サイバーマンデーにアプリケーションセキュリティが重要になる理由
トピック: Barracuda Advanced Threat Protection、ネットワークおよびアプリケーションセキュリティ、Barracuda Web Application Firewall
2020年11月23日、Brett Wolmarans
ブラックフライデーとサイバーマンデーは、主に米国の現象として始まりましたが、現在はヨーロッパ、英国、オーストラリア、および他の多くの国でも有名です。金曜日、土曜日、日曜日、および月曜日は、ホリデーショッピングシーズンの4日間にすぎず、1年間のすべての日と比較すると、短いですが、毎年、グローバルなデジタル経済にとって最も重要な4日間であると言って間違いありません。
買い物をしたいという衝動は、どれほど強いでしょうか。2008年も、米国ニューヨーク州バレーストリームでは、午前4時に、非常に多くの買い物客がウォルマートのドアが開くのを厳しい寒さの中で待っていました。結局、買い物客は、これ以上待つことができず、ドアを破壊し、従業員を踏みつけ、立ち止まらず、買い物をするためだけに、殺到し続けたのです。
しかし、今年、小売業者はセキュリティが最強であることを確認した方がよいでしょう。この理由は、買い物客が、店頭で買い物をするために、ドアを破壊するのではなく、EC(電子商取引)サイトとフラッシュセールに殺到することが確実に予想されるためです。サイトがハッキングされ、ボットに在庫がため込まれ、サービスが拒否されることは、今年、小売業者が文字どおり最も望まないことです。
サイバーマンデーを締めくくる4日間の規模は、今年、どれほど大きくなるでしょうか。この規模を確認することは興味深いでしょう。
過去数年間を基準とすると、この規模は非常に大きくなるでしょう。2019年は、店頭の買い物に制限がない場合も、サイバーマンデーだけで90億ドル以上がオンラインで費やされ、11月1日から12月2日までの間に810億ドルもオンラインで費やされました。ロックダウンを考慮すると、アドビは、この数字が2020年には33%増加すると予測しています。
猛烈な攻撃に備える
その裏返しとして、今年は、ハッキングとデジタル脅威が、どれほど深刻になるかという問題があります。小売業者は何を期待する必要があるでしょうか。誰にもわかりませんが、過去数年間を基準とすると、EC企業は最悪の事態に備える必要があります。
ECでは、OWASP TOP 10のリスクを防止することは、これまでどおり、最小限の基本的なセキュリティです。ほとんどの小売業者にとって、このセキュリティを確保するための最もわかりやすい方法は、信頼できるベンダからWAF(Webアプリケーションファイアウォール)を導入することです。
WAFは、過去10年間、無数のECトランザクションを保護しており、依然として、攻撃がサーバに到達しないように、OWASP TOP 10を防止するための最も安定した信頼できる広く導入された方法です。
WAFは、プロキシファイアウォールまたはCDN(コンテンツデリバリネットワーク)のように導入できます。また、アプリケーション部門があまり作業しなくても、ECサイトを保護できます。
ボットの問題
WAFはOWASP TOP 10という「頭痛の種」を処理していますが、今年は、さらに陰湿な脅威であるボットが依然として進行しています。ボットは、自動的であり、スクリプト化されており、高度であり、それ自体がECのカテゴリです。また、新しくはありませんが、今年は、かつてないほどに大きな問題になることは間違いありません。
ガートナーによると、ボット攻撃の主なタイプは、DDoS(分散サービス拒否)、不正購入、Webスクレイピング、脆弱性スキャン、およびエクスプロイトです。
ボットとは、いったい何でしょうか。ボットは、データベースをハッキングするのではなく、正規のトラフィックでECサイトを攻撃し、サイトをクロールし、完全に破壊することに注力しています。この攻撃はDoS(サービス拒否)として知られています。ボットによる攻撃は、これだけではありません。ボットは、ECサイトにアクセスし、クリックを自動化し、すべての在庫をボットのショッピングカートに追加し、正規の顧客には何も残しません。
ボットの厄介な副作用は、マーケティングデータが非常に混乱し、どのトラフィックが正規であるか、および偽装であるかを判断しにくくなることです。また、CFO(最高財務責任者)にとってのボットの問題は、不正な競合他社の商品の方が常に安くなるように、価格データをスキャンすることです。EC企業は、ボットによって、買い物体験の最適化に注力するのではなく、常に「消火」にあたることになります。
このため、小売業者は、OWASP TOP 10だけでなく、ボットも防止する必要があります。実際、OWASPにはOAT(Ontology of Automated Threats)があり、このオントロジーでは悪意のあるボットがWebアプリケーションに実行するさまざまなタイプの攻撃が分類されています。つまり、信頼できるWAFだけでなく、このような新しいクラスの脅威を防止できるボット対策も導入しているということです。
バラクーダのソリューション
幸いにも、バラクーダは、現在提供されている最も信頼できる最もサポートされているWAFの一つだけでなく、ごくわずかな作業でライセンスアドオンとして導入できるクラス最高のボット対策も提供しています。Barracuda Advanced Protectionは、ML(機械学習)によって、厄介なボットを排除することが実証されています。
Barracuda Web Application Firewallは、Barracuda Advanced Bot Protectionによって、下記の新しい機能を提供しています。
- ボットスパム検出: リファラスパムを削減し、コメントスパムを防止する。
- クレデンシャルスタッフィング対策: ATO(アカウント乗っ取り)攻撃を防止する。
- リクエストリスクスコアリング: 高度なアクティビティ分析によって、攻撃者を検出する。
- クライアントフィンガープリンティング: IPアドレスより正確にユーザを追跡する。
- 専用のボット軽減UI(ユーザインターフェース): ボット軽減機能を簡単に設定できる。
- フォームスパム対策: フォームの使用方法を分析して、フォームの自動的な入力を防止する。
Barracuda Web Application FirewallとBarracuda Advanced Bot Protectionは、パブリックおよびプライベートクラウド、物理的なフォームファクタ、as-a-Serviceなど、すべてのプラットフォームで提供されています。
特に、すべてのプラットフォームが同じWAFエンジンを実装しているため、EC企業は、バラクーダという信頼できるブランドで保護されていることを認識した上で、すべての環境に導入できます。
まず、https://www.barracuda.com/products/webapplicationfirewallにアクセスして、無料の30日間の評価機/評価版をご試用ください。この評価機/評価版は小売業者がホリデーショッピングシーズンに商品を最も安全に販売するために必要なBarracuda Advanced Bot Protectionを含んでいます。
バラクーダは、すべての勤勉なEC企業が安全で収益の高い何よりもボットのないホリデーショッピングシーズンを迎えることを願っています。
原文はこちら:
Why application security will be critical on Cyber Monday
November 23, 2020 Brett Wolmarans
https://blog.barracuda.com/2020/11/23/application-security-cyber-monday/