2022年に無視できないサイバーセキュリティ問題

この記事のバージョンは 情報セキュリティマガジン。ここで更新され、シンジケートされました。

‍

過去2年間は、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一夜にしてリモートワークモデルに陥ったため、ほとんどの組織のサイバーセキュリティ計画が試練にさらされました。特に絶望的な脅威アクターが押し寄せる中、私たちは業界としての可能性を高め、適応しなければなりませんでした。 報告されたサイバー犯罪が 300% 急増 パンデミックが始まって以来。

私たちは皆、いくつかの教訓を学んできましたが、一般的なサイバーセキュリティがより真剣に受け止められているだけでなく、コードレベルのソフトウェアセキュリティと品質もより真剣に受け止められているという事実に安心しています。 バイデンの大統領命令 ソフトウェアサプライチェーンの保護について、特にSolarWindsの大量侵害をきっかけに、重大な問題が明らかになりました。私たち全員がセキュリティにもっと気を配る必要があるという考えは、 そして 測定可能なセキュリティ意識を持って脆弱性を減らす取り組みは、間違いなく会話の大部分を占めています。

そうは言っても、サイバー犯罪者との戦いに関しては、予防的な考え方で彼らの遊び場を先取りして、できる限り彼らと歩調を合わせる必要があります。

来年、彼らが波を起こし始めるかもしれないと思うのはここだと思います。

メタバースは新しい攻撃対象領域です

メタバースはインターネットの次の進化かもしれませんが、ほとんどの業界がソフトウェアとデジタル環境の保護に取り組む方法では、同様の変革はまだ実現していません。

フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられませんが（誰もがメタバースに足を踏み入れている間はたくさんあるでしょう）、この没入型の仮想世界を可能にする実際のインフラストラクチャとデバイスは安全である必要があります。スマートフォンが私たちのオンライン生活に役立ったのと同様に、VRヘッドセットなどの周辺機器は、山のようなユーザーデータへの新しいゲートウェイです。IoT ガジェットを安全に保つためには、組み込みシステムのセキュリティがますます複雑になっており、主流 VR/AR という素晴らしい新世界も例外ではありません。Log4Shellのエクスプロイトで見てきたように、コードレベルでの単純なエラーは、脅威アクターのバックステージに突入する可能性があり、シミュレートされた現実では、あらゆる動きによって盗まれる可能性のあるデータが生成されます。

まだ初期段階ですが、メタバースを成功させるには、暗号通貨（最新のミームコインをランダムに買いだめするだけではありません）やNFTなどの価値のあるアイテムを実用的に採用する必要があります。つまり、現実の富、アイデンティティ、データ、生計は、人々を危険にさらす可能性のある新しい「西部開拓時代」に開かれる可能性があります。私たちエンジニアが壮大な機能や強化に夢中になる前に、この新しい広大な攻撃対象領域をゼロから最小限に抑えることを優先すべきです。

Log4Shellをきっかけに制定された法律

広く使われているLog4jロギングツールの悪用可能なバージョンのインスタンスやそれに関連する依存関係がないか、混乱に陥った多くの開発者にとって、休暇期間は楽しい時間ではなかったと思います。

このゼロデイ攻撃は 記録上最悪の、Log4Shellと壊滅的なハートブリードOpenSSLの脆弱性を比較しました。 6年以上経った今でも悪用されています。このタイムラインを参考にすれば、Log4Shellの二日酔いには今後長い間、対処することになるでしょう。Heartbleedから学んだ教訓があっても、少なくともパッチをできるだけ早く展開して実装する必要性という点では、多くの組織が保護を維持するのに十分な速さで行動していないことは明らかです。会社の規模にもよりますが、パッチの適用は非常に困難で官僚的であり、部門間の文書化と実装が必要になります。多くの場合、IT 部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典的な知識を持っているわけではなく、システム停止やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに悩まされています。このような作業方法にはもっともな理由があります (「誰も作業に手間をかけて何かを壊したくない」など) が、パッチが遅すぎるのは、黙っているようなものです。

と同じように ソーラーウィンズ・アタック ソフトウェアサプライチェーンの状況を変えました。Log4Shellをきっかけに同様のことが起こると予測しています。にはすでにパッチ管理の義務と推奨事項がありますが 一部の重要産業、広範囲にわたる法律は別の話です。緊急のセキュリティパッチ適用を完全に回避するには、予防的ソフトウェアセキュリティが常に最善の方法ですが、セキュリティのベストプラクティスでは、パッチ適用は譲ることのできない優先措置です。これはホットな話題になると思うし、パッチを迅速かつ頻繁に実施するような、それほど微妙ではない推奨につながると思います。

アーキテクチャのセキュリティに重点が置かれている (開発者はまだ準備ができていない)

新しい オワスプトップ10 2021 いくつかの重要な新機能が追加されただけでなく、インジェクションの脆弱性がトップから3位に下がったという驚きもありました。これらの新しい追加は、安全なコーディングとセキュリティのベストプラクティスにおける開発者の旅の「第2段階」のようなものですが、残念なことに、適切なトレーニングを受けていない限り、ほとんどの場合、ここでリスクの軽減にプラスの影響を与えるための準備が整っていません。

コードの一般的なセキュリティバグに対処するには、開発者がセキュリティスキルを持っている必要があることは以前からわかっていました。また、組織は開発者主導の防止の前提によりよく対応するようになっています。ただし、 安全でないデザイン OWASP Top 10 にランクインし、1 種類のセキュリティバグというよりはアーキテクチャ上のセキュリティ問題のカテゴリであるため、開発者はいったん基本をマスターしたあとは、基礎からさらに突き進む必要があります。脅威モデリングをカバーする学習環境（理想的にはセキュリティチームのサポートあり）は、開発者がスキルアップに成功すれば大きなプレッシャーを取り除きますが、現状では、ほとんどのソフトウェアエンジニアにとって大きな知識ギャップとなっています。

これに対抗するには「村が必要」なので、開発者はワークフローに大きな支障をきたすことなく好奇心をそそり、開発者に好奇心をそそり、ポジティブなセキュリティ文化を醸成する役割を果たすことができます。