可用性は気晴らしであり、私たちはそれに騙されている
完全にバランスのとれた世界では、可用性とセキュリティは同等になります。 確かに、applicationsのユーザーは、データへのアクセスと同じくらい、データのセキュリティについても懸念しています。
誰もがよく知っているように、この世界は完璧にバランスが取れているわけではありません。 ユーザーがアプリを削除してブランドを見捨てる可能性は、データ侵害による場合と同程度、あるいはそれ以上に、可用性やパフォーマンスの問題による場合が多いと考えられます。
ああ、彼らはまだ違反について騒ぎ立てている。 しかし、一般的には専用ユーザーではなく会社に費用がかかります。
この二分法は、F5 Labs の 2018 年application保護レポートでセキュリティ専門家から報告された優先事項に反映されています。 CISO にとって、最大の懸念は、その役職名から想像されるかもしれませんが、セキュリティではありません。 以前の CISO に焦点を当てた調査「 CISO の進化する役割とビジネスにおけるその重要性」では、大多数の CISO が、最大の懸念は可用性であり、applicationのダウンタイムを防ぐことが組織の主な使命であると述べています。
これは、今後発表されるネットワーク自動化の現状レポートにも反映されています。 個人およびチーム単位で成功を測定するためにどのような指標が使用されているかを尋ねたところ、セキュリティ担当者の 59% が「ネットワークの稼働時間」をトップに挙げ、セキュリティ担当者のほぼ半数 (49%) が「applicationの稼働時間」を僅差で 2 位に挙げました。
可用性という用語にはパフォーマンスが含まれます。 速度は可用性の要素であると考えられており、結果をもたらす攻撃を検出する際にはセキュリティが軽視されることがよくあります。 悪意のあるコードやデータを検出する上で重要なデータ検査はコストがかかり、遅延も生じるため、その実施は逆効果であると見なされることが多いです。
可用性に重点を置くことは、攻撃者にとって有利です。 F5 Labs のレポートでは、攻撃者は可用性を優先するターゲットを認識しており、「攻撃者は、管理者が気を取られている間に同時に実行されるデータ盗難や詐欺攻撃を隠蔽するための陽動作戦として、DDoS 攻撃のタイミングも調整している」と指摘しています。 「煙幕」として知られるこの手法は、何も新しいものではありません。 2017 年に指摘したように、攻撃者の真意を隠すためにボリューム型 DDoS 攻撃を受ける組織が増えています。
そして消費者はそれに対してお金を払っているのです。
気晴らしとしての利用
攻撃者は、可用性への当社の重点を注意をそらす手段としてますます利用しています。 これは厄介なことです。なぜなら、攻撃者は戦術を強化し、あらゆるツールを駆使して、ネットワーク、インフラストラクチャ、applicationsを通り抜け、その先にある宝の山、つまりデータに到達するルートを見つけようとしているからです。 問題は、攻撃者が自分たちと目標の間に立ちはだかるユーザーやシステムだけを利用しているわけではないということです。 今日では、データ自体も使用されています。
F5 Labs の 2018 年application保護レポートでは、研究者がさまざまなソースからの侵害と攻撃データを分析しました。 結果は意外なものではなかったが、不安を覚えるものである。
2018 年第 1 四半期に分析された侵害記録の 70% が、Web インジェクション攻撃を根本的な原因として指摘しました。 これまでずっとフォローしてきた方なら、それは驚くことではありません。 過去 10 年間、すべての侵害記録の 23% は、最初の攻撃ベクトルが SQL インジェクションであったことを示しています。 これは非常に普及しており、2017 年の OWASP トップ 10 で 1 位にランクされました。
実際、PHP ベースの Web アプリに対する攻撃のほぼ半分 (46%) はインジェクション ベースでした。 セキュリティ専門家は、PHP があらゆる場所に存在することに留意する必要があります。 ビルトインインターネットを構成するアプリケーションの構築に使用されるテクノロジーを追跡している は、上位 100 万の Web サイトのうち 43% が PHP で構築されていると指摘しています。 米国にはこのようなサイトが約 1,800 万あり、上位 1 万のサイトのうち約半数 (47%) がこの言語を使用しています。
