ThreatTankの概要–エピソード2:四半期ごとの攻撃傾向
Tom Gorup: 最新の脅威インテリジェンスを紹介するポッドキャストThreatTankへようこそ。 世界中のセキュリティ環境に関する脅威への対応と洞察。 本日は、Edgioセキュリティソリューションの製品管理担当シニアディレクターであるRichard Yew氏とEdgioプラットフォームエンジニアリング担当ディレクターのMichael Grimshaw氏がホストを務めています。
(トム・ゴラップ) ようこそリチャードマイケル
(リチャード・ユー) また来てくれてありがとう
トム・ゴラップ: これは繰り返し登場するテーマになるかもしれませんリチャード 前回砕氷の質問をした時はそれを続けなければならないと思いましたが見つけるのは簡単ではありませんよね?
前回は確固とした基準を設定したと思うからです。 これが私の砕氷船です その価値について考える時間も与えていません では私も参加しましょう しかしここで疑問があります まずお前に聞いておくよマイケル 君をその場に連れて行く テレビ番組に1か月、1か月閉じ込められた場合、どの番組を選択しますか?また、その理由は何ですか?
マイケル・グリムショー: 私は最初に思い浮かぶことを認めざるを得ませんでした。最初の実行では、ギリガンの島で1か月を過ごすという考えは、熱帯の島で、 教授を利用して水道水の入手方法を調べなくてはならないとしても 1ヶ月間の素敵な熱帯の島はそれほど悪くないように聞こえます。
Tom Gorup: 何と答えでしょう。 私はそれが大好きです。 いや、ギリガン島は久しぶりだし、声に出して言うつもりもない。見てから久しぶりだね。 いい答えだな あなたはどうですか?
(リチャード・ユー) 大変なことですね あなたが知っている、私はよく考えていました、私はPeppa Pigのような豚を持っている他のテレビ番組はありますか?あなたは私が同じ豚のテーマを続けようとしていることを知っていますが、私はそれをやめようと思います。
ゲーム・オブ・スローンズのように私はゲーム・オブ・スローンズの中に閉じ込められていましたが初日か最終日になるかもしれません誰が知っていますか? でも、そうだよ、そうだよ。
トム・ゴラップ: そうです うんうん 勇敢だな
(リチャード・ユー) そうです 勇敢だな うんうん 俺はかなり大胆だ
(リチャード・ユー) たぶん黒いマントを着て壁に立って何が起こるか見てみよう
マイケル・グリムショー: トム、逆も挙げましょう。 玉座のゲームとゾンビをテーマにした映画ショーは、リストの一部ではない私になります。
トム・ゴラップ: いい答えですね 生き残りたいんだろ? それは公平だ
リチャード大胆だ 玉座のゲーム。 残念ながら先週病気になりました 私はCOVID-19にかかりましたが、それは惨めでした。 しかし、私はいくつかの古い家の再放送を追いついた。 だから、私は家を選ぶだろうと思います。 きっと診断を受けてループスではないと言いたいのです 一度だけ言っておきたい
ループスじゃない 決してループスじゃない 1ヶ月間のショーになるわ 私はそれは良い時期だと思います少なくとも私の生存率はリチャードの選択と比較してかなり高いことを知っていますそこに。
トム・ゴラップ: わかりました テレビ番組の話をしに来たのではありません
今回はEdgioが発表する新しいトレンドレポートについてお話ししたいと思います 私は第4四半期のスナップショットを撮り、あらゆる種類のトレンドを見ています。 これは長い間で初めてのことですこの報告書の一種の復活だと思います
リクエストメソッド、時間の経過に伴う傾向、MIMEタイプ、あらゆる種類の地理位置情報など、あらゆる種類のデータポイントをカバーしています。 今日は皆さんにお話ししたいと思いますこのようにデータを見ることから多くの興味深い洞察が得られるからです時々データセットを見ることもできるでしょう
「それで何?」って感じですよね どうしたの? なぜでしょうか? 何でこんなの見てんだよ。 どうすればこの情報を見てそこから何かの価値を引き出すことができるでしょうか? そして、あなたの両方の仕事を得ることにとても興奮しています。 洞察。 さて、皆さんの考えに再び興味を持つような、高レベルのカテゴリのトピックについては、アプリケーションアーキテクチャですね。
アプリケーションアーキテクチャ–観察する内容が重要
Tom Gorup: このレポートを見て、アーキテクチャ、アプリケーションについて考えてみましょう。 アプリのアーキテクチャに基づいて適切に構成されたツールをどのように活用しているのか、またある程度のコンプライアンスも考慮しています。 この情報をどう使ってアプリを別の方法で考え始めるかということです
まず、アプリケーションアーキテクチャについて考えます。 ここでは基準となるフレームを得ることができます。 このレポートには2つのデータポイントがあります。 型を念頭に置いたリクエストメソッドを見てみましょう。 私たちは、あなたが知っている、あなたが知っている、あなたが知っているように、私たちは間違いなく自由に感じることができます。 持っているものは何でも引っ張っていい
でもその前に何? なぜ見ることが重要なのでしょうか? このようなマインドタイプのリクエストメソッドのようなものです。 私がこのレポートを初めて見たとき投稿を求めるリクエストの98の9%以上でした なんだと? インターネットへようこそ なぜこのようにデータを見ることが重要なのでしょうか? お前らどう思う?
