Home 技術記事 DBIR 2021:今すぐ対処すべき3つの重要なWebアプリケーションの脆弱性
Applications

DBIR 2021:今すぐ対処すべき3つの重要なWebアプリケーションの脆弱性

About The Author

Outline

これは、2部構成のセキュリティシリーズの2番目です。 最初のブログを読むには、 ここをクリックしてください。

Verizon 2021データ侵害調査レポート(DBIR)は、88諸国からの70,000データ侵害インシデントを分析しています 。 集約分析を使用して、「可能性があるが可能性がある」セキュリティリスクについてチームに通知します。 このレポートは、すべてのセキュリティチームが運用プラクティスのベンチマーク、アクションの優先順位付け、そして最も重要なことに、ダウンタイムやデータ侵害に関連する損失を防止するために使用できるゴールドスタンダードです。

このブログでは、侵害(ウェブアプリケーション/サーバー)の対象となる主要な資産の種類、インシデント(DDoS攻撃)の主要なベクトルに関連するDBIRの調査結果の概要を紹介します。 また、2番目にリードする侵害パターン(基本的なウェブアプリケーション攻撃)には、これらのリスクに対処できる推奨事項とベストプラクティスが含まれています。

Insight 1:パッチが適用されていない脆弱性

DBIRに記録された最も大部分の侵害活動は、ウェブアプリケーションに対する「基本的な」攻撃であり、最初の侵害の後に少数のステップまたは追加のアクションを持つものとして定義されています。 これらの攻撃は、電子メールやウェブアプリケーションデータへのアクセスから、マルウェアの配布、改ざん、または将来のDDoS攻撃のためのウェブアプリケーションの転用まで、直接的な目的に焦点を当てています。

4,862の基本的なウェブアプリケーション攻撃が記録されており、そのほとんどが外部の脅威アクターによるものでした。 これらのうち、1,384では、データの公開が確認されており、89%の確率で攻撃の主な動機は金銭的な利益であった。 認証情報は80%の確率で侵害され、個人情報は53%の確率で取得されました。

ウェブアプリケーション攻撃から組織を保護するには、どのようなセキュリティの基本を実装する必要がありますか。 上記のデータは、脆弱性へのパッチ適用が、ほとんどの組織、特に長い間パッチを適用していない組織にとって最適な開始点であることを示しています。 脆弱性にはパッチが適用されていない日々、攻撃者がゴールドを見つけることを期待してアプリケーションの探索的なハッキングを実行する可能性があることを覚えておいてください。 この2つの問題についてもう少し詳しく見ていきましょう。

Insight 2:レガシーアプリの脆弱性

サイバー犯罪者の使命は、あなたの会社に侵入することです。 そして、彼らはできるだけ早く、静かに、そして安くそうしたいと思っています。

DBIRは、古い脆弱性(4年以上前)に対する攻撃が、新しい脆弱性に対する攻撃よりも一般的であることを確認しています。 攻撃者は、これらの古い脆弱性を悪用し続けます。これは、ITセキュリティチームが無視するスタックであることが多いためです。 また、調査が簡単で、エクスプロイトを見つけやすく、比較的安価にマウントできます。

古いスタックにも脆弱性があります。 さらに、サイバー犯罪者コミュニティでは、これらの古いテクノロジースタックを検出されずに攻撃するためのツールについて、より一般的な知識があります。

この問題は何年も前から存在しており、安全なアプリケーション開発とパッチ管理機能が大幅に改善されるまで、かなり長い間課題となっています。

さらに、既知の古い脆弱性を活用することで、サイバー犯罪者は、最も貴重なツールを引き出す(危険にさらす)必要がなくなります。 古いツールを使用して古いアプリをターゲットにしても、作業領域が十分にあるため、はるかに低コストで作業できます。

