攻撃を打ち負かすために他の境界線だけに頼るのは現実的ではない これが理由だ 我々は防御を重層化してきた
(マイケル・グリムショー)その通り これについては以前の議論で触れたかもしれない、リチャード。 免疫学の例が好きなのはもし健康が無菌環境に依存しているなら死んだ人間になる
それは避けることではなく隔離された環境や無菌状態の中にあるものではない 免疫力を高めること 病原体から解放される唯一の方法は病原体に対する免疫を発達させることでありそのためには防御的な階層的アプローチが必要である
お前みたいだ はい、最高のネットワークファイアウォールが必要。 強固な境界が必要だ でも何だと思う? それは破られる 国家主体の世界では全世界が脅威になる可能性がある 効果的には、境界が破られることを計画するだけでよい。
一度やったら次の層は何だろう? そしてその次のレイヤー、そしてその次のレイヤー。 そして、どのように監視し、それらのタイプの侵害を指紋を取ることで、彼らが何をしているかを知ることができる。 そう、それは絶対に必要である
分散アーキテクチャ
Tom Gorup:それは興味深いことで、なぜか分散アーキテクチャがそれにどのように関係するのか考えていることがあるだろうか? スペクトルの両端が見えるから それを見てリスクを見てもスプロール現象を引き起こしているかもしれないが同時にリスクもあるかもしれない それを見てもっと価値をもたらす さまざまな地域や場所にワークロードを分散して、可用性を向上させる。
どこで見てるの?
(マイケル・グリムショー)その通り 我々は分散アーキテクチャの世界に住んでいる。 世界的な足跡があると 世界中に300以上の拠点がある 我々は大規模分散並列計算の時代にいるが、それは我々だけではない。 20年以上前に遡るがこれがウェブ開発の本質だ Webインフラストラクチャ。 分散していると仮定しなければならない これは、コンプライアンスにも関係している。これは、もし超並列、超分散を実行しているなら、インフラはできるだけ似たようなもので、分散分散アーキテクチャの分散が必要になる。 ええと、ええと、1、あなたがあなたの監査人と話しているとき、あなたは主張することができ、あなたは証明することができる。
マイケル・グリムショー:そうだねその中の一つを見てみようこれはクッキーカッターだからねみんな見なければならないし監査人がサンプルを取るから 彼らは一つの例をとってそれを実行するのではなく あなたは私たちのグローバルな存在のポイントのいずれかを見てみることができ、それらは基本的にセキュリティのために役立つ次々と同じクッキーカッターである。
つまり、基本的には、あなたが行っているのと同じモデルを持っている。レイヤーに取り組んでレイヤー1を展開している時だけでなく、追跡したり、スキャンしたり、観察したりする時も。 これは分散アーキテクチャに関して私が話したい大きなことの1つであり、コンプライアンスについて言及した理由は、大規模分散システムにいる場合、監査人は、検証と検証が可能であり、正しいと主張できる場合、すべてのものをペンテストして監査したくないからである。 まったく同じアーキテクチャで、彼らは互いに競合している。
(トム・ゴラップ)言うのは易し行うのも難しそうだよね? 特に、このシナリオで分散アーキテクチャについて話す場合、そうだろうか? ここでは、どこかにあるゴールドイメージのEC2インスタンスを大量にデプロイすることについては話していない。
ハードウェアの話だ そうだな ある意味では では、どうやってそのようなものを運用化するのか?