マイケル・グリムショー: いや私は言いたいのですが私の頭に浮かぶ大きなことは観察するものつまり観察するものが重要だということです そこで新しいグリーンフィールドアプリのような建築や建築やそれに関する全ての建築について話をすることができます
でも最初に手に入れたのはこのようなレポートやこのようなデータや情報の力です脅威インテリジェンスです 私は、コンプライアンス、セキュリティニーズに関連したアーキテクチャを構築することを強く信じています。実際には機能しない要件は、アプリケーションのビジネスロジックが小さなプールではないことです。 しかし、ビジネスロジックだけに集中できる時代は終わりました。1つは、複数の次元を検討する必要があります。たとえば、観察可能性を調整する方法、より高度なインフラストラクチャや、認証情報の再保存やローテーションなどのプラットフォームアプローチを採用する方法などです。
私はそれについて何日も話すことができますが、それがもたらす大きなことは、あなたが探しているものを知るための実用的な知性を持っていることです。 アプリから、あなたが言ったツールから、それが私が最初に呼びかけたいことの一つです。あなたがどこにいたか、ベクトルが何であるかを理解することです。 どのような役者がどのような台本を利用しているのか、その間の誰もが利用していることを知っていることを知らせる必要があります。あなたが何をしているのか、四半期ごとに、スキャンを知っているか、うまくいけば、四半期ごとにスキャンをしているだけではありません。 コンプライアンスプロファイルに応じて、最低四半期ごとに実行する必要がありますが、継続的にスキャンしたり、ビルドとモビリティのセキュリティを継続的に監視したりするDevSecOpsシフト・ライト・モデルに移行することを願っています。
まず最初にお伝えしたいのはこのデータです この情報は知っておくことが重要です。 セキュリティの観測可能性スタックを探すために観測可能性スタックを微調整する必要があること、そしてシフトで逆になることを確認する必要があります。 コード内で導入してしまう可能性のある、より多くのものや潜在的な脆弱性に注意を払って、それを行わないようにしています。
水平線を見通す必要があります このような会話をするたびに、多くの例えを聞くことになります。 マラソンやクロスカントリーランニングなどで走っているときは、戦術的にシフトした後に水平線に目を向けているようなものです。 なんとか穴のせいで川か何かを知ってる あなたは自分が向かって走っている地平線を見失っていません。
(リチャード・ユー) 逆にこれを見てください
また、アプリケーションアーキテクチャに関しても、トムが言ったように、データを見ると、ほとんどのリクエストは押し付けられる可能性がありますが、それはインターネットですよね。 しかし、私が分解することの1つは、データを見るときにもあると思います。たとえば、リクエストの数などです。なぜなら、私たちが得ているコンテンツの会話はどのようなものなのか、というストーリーを教えてくれるからです。
明らかに 多くのアプリケーションスペースを実行している場合、特にスパがあるとします。 主要なアーキテクチャとしてお使いいただけますか? たくさんの投稿を見ることになります。 色々な方法が見られるでしょう? ユーザー生成コンテンツを大量に取ると、たくさんの投稿が表示されて投稿が表示されることがありますよね。 ですから、それは本当に良い内訳です。 また、これがセキュリティデータであることを考えると、このデータはWebアプリケーションファイアウォールから来ていることを意味します。 検査したペイロードのうちどれだけが実際に多くトリップしているかがわかります
このケースではよく分かります しかし、柱からもかなりの量のものが送られてきています。なぜならそこに積荷が積まれているからです。地表についての物語を物語っています。 攻撃の表面積です。リクエストメソッドの分布を見るだけで、エンドポイントを受け取るものはすべて、逆に、より大きな表面積になることがわかります。 例えて言うと人々はそれが馬鹿だと言いますポストリクエストのように家の中にあるゴミやトイレのように ペイロードを送るような誰かわかるか?
MIMEタイプ
Tom Gorup: でも、リクエストメソッドのようなものが絵を描くようになったということは、あなたの言っていることが大好きです。 アプリケーションの使用方法、攻撃方法、脆弱性のある場所について説明してください。 それはあなたに良い見通しを与えます。 そして、MIMEタイプのようなものにもつながります。
面白いと思ったことがあります。皆さんの考えをお聞かせしたいと思いますが、これが広まっているのを見たのは、ブロックの76パーセントです。 繰り返しますが、このWAFアクティビティは、アプリケーションJSON MIMEタイプでした。 だから周りの多くの予防。 JSONリクエストタイプ、そしてそれはインターネット全体、アプリケーションがどのように開発され、アーキテクチャされているかを教えてくれますか?