Insight 3: DDoS脆弱性

分散型サービス拒否(DDoS)は2018年以降急激に増加し、2020年には最大のセキュリティ問題となってい ます。 技術的には、DBIRはDDoSをインシデントパターン(違反ではない)に分類します。 DDoSは、機密性、整合性、可用性の3つの要素の第3の要素である可用性を、どのように分類しているかにかかわらず、重大な混乱を招く可能性があります。

サイバー犯罪者がシステムに侵入して何を抽出できるかを確認しているように、安価ですぐに利用できるDDoSボットネットを使用して、身代金や破壊的キャンペーンの一環としてオフラインにできる脆弱なシステムを発見しています。 DBIRはまた、いくつかの良いニュースを確認しています。DDoSは「対処できる情報セキュリティの傾向の1つ」です。 残念なことに、DDoS攻撃によって障害ポイントが明らかになるまでは、十分な保護を受けていると考えている組織が多すぎる可能性がありますが、それはビジネスのダウンタイムを犠牲にして発生します。

DDoS緩和サービスは広く利用可能であり、ネットワークやアプリケーションインフラストラクチャに導入される可能性がありますが、 これらの攻撃が増加している中で、DDoS保護の範囲を確認する必要があります。 レイヤ3、4、および7で攻撃が成功した場合、保護がどのようにトリガーされるか、および運用への影響を評価することをお勧めします。

何もしないことの代償は

DBIRの主な結果について説明したところで、レポートで取り上げられていないセキュリティ上の脅威を確認しましょう。 アプリケーションの攻撃対象領域を削減するための一般的な課題は、Webアプリケーションが常に動いていることです。 多くは進化し、新機能を追加し、クラウドに移行しています。 セキュリティ修正の実装は、アプリケーションパイプラインを悩ませ続け、ビジネス、エンジニアリング、セキュリティの各分野の間でトレードオフを余儀なくされています。 古い脆弱性、特にレガシーアプリケーションを削除するには、逆の課題があります。開発者やプロジェクト管理者は、まだ使用されているWebアプリケーションに注意を向け、ビジネスの焦点や投資を受けていないことに注意を向ける必要があります。 どちらのシナリオでも、悪意のある攻撃者は、脆弱性を発見して悪用するために、これらの管理の失敗と不作為を期待しています。

リスクを管理するプロセスを構築して強化する一方で、CDNとWebアプリケーションファイアウォールは、インターネットのエッジに潜む有害なトラフィックを特定してブロックするための実証済みの方法です。 これには、DDoS攻撃や自動プローブが含まれます。これは、開発者への多額の投資やプロジェクト管理を必要とせずに、Webサービスの脆弱性をプログラムで標的にしてログに記録します。

当社の ネットワークエッジに組み込まれた次世代ウェブアプリケーションファイアウォールとDDoS防御機能は、2021年のDBIRで報告されたウェブアプリケーションリスクに対処する、シンプルでスケーラブルなソリューションを提供します。 たとえば、2020年の第4四半期には、15億件のリクエストを軽減しました。 「mitigate」は、ブロック、カスタム応答、またはURLリダイレクトをトリガーするWAFイベントとして定義します。 これらは、DBIRによって報告された悪質な活動、既知のレガシー脆弱性、およびウェブアプリケーション攻撃の大部分を引き起こしたDDoSインシデントと同じです。

基本から始める

DBIRは、重大な侵害が発生したときに「ノイズ」が原因で発生する可能性のある死角を明らかにします。 DBIRの著者が言うように、「次に起こりそうなことの規範に挑戦するパラダイムシフトの違反に直面したときは、Bluebirdのウェブサイトで鳥類学者が「この脅威から抜け出す方法でパッチを適用したり、管理したり、アクセス制御したりできない」と大声で叫ぶのを聞かないでください。」

実際、「基本を実行する」ことで、組織に影響を与える可能性が最も高い攻撃の大部分を阻止できます。

当社のCDNおよびWAFが、包括的なセキュリティソリューションの一部として、ウェブアプリケーションの脆弱性をどのように緩和するかをご確認ください。