デジタル変革に関する驚くべき真実: セキュリティをスキップする

これは、デジタル変革から生じる課題に関するシリーズの 3 番目のブログです。

• デジタルトランスフォーメーションに関する意外な真実
• デジタル変革に関する驚くべき真実: クラウドカオス

セキュリティをスキップします。

多くの IT ベテランにとって、アプリのパフォーマンスが問題になったときに最初に対処しなければならないのがセキュリティであるということは驚くに値しません。 攻撃を受けてファイアウォールがダウン？ 電源を切ってください。 突然の需要でサービスがパンクしてしまいましたか? 電源をオフにしてください。

私たちは 20 年間にわたり、アプリケーションのパフォーマンスに問題が生じると、体系的にセキュリティを無視してきました。

したがって、パイプラインのパフォーマンスを考慮すると、セキュリティがしばしば無視されるのは当然のことです。

経営幹部の 10 人中 9 人が、デジタル変革により、アプリをより迅速かつ頻繁に市場に投入しなければならないというプレッシャーを感じていると認めています。

経営陣が責任者にそのプレッシャーを明示的または暗黙的に伝えるかどうかは関係ありません。記録的な速さでアプリをリリースすることになると、開発者と運用担当者はプレッシャーを感じることがよくあります。

そしておそらくそのせいで、彼らはセキュリティを無視したことを認めている。 IBM/Arxan がモバイルおよび IoT 開発者を対象に実施した調査では、ほぼ半数 (44%) がそう回答しており、他の業界の開発者も同様のことを認める可能性が高いです。

結局のところ、セキュリティは難しいのです。 世の中には攻撃対象領域が数多く存在し、影響を受けていない層は存在しません。 ネットワークからプラットフォーム、アプリケーションに至るまで、ネットワークの層の数よりも多くの方法でアプリに侵入し、データを盗み出します。

しかし、最近の最大規模の侵害事例を見ると、誰もが限られた時間を最もリスクの高い問題に集中させるのに役立つパターンが浮かび上がってきます。

私たちは皆、Equifax の侵害について聞いたことがあるでしょう。 私たちはその不快な詳細を知っており、他の多くの組織と同様に、Web プラットフォーム経由でパッチが適用されていないサードパーティのフレームワークに対して実行された公開された脆弱性によって彼らも捕らえられました。 発見は、可能性のあるターゲットを検索するボット/自動スクリプトによって達成された可能性が高いが、検証されていません。 おそらく、最近のボット活動の大部分は攻撃トラフィックではなく、偵察ミッションを目的とした調査であるためでしょう。

どうやら、誰かが SSH 経由またはネットワークの脆弱性を利用して侵入に成功してからかなり時間が経っているようです。 今日の攻撃者はアプリと認証情報を狙っており、ボットを使用して利益の大きい脆弱性を見つけ、攻撃を実行しています。

アプリを保護する必要がある上位 3 つのセキュリティ リスクは次のとおりです。

• OWASP トップ 10。 SQLi、XSS、コマンドインジェクション、No-SQLiインジェクション、パストラバーサル、予測可能なリソース
• CVE。 Apache、Apache Struts、Bash、Elasticsearch、IIS、JBoss、JSP、Java、Joomla、MySQL、Node.js、PHP、PHPMyAdmin、Perl、Ruby On Rails、WordPress。
• ボット。 脆弱性スキャナー、Web スクレーパー、DDoS ツール、フォーラム スパム ツール。

ここで、セキュリティ プラットフォームとポリシーの標準化がアプリごとのアーキテクチャと融合し、リスクが実存的な脅威になる前に効果的にリスクを修復する方法が提供されます。 プラットフォームを標準化するということは、ポリシーを標準化できることを意味します。 この組み合わせを使用すると、セキュリティ専門家は標準の基本セキュリティ ポリシーを作成し、それをすべてのアプリに自動的に展開して、最新の脅威から即座に保護することができます。 アプリケーションごとに保護されているため、アプリ固有の保護を追加して追加の保護を提供することができますが、少なくとも、最も可能性の高い攻撃ベクトルがカバーされていることがわかれば、より安心できます。

アプリごとのアーキテクチャのもう 1 つの利点は、通常は WAF などで保護されていないアプリ (なぜそうなるのかはわかっています) が保護されることです。 しかし、信じてください、適切なポリシーを持つ新しいインスタンスを必要な期間アプリ パイプラインに挿入することで、短期的には保護できるものもあります。 したがって、その CVE が公開されると (公開されるはずです)、セキュリティ専門家は、脆弱性が悪用される前に、緩和ポリシーをすぐに実装し、すべての脆弱なアプリケーションのパスにそれを挿入することができます。

デジタル変革による成果を出すプレッシャーのためにセキュリティを怠る開発者に対する答えは、標準化です。 共通のアプリケーション セキュリティ プラットフォームを標準化することで、ポリシーを標準化し、プロのようにパイプラインにプッシュする機能を活用することができます。

このシリーズの次の投稿では、デジタル トランスフォーメーションによってオペレーションの数よりも多くのアプリが作成される傾向から生じる規模の不経済にどのように対処できるかについて詳しく説明します。