(リチャード・ユー) まず始めましょう ジャンクがどこから来たのかを教えてくれるようなものですよね? ある意味でJSONは理にかなっています。なぜなら、ほとんどのAPIエンドポイントと同じように、ええと。 ああ、落ち着きのように、落ち着きさえしない、GraphQLのように、あなたはそれを名前にしますよね? JSONペイロードのようなものが含まれています。 そうだな 私の考えでは、これはコースと同等です。多くの組織にとって驚くべきことではありません。
HTMLコンテンツタイプのようにペイロードも表示されます。XMLのような束が表示されますよね? したがって、設計とセキュリティメカニズムのようなものに関しては、間違いなく1つのことが必要です。 JSONだけを見たいのではなく、ただ見たいだけです。私は特定のセキュリティ製品を見てきたので、XMLだけを解析できます。
JSONを解析する能力がないこと。 JSONを解析できなければペイロードを見ることができません。 ですから、JSONの機能があることを確認したいと思います。 パーサーが高速であることを確認する必要があります。 何だと思う? ほとんどの場合、WAVにバイパスされるため、パーサーを悪用するのが好きです。
ペイロードを特別なエンコーディング形式で送信するか、または、のような形式で送信します。 ただ時々変わるだけでも これはJSONですが、フォーマットをマルチパートに変更しました。 ウェブはヘッダーだけを見るので解析を止めました。 これはJSONではありません。 解析していません
このようにしてペイロードをスライドさせます ですから、間違いなく、あなたがメモできるようにしたいものです。JSON、それは最も人気のあるものです。 また、より曖昧なもののいくつかを見たいと思います。 ここで指摘したい項目や項目は後で保存します。
Michael Grimshaw: Richardが素晴らしい点を指摘したのは、ウェブ開発の現代においてはXだけでパーサーはそれをカバーしていないということだと思います。 アプリケーションのJSONとJSONペイロードがこれほど大きな割合を占めるのは驚くことではありません。なぜなら、現代のウェブ開発では、JSONは世界に存在し、ウェブ開発だけではないからです。
たとえば、誰かがクラウドを見る必要があります。 CloudFormationやAWSなどについて話しているかどうかは関係ありませんが、AWSは大きなものなので使用させてください。 4、5年前かもう少し前のことです 正確な日付は覚えていませんが、CloudFormationは完全にXMLでしたが、その後JSONベースに移行し、完全に引き継がれました。
Web開発インフラ、JSONです。 JSONでもXMLでも解析できる必要がありますが、Richardのポイントはさらに難解で、すべてのデータを解析できる必要があるという点です。
(リチャード・ユー) そうです 異常値といえばデータを見る時いつも小さなデータを見ています例えば1パーセントとか0.5%とか報告書から目立っていたのは0.14です 0.14%のデータが記録されています 他の特徴のない情報もありますよね? 奇妙に聞こえるかもしれませんが月に何十億というデータポイントを使うとその0.14%はかなりの量になります コンテンツの種類の中には画像のようなものもあります。 JavaScriptなどは、歴史的に考えられているように、静的なコンテンツです。 なぜWAVをJPEGの前に置いた?
なぜ写真が多いのかというと どうするの? そう言わせてくれ 安全保障における横移動と呼ばれるものがありますよね? JPEGのようなものです。 たとえば、エッジなどのストレージに配置していない場合、ネットストレージで、100 %のサービスしか提供していない場合、これらの要求はすべてWeb Tierに戻されます。 もしこれらのリクエストのわずか0.1%がオリジンに戻ったとしても、攻撃者はヘッダー、クッキー、クエリ文字列、引数のいずれかの形式でペイロードを実際に送信できることを意味します。 例えば、リクエストからJPEGファイルへと送信し、それらをバックエンドに送信します。 もし同じバックエンドをHTMLとJPEG、例えばJPEGに使っているとします。
横方向の動きに影響されやすいかもしれませんなぜなら「これは画像領域だ」と言われているからです 保護する必要はないかもしれません 多くの人は「なぜWAFを置くのか?」と言います お金を無駄にするのはほとんど静的な物に保護をかけるのが好きだ これもまた注目すべきことです
ディフェンダーやブルーチームのように常に欠陥を見つけたいと思っていますよね常に正しいことをしなければなりません 攻撃者は一度だけ正しければいいんですよね? ご存知のように、最初のJSONリクエストの最初のペイロードのように、バックドアを作成したオリジンに転送されます。 起こり得ることです
トム・ゴラップ: ええ 100 Percentそして皆さんがこれを使っているのはまず絵を描くことやアプリケーションのストーリーを語ることです アプリのアーキテクチャをよく理解することができます。 どこにコントロールを適用しているのでしょうか?