Michael Grimshaw :素晴らしいポイントだね。 そしてそれが一つになるところには、それに対する多層的なアプローチもある。 セキュリティだけでなく、調達やライフサイクル管理チームからも提供されているので、それに沿って調整する必要がある。良い例であるため、Kubernetesを入手する理由は素晴らしい例である。
並列分散であり、グローバル分散ではないが、世界中でKubernetesクラスタを実行することはできない。 しかし、Kubernetesは、Kubernetesで問題に遭遇するという素晴らしい例を得る。 もし、ドライバが違うサーバがたくさんあったり、ニックカードやハードウェアが違うと、基本的にはKubernetesを実行できない。
だからライフサイクル管理や調達チームと協力してインフラをコモディティ化するのだ あれがその上の槍の先の槍の先だ。 ハードウェアをできるだけお互いに似たものにしたい。 さて、私たちが最近COVID-19の間に経験した大きなリスクは、物流で発見された問題であり、世界的な流通スペースへの大規模なショックは、COVID-19以前にコモディティ化されたクッキーカッターハードウェアを実行していたとしても、輸送と物流への衝撃で出荷が遅れていた。
Michael Grimshaw氏:同じ種類のチップセットやその他のチップセットを手に入れることができるようになることについて、それはあなただけではなく、サプライヤーなどからハードウェアを購入する人々である。 これはある種大きな曲線を描くようなもので適応しなければならない第二のレイヤーを生み出しそれはイメージ処理や実行している実際のソフトウェアに到達するときにオンになるハイパーバイザやオペレーティングシステムハイパーバイザのようなものか?
それは、下に完全に一様ではなくても、できるだけ近くに到達したい次の層である。 次のレイヤーは、イメージングとOSハイパーバイザレイヤーで同じくらい多くのクッキーカッターと均一にすることである。 そしてそこから、アプリケーションとの同様のアプローチ。
これをコストのための可能なセキュリティとして標準化したい理由の全体の束のための。
Richard Yew:アプリケーションに関しては好きなように言っておこう そう、あなたが知っている、議論されている、それはおそらく一般的な信念に反しているのは知っている。そしてこれはちょっと直観に反するかもしれない。なぜなら、我々はよく分散されたアーキテクチャを考えているからだ。
集中管理されたソフトサーバーやクラウド環境から離れて世界中に分散している 分散アーキテクチャがあると攻撃対象範囲が小さくなると言ったらどうだろうか? なんか変な音だね。 ちょっと聞こえてるけどこう考えてみて
だからアプリケーションを設計する時、特にウェブサイトの話をする時、とても重要だと思う。 デザインと私がよくある間違いを見つけたのは境界警備だ もし私がちょっと話を逸脱してしまったら、人々、顧客、組織がアプリケーションを集中型アーキテクチャに基づいて設計し、それをCDNのような分散プラットフォームで実行しようとするのを見て、多くの最適化を作成しなければならない。
実際に分散アーキテクチャを念頭に置いてアプリケーションを設計することである。 例えば、たくさんの論理を一元的に処理するのに慣れている。 CDNを使用してJPEGや静的ファイルなどをキャッシュするだけ。 でも論理を出してみては?
例えばリダイレクトのような単純な例を考えてみよう。 元の一元化されたインフラストラクチャが顧客のためにリダイレクトを実行するのと同じように。 何万ものリダイレクトがリンクされているとしたら? そうだな うーん、あなたはそれらの論理を端にシフトしてはどうか。
それを変えてみたらどうだ? そうすることで攻撃対象領域と言った時は、ロジックをエッジにシフトすることで、負荷を軽減することで、集中型のアーキテクチャで失敗する確率を減らすことになる。
Richard Yew:可用性の部分について話している。 とても重要なんだ だから、セキュリティメカニズムを含めて、それらの多くを移動することによって言うだろう。 だからもしもう一度フィルタリングして周辺の境界線の外縁で攻撃の干し草を縮小できたら影響を受けやすくなり集中管理されたクラウドやハードウェアのようなもので脆弱性が減るはずだ