これは、攻撃者がターゲットを選択できる(そして実際に選択している)大きなフィールドです。 報告書によると、攻撃が行われた 21,000 以上のネットワークのうち、58% が PHP ベースのサイトを標的としていた。
データは成長し、利益を生むターゲット
使用されている言語を非難しないように、F5 Labs の研究者もデシリアライゼーション攻撃に注意するよう警告していることに注意することが重要です。 このような攻撃は言語に固有のものではなく、データ自体に焦点を当てています。 レポートより:
「シリアル化は、アプリがデータを転送用の形式(通常はバイナリ)に変換するときに発生します。通常はサーバーから Web ブラウザー、Web ブラウザーからサーバー、または API 経由でマシンからマシンに転送されます。」
データ ストリームにコマンドを埋め込んだり、パラメータを改ざんしたりすることで、攻撃はフィルタリングされずにapplicationに直接渡されることがよくあります。 Apache Struts の場合のように、データのフィルタリングやサニタイズができないapplication(またはapplicationコンポーネント) は、脆弱性の餌食になる可能性があります。 デシリアライゼーション攻撃は十分な脅威であると考えられており、OWASP は昨年これをトップ 10 リストに追加しました。 1 億 4,800 万人のアメリカ人と 1,520 万人のイギリス国民がまさにこのような脆弱性の影響を受けたことを考えると、デシリアライゼーション攻撃は、実際に使用されている例が比較的少ないため、これまで以上に注意を払う必要があります。
これら 2 つの脅威について言えることは、共通のテーマ、つまりデータも信頼できないという点です。 意図的に変更されるか、正当なリクエストに便乗するかにかかわらず、攻撃はデータ ストリーム内にますます隠れるようになっています。
しかし、アプリとそのデータに重点を置きすぎると、スタックの残りの部分も同様に脆弱であり、攻撃の標的になる可能性があるということを無視してはいけません。 廃止された SSL や TLS 1.0 などの弱い暗号化に引き続き依存することは、フラストレーションの原因となります。 これらの方法は、セキュリティ上の問題が多く、アクセスを求めて攻撃者が悪用しやすくなるため、廃止されました。
報告書には次のように記されている。新しい、名前の付いた TLS プロトコルの脆弱性は、年に 2 回ほどリリースされます。 ただし、Heartbleed を除いて、名前が付けられた TLS プロトコルの脆弱性の大部分は学術的なものであり、実際の侵害に使用されることはほとんどありません。 2014 年にコミュニティ ヘルス システム (CHS) に関係した最大の事例の 1 つです。 攻撃者がHeartbleedの脆弱性を悪用したため、CHSは約500万の社会保障番号を失いました。」
脅威は低いが、リスクは高い。 誰もそのような稀なケースになりたくはないが、結局は誰かがそうなる。
セキュリティと可用性はどちらも平等に扱われるべき
現実には、誰も信用しないだけでは不十分な時代に入りつつあります。 アプリとデータを保護するために導入された保護を無効にしたり回避したりするように設計された攻撃を見つけるには、スタックをさらに深く掘り下げる必要があります。 application保護は、ネットワークからインフラストラクチャ、サービスに至るまで、applicationスタック全体の状態を継続的に評価する連続体として捉える必要があります。 つまり、データの配信速度と同じくらい、データの安全性を重視するということです。
セキュリティルールゼロを覚えておく必要があります。 ユーザー入力を決して信頼しないでください。 また、ユーザー入力にはデータが含まれることも覚えておく必要があります。 つまり、受信データの検査を含めてセキュリティを強化し、パフォーマンスと可用性への潜在的な影響を相殺する方法を見つける必要があります。
それは、可用性は単なる気晴らしに過ぎないことがあり、それに騙されてはいけないことを認識することを意味します。 セキュリティは、可用性やパフォーマンスと同じテーブルに着く価値があり、またそうする必要があります。 CISO の優先事項は可用性ではなくセキュリティです。
CISO がセキュリティのために戦わないのであれば、誰が戦うのでしょうか?
F5 Labs の 2018 年application保護レポートには、applicationスタック全体に存在する攻撃と保護に関する役立つガイダンスを含む、さらに詳しい情報と分析が記載されています。