あなたが最も脆弱でないと思うのは、私たちが見ているときのアプローチの方法であるかもしれません。ええと、これもまたレポートの中にあります。 しかし、緩和された攻撃のカテゴリを見てみると、45の%は実際にはアクセス制御ルールであり、ポストリクエストの防止を意味しています。
脅威の状況を制限するなど、アプリが投稿を受け付けない場合は、アクセス制御ルールを適用して、攻撃者がアプリケーションを突き刺したり、突き刺したりできる場所を制限します。 申請を受け入れないならブロックして そうだな それを防ぐ。 1位でそれを許す理由はありません。
そして、外れ値の種類、アプリの小さな部分を見るという良い点をもたらします。 私はその思考プロセスが大好きです。 この線に沿って、そのスレッドを少し引っ張っていきましょう。 つまり、45パーセントは37%をブロックしたアクセス制御ルールです。 私たちは管理されたルールセットです
これが脅威インテリジェンスとクロスサイトスクリプティングのすべてです。 19 %はこれを見てレイヤー防御のように考えるカスタムルールです。 私がここで思ったのは、依頼が来ると、それらはあなたが熟考する必要があるこれらのフィルターを通過するということですよね?
階層型防御アプローチ
Tom Gorup: アプリケーション内にWAFまたはセキュリティコントロールを導入する場合は、そのアーキテクチャを理解し、それに合わせてセキュリティツールを調整する必要があります。 脅威の状況を制限するには、レイヤーも必要です。
マイケル・グリムショー: レイヤーが必要です 私がやりたいことの1つは、レイヤーと話したいことです。 ここでお話ししているのは、開発者、機能開発者、SDLC、アーキテクトの間のフィードバックループの重要性に光を当てているということです。 セキュリティチームは、もしセキュリティチームやWAFやSOCなどがブラインドで飛行している場合、JSONペイロードを受け入れるべきかどうかを知らないからです。
投稿しませんか? どうする? それはコミュニケーション、フィードバックのループなのでしょうか? FTEが時間を無駄にしている限り、コストを節約し、ツールのコストを節約できます。開発者、設計者、およびセキュリティチームの間の緊密なフィードバックループが、世界のすべての違いを生み出します。
(リチャード・ユー) レイヤーについてはいつもこう言います「いや、メタ・バズワードを使って深層防御のようにね」 あなたが知っているように、私は本当に私たちが必要だと思います、それは本当にあなたの条件のために秩序を持っているメンタリティーを持っている必要があります。 でも私は間違っているかもしれません
単層の水フィルターがあるかもしれませんココナッツの炭素のような派手なものを使っています そうだな しかし、一般的には、証券を見ると、そうでしょうか? 単一の層が魔法の弾丸であると仮定することはできません。 たとえば、ボット管理があるからといって、DDoSなどのアプリケーションからアカウントの乗っ取りまで、ボット管理がすべてをキャッチすることを期待するわけではありません。
すべてのメカニズムが連携して機能します。 そして、あなたがそれを言おうとしている方法は、あなたが知っているように、のようなものです。 大丈夫だ 可能な限り効率的です。 つまり45%の超過ルールを取っているということです。 私はACLと呼んでいます。 これはACLだよな? ACLは通常、最初のレイヤで実行されます。 それには理由があります走るのが安いからです
ipsとかcountryとかのようなただの集まりです asnとja3のサインだろ? それらを背後で走らせるのは、それがそれらを破るものは何でも静的な署名だからです。 すぐに未来を切り離すことができます秒未満のミリ秒のようにですよね? レイヤー全体で複数形は数ミリ秒以内に実行されます
でもゴミをできるだけたくさん取り除こうと思ってるでしょ? かつては業界で働いていた仲間がこう言ってくれました「これは干し草の山を縮小することだ」 依頼が来たみたいなものを全部取って欲しいんでしょ? そして攻撃を見つけようとします。
これは、1つのHTTPリクエストが不正なペイロードを運んでいて、その結果、違反を引き起こしているようなものです。 干し草の山を探しているのか? 干し草の山を素早くつなぎ前部の層からできるだけ多くのゴミを取り除き最も洗練された層で処理できるようにします
追加のデータを使うと、ここでも非常に役立つことがあります。境界防御だけではないという事実に戻ります。 交差するから壁を破るだけだ 監視塔があるとは限らないでしょ? 実際、多層防御の概念は、帝国になるまで領土を拡大したローマ人からもたらされた軍事戦略です。
周囲の壁だけで攻撃を打ち破るのは不可能です これが理由です。 多層防御を行ってきました。
マイケル・グリムショー: もちろんです これについては、前のディスカッションで説明しましたが、リチャード。 免疫学の例がいいですねもしあなたの健康が無菌環境に依存しているならあなたは死んだ人です
避けることではありません壁で囲まれた環境を確保することでもありませんすべてが無菌状態にあることでもありません 免疫力を高めることです 病原体から解放される唯一の方法は病原体に対する免疫を発達させることですそのためには多層防御的なアプローチが必要です
君みたいだ はい、最高のネットワークファイアウォールが必要です。 強力な境界線が必要だ でもどうなったと思いますか? それは破られるでしょう つまり国家主体の世界では世界全体が脅威になる可能性があります 効果的には、境界が侵害されることを計画するだけで済みます。
それができたら次の層は何でしょうか? 次のレイヤーと次のレイヤーがあります 次に、どのように監視し、これらのタイプの侵害にフィンガープリントを行い、攻撃者が何を狙っているかを把握します。 ああ、それは不可欠だ
分散アーキテクチャ
Tom Gorup: それは興味深いことです。なぜか、分散アーキテクチャがそれにどのように機能するかについて考えてみましょう。 スペクトルの両端が見えるからです リスクを見て目にするとスプロール現象が発生しますが同時に発生する可能性もあります 見てもっと価値をもたらしてくれ さまざまな地域や場所にワークロードを分散して、可用性を高める。
どこで演奏してるの?
