1. HOME
  2. Blog
  3. Blog
  4. 海外ブログ

Info.

お知らせ

海外ブログ

バラクーダのセキュリティ最前線から2023年の脅威を予測 のページ写真 1

バラクーダのセキュリティ最前線から2023年の脅威を予測

トピック: Attacks and Threat Actors, User Training and Security Awareness 2022年11月21日、Tilly Travers 未来を予測するのは難しいですが、この1年の流行や新しいトレンドを見ることで、起こりうる出来事を予想することはできます。バラクーダは、2023年の脅威予測の一環として、セキュリティ最前線の専門家に、2022年に何を見て、2023年に何に遭遇すると思うか尋ねました。意外だったのはどんなことで、組織が過小評価または過大評価しているリスクは何で、今後1年間危険にさらされる可能性があることは何でしょうか。   Q: 2022年に最も驚いたセキュリティ関連トピックで、2023年以降にも影響があると考えられることがらは何ですか? 脆弱なソフトウェアのサプライチェーン、兵器化したソーシャルメディア、多要素認証(MFA)の乱用、地政学的な動機に基づくサイバー攻撃の拡大、Everything-as-a-Service(コンピュータ処理に必要なソフトウェアやハードウェアなどがインターネットを通してクラウドから「サービス」として提供する概念や仕組み)です。 Riaz Lakhani バラクーダ最高情報セキュリティ責任者(CISO):私が最も驚いたのは、重大な脆弱性が報告された人気のサードパーティ製ソフトウェア・ライブラリの多さと、それらのライブラリを自社のアプリケーションなどで使用しているために影響を受けた大企業の数が多いことです。 Adam Kahn Barracuda XDR VPセキュリティオペレーションズ担当:今年は初めて、個人がソーシャルメディアプロフィールからランサムウェア攻撃を受けるのを目のあたりにしました。 Shani Mahler  Barracuda XDR のエンジニアリング・プロダクトマネジメントディレクター:「インフルエンスベース」のサイバー攻撃がいかにエスカレートしているか、です。大手SNSにはこの問題を解決するインセンティブがほとんど見当たらず、したがって解決されないままで、セキュリティチームもインフルエンスオペレーションを監視することができません。セキュリティオペレーションセンター(SOC)の仕事は、機械やネットワークを監視してリスクを発見することであり、人がどのように影響を受けて混乱を引き起こすかを監視することではありません。ソーシャルメディアの影響力は、監視されていない、非常に有効なサイバー脅威であり、2023年も引き続き猛威を振るうと考えられます。 Merium Khalid オフェンシブセキュリティ・シニア SOC マネジャー:多要素認証(MFA)の乱用が増えたこと。2022年は、MFAがすべてのセキュリティの問題を解決してくれるわけではないことがわかった年だったと思います。かつてないほど多くの侵害が報告されました。MFAの乱用かあるいはソーシャルエンジニアリングを通じてMFAコードを攻撃者に引き渡してしまった結果です。 Stefan van der Wal アプリケーションセキュリティのコンサルティングシステムエンジニア:ランサムウェアがまだ問題であること。これほど壊滅的な影響を及ぼす攻撃に関して、2022年にはかつてないほど報じられてきました。それにもかかわらず、いまだに予防・検知・対応・復旧の面で適切な対策をとっていない組織が残っていることに驚きました。脅威により対処しやすくなるよう、セキュリティ業界全体がこれほど努力しているにもかかわらず、です。 John Flatley E メールセキュリティのコンサルティングシステムエンジニア:攻撃ツールがいかに簡単にアクセスでき、利用できるようになったかということ。攻撃者にこうしたサービスをすべて提供するサブスクリプションサービスがあります。 Stefan Schachinger ネットワークセキュリティ・プロダクトマネジャー:2022年の地政学的な紛争から、私たちはサイバー脅威に国境はないこと、そして世界がサイバー攻撃にいかに弱いかを思い知らされました。ランサムウェアを含む多くのサイバー脅威は、もともとターゲットを破壊するためではなく、金儲けのために設計されたものです。この状況は2022年に一変しました。