リチャード・ユー: 2024年だねでもハードウェアでも基本的にはオリジン・インフラストラクチャーと呼んでいるんだそれはとても重要なことだ たくさんの技術を実装しているのは明らかに限界に来ているからで、私はあなたに言うだろう、ちょうど分散カウントをしているように。
1ミリ秒で全てのサーバがデータを横に並べるのは面倒なことだインフラ全体で1秒あたりのリクエスト数を同期させようとすると うん、でも僕は、それを利用したいと思うものだと思う。
Richard Yew:つまり、中央の脳だけを持つのではなく、論理的な脳だけを中央のアーキテクチャに置くのではなく、 人間の脳は技術的に分散された構造である。 大脳とトカゲの脳 何だと思う? なぜなら熱いものに触れると反応する時間がなくなるから
(リチャード・ユー)もしそれらが脳の中心を通過しなければならないなら 戻る前に火傷をしないといけないだろ? だから、新しい建築デザインとは何かを考え始めよう。 機械学習やトレーニングを集中的に行う代わりに、エッジの推論をして、集中的な場所でトレーニングをする。
再び「いいね」に戻る ある意味では、脆弱性を少し減らし、セキュリティの観点からシステム全体をより堅牢にしている。
マイケル・グリムショー:そうだね ええこれは私たちが今話していた階層化について完全に教えてくれたのは集中化されたものから離れているということつまり免疫学についても話していたことから集中化されたアプローチから離れているということ
もし、あなたが攻撃されて、質入れをされた時、あなたが持っているデータの量、または、あるいは、あなたが持っている暴露は、ものすごく制限されているので、それは完全なブール値ではない、ええと、私は保護されているのか、それとも私はそうではないのか? すべてが一元化されている場合。 大丈夫だ もしデータにアクセスできたらデータにアクセスできるようになり分散させることができるようになる
オーケー。 たぶん、一つの領域か一つのサブセットか一つのサブシステムかもしれない。 ええと、ええと、攻撃者はゼロデイかそれが何であるかを利用して侵入することができるが、彼らはあなたのシステム全体を持っていない。 それに回復力もあります大脳皮質全体を一気に失ってしまうわけではないから
Richard Yew:ところで、Lindsay botは私を事実確認して、ええと、私は悪いアナロジーを使ったと思う。 人間は脳も他にもないがタコだと言うべきだった タコは脳と腕のようなものを持っている。 ええ つまり、これが真の分散アーキテクチャである。
地理位置情報–最も多くの攻撃をブロックしているのはどこか?
(トム・ゴーラップ)そうだね それは良かった つまり、分散アーキテクチャの路線に沿っていて、ここでちょっとコンプライアンスを引っ張っているかもしれない。 私が思っていた統計の1つ これは私にとってかなり興味深いことでした少なくとも紙で見るとジオロケーションを見ていた では上位5か国からの攻撃をどこで阻止しているのか?
大丈夫だ この上位5カ国は我々フランスドイツロシアチェチェン 私がここでとても興味深いと思ったのは中国から流出するAPTがたくさんあることを知る価値があること リストにはない リストには載っていません地理位置について考えると面白いと思ったので
ジオフェンスに目を向ける人は多いと思う ねえ、私が攻撃される可能性が高いと知っている国でロックダウンさせてください26%。 一番嫌いなのはアメリカだった。 何が分かるの? コンプライアンスの観点からも考えていると思う。 ジオフェンスとは2023年、2024年のようなもので、今はそこにいる。
リチャード・ユー: 私の意見では、私たちが乗船したとき、輸出管理について話していて、ジオフェンシングなどでコントロールしなければならないこともある。 VMをどこでも簡単に起動できる。 去年Black Hatを見ていたとき匿名のスーダンDDoS攻撃のISPのようなディストリビューションを見ていたのを覚えているよね?
Richard Yew:ホスティングプロバイダーを使っているみたいで どこでも 彼らがどこから来たのか分かっている例えば東欧の出身とか組織のある場所とか でも今のようにどこからでも攻撃が来る ジョーが中国をフェンシングすることで中国のハッカーをブロックするのか? 今ではうまくいくのか? そうだろう?