マイケル・グリムショー: もちろんです 私たちは分散アーキテクチャの世界に住んでいます。 世界的な足跡があれば 300 plus POPSは世界中に存在しています 私たちは大規模に分散した並列計算の時代にいます私たちだけではありません これは20の何年も前にさかのぼりますが、これがウェブ開発の本質です。 Webインフラストラクチャ。 あなたは分散されていると仮定する必要があります。 大規模に並行して実行されていて、セキュリティ、サポート、コストスタンドからここに針を動かすのは、雪の結晶を回避することです。これは、コンプライアンスにも関係します。 ここで少しお話しするのは、大規模な並列化、大規模な分散化を実行している場合、その分散アーキテクチャに可能な限り多くの差異があるインフラストラクチャを可能な限り類似している必要があるということです。 1つ目は監査役と話している時は主張できるし証明できるから
マイケル・グリムショー: そうですねどれか一つを調べてみましょうなぜならこれはクッキーカッターだからです私たちが見なければならないのです監査官がそれをサンプリングします ただ一つ例を挙げて実行するだけではありません 当社のグローバルなプレゼンスポイントのいずれかを見ることができます。それらは基本的に同じクッキーカッターであり、セキュリティに役立ちます。
つまり、レイヤーに取り組んでレイヤーを展開しているときと同じモデルを使用しているのですが、トラッキング、スキャン、観察するときも同じモデルを使用できます。 分散アーキテクチャについては、これは大きな話題の1つです。コンプライアンスについて言及した理由は、大規模分散システムの場合、 監査人は、検証と検証が可能で、それらが正しいことを主張できる場合、すべての監査をペンテストして監査する必要はありません。 まったく同じアーキテクチャであり、互いに競合しています。
(トム・ゴラップ) 言うのは簡単ではありませんよね? このシナリオでは特に分散アーキテクチャについて説明します。 ここでは、どこかにあるゴールドイメージから作成されたEC2インスタンスを大量にデプロイすることについて話しているのではありません。
ハードウェアのようなものです そうだな ある意味では どうやってこのようなものを運用可能にするのでしょうか?
マイケル・グリムショー: 素晴らしい点ですね そして、そこには、それに対する多層的なアプローチもあります。 セキュリティだけでなく、調達やライフサイクル管理チームからも提供されています。そのためには、それに沿って調整する必要があります。なぜなら、良い例、Kubernetesを入手する理由は素晴らしい例だからです。
並列分散であり、グローバルに分散されているわけではありませんが、世界中でKubernetesクラスタを実行することはありません。 しかし、Kubernetesの良い例は、Kubernetesで問題が発生することです。 もし様々なドライバや異なるニックカードや異なるハードウェアを持つサーバがたくさんあるなら基本的にはKubernetesを実行することはできません
これが、先ほど述べたように、ライフサイクル管理と調達チームと協力してインフラストラクチャをコモディティ化する理由です。 それがその上の槍の先にある槍の先です。 ハードウェアをできるだけ似たものにしたいと考えています。 さて、私たちが最近COVIDの間に経験した大きなリスクは、物流に関する問題であり、世界の流通スペースへの大きなショックによって、 COVIDの前にコモディティ化されたクッキーカッターハードウェアを使用していたとしても、出荷、輸送、ロジスティクスへの衝撃で出荷が遅れていました。
Michael Grimshaw: 同じタイプのチップセットやその他のものを手に入れることさえできるようになることです。あなただけでなく、彼らのサプライヤーからハードウェアを購入するのは人々です。 これは大きなカーブのようなもので、適応しなければならない第2のレイヤーが表示されます。イメージ処理を開始するときに使用されるもので、実際に実行しているソフトウェアが表示されます。まず、ハイパーバイザー、オペレーティングシステム、ハイパーバイザーのようなものです。
それが次の層であり、たとえその下に完全に均一ではなくても、できるだけ近くに行きたいと思います。 次のレイヤーは、イメージングとOSハイパーバイザレイヤーで同じくらいのクッキーカッターと均一にすることです。 そしてそこから、アプリケーションとの同様のアプローチ。
さまざまな理由からコストをかけて、可能な限りセキュリティを標準化したいと考えています。
(リチャード・ユー) アプリケーションに関しては気に入っていただけると思います そう、あなたは知っています、私はそれがおそらく一般的な信念に反することを知っています、そしてこれは少し直感的に反するかもしれません。なぜなら、私たちはよく分散されたアーキテクチャを考えているからです。
そのため、一元化されたソフトサーバーやクラウド環境から、世界中に分散しています。 分散アーキテクチャを使用すると、実際に攻撃対象領域が小さくなるとしたらどうでしょうか。 変な感じだ ちょっと聞こえるかもしれませんがこう考えてみてください
配布することによって、アプリケーションを設計するとき、特にウェブサイトのことを考えるとき、それは非常に重要だと思います。 あなたはしない、デザインと私はよくある間違いを見つけます。これは境界線のセキュリティです。 ここで少し話を変えてみると、人、顧客、組織が集中型アーキテクチャに基づいてアプリケーションを設計し、CDNなどの分散型プラットフォームで実行しようとするのを見てきたのは間違いです。 そしてたくさんの最適化をしなければなりません。例えば、何をロジックスに送る必要があるか、というようなものですが、現代的なものは、モダンデザインと呼ばれています。
分散アーキテクチャを念頭に置いてアプリケーションを実際に設計することです。 例えば、多くの論理を集中管理された場所で処理するのに慣れているとします。 CDNを使用してJPEGや静的ファイルなどをキャッシュするだけです。 では論理のいくつかを伝えてみてはどうでしょうか?
例えば、リダイレクトのようなとても単純な例をとってみましょう。 元の一元化されたインフラストラクチャが顧客のリダイレクトを行うのと同じように、 何万ものリダイレクトがリンクされている場合はどうなりますか? そうだな 論理をエッジに移してみてはどうですか?
それを変えたらどうだ? そうすることで、攻撃対象となる領域を特定するロジックをエッジにシフトすることで、負荷を軽減し、集中管理されたアーキテクチャのように、一部をオフロードすることで、障害発生の可能性を減らします。 屋外の警備はciaだな?
(リチャード・ユー) 私たちはその中で利用可能な部分について話しています とても重要です。 ですからセキュリティの仕組みを含めて多くのものを動かしてみましょう ですから、もう一度フィルタリングして、境界の外側のエッジでの攻撃の干し草を縮小できるなら、そうです。あなたは影響を受けやすく、集中管理されたクラウドなどのハードウェアでの脆弱性が少なくなります。
2024年のことですがハードウェアですが基本的にはオリジンインフラと呼んでいますこれはとても重要です できることがたくさんあるように言えます。なぜなら、私たちは明らかに多くの技術を実装している最先端にいるからです。
1ミリ秒のように、すべてのサーバーを持つことで、データ、 1秒あたりのリクエスト数をすべてのインフラストラクチャで同期しようとするのは面倒ですよね。POP内で。 でも私はあなたが利用したいと思うものです
Richard Yew: では、中央の脳、例えば論理を中心としたアーキテクチャを持つのではなく、 人間の脳は技術的に分散されたアーキテクチャなのです 大脳とトカゲの脳があります どうなったと思いますか? 熱いものに触れても反応する時間がないからです
(リチャード・ユー) もしこれらが中枢脳を通過する必要があるなら 退却する前に火傷しないといけないだろ? ですから、新しい建築デザインとは何かを考えてみましょう。 機械学習やトレーニングなどすべてを集中管理で行う代わりに、エッジで推測を行い、集中管理された場所でトレーニングを行うことができます。
再び、それは好きに戻ります。 ある意味では、実際には脆弱性を少し減らし、セキュリティの観点からシステム全体をより堅牢にしています。
マイケル・グリムショー: そうです これは私たちが今話していた階層化の話を完璧に物語っているのは集中化されたものから離れて免疫学の話をしていたものから離れて集中化されたアプローチから離れているからです
もしあなたが攻撃を受けて質入れを受けた時データの量や露出が非常に制限されていて完全なブール値ではないとしたら私は保護されているのでしょうか?それとも保護されていないのでしょうか? すべてが集中化されているとき。 いいだろう もし彼らがデータにアクセスできるなら彼らはデータにアクセスしてそれを分散させることになるでしょう
大丈夫だ 例えば、1つの領域、1つのサブセット、または1つのサブシステムなどです。 攻撃者はゼロデイか何かを利用して侵入することもできるだが彼らはあなたのシステムを持っていない それはまた回復力の問題でもあります大脳皮質全体を一気に失うわけではないからです
(リチャード・ユー) ところでリンジー・ボットが事実を確認して悪い例えを使ったんだ 人間は脳を持っていないと思うがタコだと言うべきだった タコは脳と腕のようなものを持っている。 うんうん これが真の分散アーキテクチャです。
ジオロケーション–攻撃を最もブロックしているのはどこですか?