マイケル・グリムショー:いや、でもあなたの言う通りだ。 そして、中国は歴史的に、非常にアプローチVPNを使用しており、攻撃の出所を非常に曖昧にしていることでよく知られている。
中国の指揮統制構造は、ロシアやチェシャーのようなものが分散化されているように、暴徒とか、それともあー、指向的ではないかと言うべきではないか。 その通りだ うーん、いい電話だ。 ええと、ええ、そしてリチャード、私は絶対にあなたが正しいと思う。 これを再考する必要があるが、顧客も存在し、市場セグメントも存在する。
規制要件がある業種 だから、そしてあなたが台無しにしない大きなものの一つは外国資産管理局、OFATである。 ジオフェンシングや特に金融サービスや銀行業界では銀行や金融サービスが北朝鮮やイランなどのリストに載っていないことを確認する
ジオフェンスは、特に規制要件に対して依然として重要である。 再考する必要がある それにこれが必要なんだウクライナで最近思いついたんだロシアの要塞は一方スターリンクは地理位置情報を使っている ロシアで使用されないようにロシアが操作してるロシアの兵士と通信業者はそれを利用してる他の国から供給されてる
このリストは二重用途について長い。 二重用途の素材、例えば、民間と軍事の両方の目的に使用できるもの、そしてそれがしばしば第三者の国から調達されていること、そしてこれはここでも同じことであるが、まだ絶対に厳しい規制線がある。 一部の顧客は非常に対処しなければならないまたはジオフェンス。
Richard Yew:その通り。 ただの軍拡競争だ 重要なのは、分散アーキテクチャについて話している間に、顧客がそれを使用して我々を保護することがいかに重要であるかについて話したことだと思う。 しかし、マイクと私が言ったように、攻撃者は両方とも分散アーキテクチャを使用している。
Richard Yew:それはちょっと面白いけどそれがDDoSの本質なんだ そうだろう? これがDの由来である。
(トム・ゴーラップ)うんこれはいいね 時間がなくなってしまって残念だこの話題だけで20分は使えると思うから
最終的な考えと推奨事項
トム・ゴラップ:でも時間をかけているので、このレポートについて、ここでお話ししたデータポイントについて考えてみたいと思っている。 アプリケーションアーキテクチャから、コンプライアンス、ジオフェンス、すべてのゲームビットに至るまで。 私はあなたの考えを聞くのが大好きです、そして聴衆への勧告。
何を見ているべきか? どうすれば身を守ることができるのか?
マイケル・グリムショー:ああ、このレポートは気に入ったよ。 持ち帰って報告書のことを話したいんだ 色々話してきたけどその一つは私が経験しているからかもしれない PCI監査が今何であるかこのレポートについて私が愛する事の1つはちょうど心に浮かんだ2つの事である、うーん、このレポートとこれらのアプローチがあなたのセキュリティと、特にあなたのコンプライアンスの状態がPCIにあるところ。 PCIの要件の1つは、信頼できる外部情報源を使用して安全な脆弱性セキュリティ脆弱性を特定し、リスクランキングを割り当てるプロセスを確立することである。 さて、このレポートは正確にCVEを提供していないが、これはあなたの監査アプローチを階層化するための一部である。私は、このようなレポートを取るのが大好きだ。多分、オペレーティングシステムの脆弱性からの詳細なレポートか、その背景に脆弱性データベースのようにシフトしている。
Michael Grimshaw :監査役の全体像をまとめることができて、もう一つの要件PCIは、あなたと私がPCIに焦点を合わせていることを確認することである。 ISOは他の政権の全束に靴下。 しかし、もう一つのことは、従業員がセキュリティの状況とそれを防ぐ方法について最新のトレーニングを受けていることが重要である。
毎年訓練を受けている 誰かが雇われたら訓練する必要がある オーケー。 その後は毎年このような報告があるがこれは私が従業員一人一人と会社全体を通したものでセキュリティ意識を高めコンプライアンスを助けセキュリティを助けるためだけに 大ファンなんだ
Tom Gorup :それは素晴らしいアドバイスだね。 気に入ったよ あなたはどうリチャード?