トム・ゴラップ: そりゃいい それはよかった 分散アーキテクチャのラインに沿って、コンプライアンスを少し引っ張っていくこともできます。 統計の一つだと思っていました これは私にとってかなり興味深いものでした少なくとも紙の上では地理位置を見ていました では、上位5か国からの攻撃をどこでブロックしているのでしょうか。
いいだろう 上位5カ国はフランスドイツロシアチェチェンです 私がここでとても興味深いと思ったのは、中国から多くのAPTが流出していることを知る価値があることです。 リストには載ってない このリストには載っていません地理位置を考えると面白いと思いました
ジオフェンスに目を向ける人は多いと思います 攻撃される可能性が高いとわかっている国でロックダウンさせてくださいが、26%です。 一番嫌いなのはアメリカ人でした それは何を意味するの? 私もコンプライアンスの観点から考えていると思います。 ジオフェンスとは2023年、2024年のように、私たちが今いるところです。
リチャード・ユー: つまり、私の意見では、私たちはすべての顧客、つまり、船上では輸出管理について話します。 ジオフェンス、私はそれらのいくつかのことのように感じます、私はそれが誰もが聞きたいと思うものではないかもしれないことを知っているので、それらの要件のいくつかを再検討する必要があります。特にGRCを実行している場合は、事前に謝罪します。 しかし、私たちは今、誰もがVPNやすべてを手に入れるような時代になっていると思います。 仮想マシンはどこでも簡単に起動できます。 例えば、昨年Black Hatを見たとき、匿名スーダンDDoS攻撃のISPのようなディストリビューションを見ていました。
リチャード・ユー: ホスティング・プロバイダーを利用しています どこでも 彼らがどこから来たのか知っています例えば東欧の特定の国から来たのです組織はそこにありますよね? だが攻撃はどこからでも来る最近のように それで中国のハッカーをブロックしたのかジョー・フェンシングの中国のハッカーをブロックしたのか? 今ではうまくいくのか? そうでしょう?
マイケル・グリムショー: いやでもあなたの言うとおりです また、中国は歴史的に非常によく知られていますVPNを使用し、 攻撃の起源がわかりにくくなっているのは明らかにロシアですが、ロシアでは、自国出身の国が多く、ロシアの個々の俳優が参加するように促しています。
中国の指揮統制構造はロシアやチェシャーのように分権化されていたような集団やええとそうではないでしょうか その通りだ いい電話だ ええでもリチャードあなたの言うとおりだと思います これを再考する必要がありますが、顧客が存在し、市場セグメントが存在するでしょう。
規制要件のある垂直市場。 だから、あなたが台無しにしない大きなものの一つは、外国資産管理局、OFATです。 ジオフェンシングや特に金融サービスや銀行業界のように 銀行や金融サービスが北朝鮮やイランなどのリストに載っている場所で利用できないようにしましょう
ジオフェンスは、特に規制要件に関しては依然として重要です。 それらを再考する必要があります。 そして、ええと、実際には、これが必要です。 これは、ええと、ええと、ええと、それが呼ばれていたウクライナでは、ロシアの要塞、一方、[00:39:00]スターリンクは地理位置を使用しています。 ロシアで使用されないようにロシアはロシアの兵士を操作しているオペレーターはそれを利用しています他の国からのものです
リストは二重使用について長いです。 二重使用の材料、民間と軍事の両方の目的に使用できるようなもの、そしてそれがしばしばサードパーティの国から調達されている方法、これはここでも同じことですが、まだ絶対に厳しい規制ラインがあります。 お客様によっては、ジオフェンスに非常に対処しなければならない場合があります。
リチャード・ユー: その通りです ただの軍拡競争です ここで重要なのは、分散アーキテクチャについてお話ししている間に、お客様がそれを使用して当社を保護することがいかに重要かについてお話ししてきました。 しかし、マイクと私が言ったように、攻撃者は両方とも分散アーキテクチャを使用しています。
Richard Yew: つまり、彼らは、まあ、ちょっと面白いですね、それがDDoSのすべてのポイントでした。 そうでしょう? Dはそこから来ています
Tom Gorup: うん、これは良いですね。 時間が足りなくなって残念ですこのトピックだけで少なくとももう20分は使えると思いますから
最終的な考えと推奨事項
(トム・ゴラップ) 時間があるのでこのレポートについてお話ししたデータポイントについて考えてみたいと思います アプリケーションアーキテクチャから、コンプライアンス、ジオフェンス、全体のギャンビットに至るまで。 私はあなたの考えを聞くのが大好きです、そして聴衆への推奨事項。
「何を見るべきか?」 どうすれば自分を守ることができるのでしょうか?
マイケル・グリムショー: このレポートは気に入っています 報告書のことを話したいんだ 色々なことを話してきましたがその一つは私が経験してきたからかもしれません 現在のPCI監査は、私がこのレポートで気に入っている点の1つです。このレポートとこれらのアプローチがセキュリティに役立つ場所、特にコンプライアンスのレベルはPCIです。 PCIの要件の1つは、信頼できる外部の情報源を使用して安全な脆弱性セキュリティの脆弱性を特定し、リスクランキングを割り当てるプロセスを確立することです。 さて、このレポートはCVEを正確には示していませんが、これも監査アプローチの階層化の一部です。私はこのようなレポートを、オペレーティングシステムの脆弱性や脆弱性データベースなどの詳細を背景にしてお読みになりたいと思います。
Michael Grimshaw: 監査役のために全体像をまとめることができたことと、PCIが必要なことは、PCIに焦点を当てていることを確認することです。 ISO靴下を他の政権にも適用しました しかし、もう1つは、従業員にセキュリティの状況とそれを防ぐ方法についてのトレーニングを受け、最新の状態に保つことが重要であるということです。
そう、あなたは年に一度トレーニングをしています。 誰かが雇われたら訓練をしないと 大丈夫だ その後は毎年、このような報告がありますが、これは、セキュリティ意識を高め、コンプライアンスを支援し、セキュリティを支援するために、従業員全員と会社全体を介して絶対に何かを得るでしょう。 大ファンです。
トム・ゴラップ: それは素晴らしいアドバイスですね 気に入ったよ リチャード、あなたはどう?
(リチャード・ユー) 確かに言いたいのは、時々可視性を持つことがとても重要だということです。 物事を簡単にするために言うでしょう? このような可視性をすべてのアプリケーションに適用できるのはいいことです。少なくともパブリック向けアプリケーションについては、ラップトップやMacなどの管理上のエンドポイントすべてを対象にするのではなく、 しかし少なくとも私たちは何が出入りしているかを見ることができますなぜなら私は固く信じているからですインターネットに面しているようなここから出入りするすべてのもののためには単一の視野が必要だと
すべてのHTTPリクエストについて話しているように、ネットワーク内外のすべての外部リクエストはカタログ化され、優れたものである必要があります。 例えば、これらがすべて収集され、ここでお話ししたような統合ビューの下で報告できるようになれば、コンプライアンスの促進にも役立つと思います。特に、証拠の提供などに関しては。
それで 大丈夫だ 可視性は重要ですよね? NISTセキュリティフレームワークの3つのフェーズ、実際には5つのフェーズを見てみましょう。 左端には予防措置のような文章がありそれに反応しなければなりませんよね? しかし、可視性を持つ能力を持っていること、検出は非常に重要です。
目に見えるものを軽減することはできません
トム・ゴラップ: ええそうね 私は常に、セキュリティ体制、可視性、暴露、脅威を同一視しています。 見えないものは守れない 自分の弱点を理解する必要があります自分がどのように攻撃されているかを理解する必要があります これらの3つが、セキュリティ体制を定義するために実際に組み合わされます。
これを他のビジネス関係者と共有するようなことも少し面白くなりました このレポートでは、ディレクトリトラバーサルを掘り下げるだけでなく、詳細な調査を行っています。これは、実際には、今日のインターネットで今なお目立っている攻撃の中で、第1位のタイプの攻撃でした。
現在はIT部門から保護していますが、アプリケーションがIT部門に対して脆弱でないというわけではありません。 また、エンジニアや開発者がこの攻撃がどのように利用されるかを理解することは、安全なコードをゼロから構築するための優れた方法です。 今日お話ししたのは、アプリケーションアーキテクチャについて考えることです。アプリケーションアーキテクチャだけでなく、ビジネスとその動作についてもです。
セキュリティツールに情報を提供するために使用します。 では、どのような種類のリクエストが期待されるかをアプリケーションアーキテクチャで確認していますか。 MIMEタイプはどのようなタイプですか。また、私のビジネスはどこでMIMEタイプを運用して適用し、それらをすべて制御の一部としてセキュリティツールに組み込むことができますか。
このレポートで私が興奮するのは、データを見るだけでなく、 また時間をかけてこの情報を使って世界について少し違った見方をしてセキュリティツールに情報を提供してより多くの制御や制約を課しビジネスの弾みを防ぐ方法を考えてみましょう 結局のところ、私たちはビジネスを保護し、IT部門が自由に操作できるようにして、Fの構成要素のためにお金を稼ぎ、お客様に価値をもたらすことを目指しています。 とても良いものです。 今日はこれで終わりです ThreatTankにご参加いただきありがとうございます。
Edgioが提供する最新の脅威インテリジェンスを最新の状態に保ちたい場合は、edg.ioにアクセスしてください。 それがEDGドットIOで、購読すると、あなたはそれが出てくるにつれて、より多くのIntelを得るでしょう。 マイケルリチャードは会話が好きだった また、もう1分は45を利用できたような気がします。 これは素晴らしかったです。
Tom Gorup: 両方の時間に感謝しています。
(リチャード・ユー) そうです うんうん お招きいただきありがとうございます。 素晴らしい取り組みと議論に感謝します。
マイケル・グリムショー: 素晴らしい情報をありがとうトム うんうん 感謝します お前とおしゃべりするのも楽しいよリチャード 素晴らしい
リチャード・ユー: 同じように またね
トム・ゴラップ: また今度ね