Richard Yew:はっきり言っておきたいのは、可視性を持つことは非常に重要なことだ。 もっと楽にしてくれと言うだろう? このような可視性があれば、すべてのアプリケーション、少なくともここで話しているのは公共向けアプリケーションである。なぜなら、ラップトップやMacのように、管理上のエンドポイントをすべて見るわけではないから。しかし、少なくとも、私は、あなたがここから出入りするインターネットのようなすべてのものを一つの画面で見る必要があると固く信じているからだ。
すべてのHTTPリクエストについて話しているように、ネットワーク内外のすべての外部リクエストはカタログ化され、優れたものになる必要がある。 例えば、それらがすべて収集され、ここで話したような統合されたビューの下で報告できるならば、それはあなたのコンプライアンスを促進するのにも役立つと思う。特に証拠の提供などに関しては。
では オーケー。 やはり視界は重要だよね? NISTのセキュリティフレームワークのような3つのフェーズを見てみると つまり一番左には予防のようなテキストがありそれから返事をしなければならない だが、可視性を持つ能力を持つことは、検出がとても重要だ。
見えるものを緩和することはできない
(トム・ゴラップ)ええ 私は常にセキュリティの姿勢、可視性、暴露、脅威を同等視している。 見えないものは守れない 自分の弱点がどこにあるのか理解しなければならない自分がどう攻撃されているのか理解しなければならない この3つが、あなたのセキュリティ態勢を定義するために実際に連携する。
それはビジネスの他の人々とこれを共有することについて少し興味深くなった。 ディレクトリトラバーサルを掘り下げながら、レポートの中で深く掘り下げたことの1つは、実際には、今日のインターネットでまだ非常に顕著に見られる、最も多いタイプの攻撃であった。
今では保護しているが、アプリケーションが脆弱でないことを意味するわけではない。 そして、エンジニアや開発者がこの攻撃があなたに対してどのように使用されるかを理解していることを確認することは、あなたが安全なコードをゼロから構築していることを確認するための素晴らしい方法である。 今日お話ししたことを気に入っているのは、アプリケーションアーキテクチャについて考えることだ。アプリケーションアーキテクチャだけでなく、ビジネスやそれがどのように動作するかについても。
それを使ってセキュリティツールに情報を提供するのは アプリケーションアーキテクチャでは、どのような種類の要求が表示されると予想されるか。 MIMEタイプの種類は何か。また、私のビジネスがそれらを操作して適用し、それらをすべてセキュリティツールに制御の一部として組み込むことができる場所はどこか。
だからレポートで私が興奮しているのはデータを見ているだけでなく、この情報を使って世界について少し違った見方をしたり、それを使って セキュリティツール より多くの制御、制約、私のビジネスがポップされるのを防ぐために。 結局のところ我々がすべきことはビジネスを守ることであるF構成員のためにお金を稼ぎ顧客に価値をもたらす自由を与えることだ とても良い物だ 今日はこれで全部だ ThreatTankに参加してくれてありがとう。
Edgioの最新の脅威インテリジェンスを常に入手したい場合は、edg.ioにジャンプ。 それはedg dot ioで購読すれば、あなたはそれが出てくるにつれて、より多くのインテルを手に入れることができる。 マイケルリチャードは会話が好きだった もう45分は行けたかもしれない これは素晴らしかった。
Tom Gorup:お二人の時間には本当に感謝している。
Richard Yew:ええ ええ 来てくれてありがとう 素晴らしいエンゲージメントと議論をありがとう。
マイケル・グリムショー:素晴らしい情報をありがとう ええ 感謝するよ あなたとおしゃべりしていつも楽しいわリチャード 傑出した
Richard Yew:同様に、男。 またね
(トム・ゴラップ)次回まで