紛争に直接関与していない国や組織が突然、それまで考えられなかったような巧妙なレベルで、混乱や妨害を目的として実行される国家主導の(あるいは容認の)攻撃の標的となったのです。世界的なサイバー攻撃に対する脆弱性のレベルがいかに低いかを痛感させられました。しかし重要な教訓ともなりました。2023年に脅威のレベルが低下する可能性は低いのですから。 こうした背景のもと、2023年に組織が備えるべきサイバー脅威のトップトレンドは? 悪用される認証方式、拡大する攻撃対象、増え続けるゼロデイ、サプライチェーン攻撃、Webおよびアプリケーション攻撃、脆弱なIoT RL:アカウント乗っ取りが、攻撃者にとって簡単に手に入る果実であり、組織にとって最優先のリスクであることに変わりはありません。二要素認証やMFA疲労攻撃が容易になり、TOTP(時刻に同期して生成されるワンタイムパスワード)はソーシャルエンジニアリングの影響を受けやすいため、セキュリティ担当者は認証対策を見直す必要があるでしょう。 AK:2023年には、クラウドベースやSaaSを採用する組織が増えるため、組織が攻撃対象となる可能性は高まるでしょう。幸い、これには問題なく対応できるはずです。というのも、サイバー脅威が活発で進化しており、インテリジェントで自動化されたリアルタイムの監視と対応が必要であるという理解が広まりつつあるからです。 SM:2023年、組織はその規模や業種に関わらず、どんなサイバー脅威から狙われても対処できるような準備が必要です。 MK:ゼロデイ脆弱性が増加するでしょう。 2022年、CVE(新たな脆弱性)の登録件数は2万1000件でした。その多くは「クリティカル」に分類され、攻撃者によって積極的に悪用されるものも少なくありませんでした。ゼロデイが警告なしに組織を襲うため、組織はできるだけ早くソフトウェアのパッチを当て、修正できるようなチームを編成する必要があります。 SVDW:サプライチェーンへの攻撃。2022年はサプライチェーン攻撃の年でした。より多くの攻撃者が企業を攻撃する際に最も弱いリンクを狙うようになりました。どの企業も外部の企業とビジネスを行っており、誰も他の組織への攻撃のピボットにはなりたくありません。 JF:メールアカウント乗っ取り、ランサムウェア、ウェブアプリケーション攻撃という恐ろしい3つの攻撃。 SS:インフラに接続されるモノが増え、エッジコンピューティングと連携したクラウドサービスが増え、リモートワークが続く中、攻撃対象は拡大しています。このため、組織はセキュリティの見直しを迫られています。長年にわたり、セキュリティの主な目的は、最初の侵害から身を守ること、つまりマルウェアや攻撃者をネットワークから締め出すことでした。しかし現在では、何かまたは誰かが侵入してきた場合に備え、侵入されたときにどのように対応するかを準備する必要があります。 私たちはどのくらい準備ができている? 2022年、組織が最も過小評価しがちだったサイバーリスクは? 脆弱なソフトウェア開発パイプライン、従業員のセキュリティ意識、アプリケーションのセキュリティ、攻撃の可能性 RL:過小評価されがちだったのは、アカウントの乗っ取りがいかに容易か、何が最も重要な資産でそれはネットワーク上のどこに存在するか、攻撃対象領域はどのようなものかという点です。開発からパッチ適用、デプロイなど、ソフトウェア生産を自動化するためのCI/CD(継続的インテグレーションとデリバリー)パイプラインを強化する必要性も、過小評価する企業が多々あります。CI/CDパイプラインには、ソースコード、アプリケーションコードリポジトリ、コンテナ、ビルドサーバなどの重要なコンポーネントが含まれているため、攻撃者の最重要ターゲットになるのです。 SVDW:最も過小評価されているのはアプリケーションセキュリティリスクでしょう。現在、多くの攻撃がアプリケーションから発生していますが、セキュリティに積極的に取り組むべきだとすべての企業が認識しているわけではありません。企業は、サイバー攻撃者に先んじて、サプライヤーに保護措置について尋ね、アプリケーションのセキュリティ体制を調べておく必要があります。 SM:従業員のセキュリティに関する理解度がいかに低いかを組織側は十分に認識していません。従業員は常にフィッシングやスミッシングといったソーシャルエンジニアリングの手口で狙われています。しかし多くの企業では、従業員に対するセキュリティ啓発教育(SAT)を年に1回しか行っていません。 MK:過小評価されているのは、セキュリティ意識向上トレーニングの重要性。発生する漏洩や侵害の多くは、クレデンシャルの漏洩が原因であり、これはより良い教育を通して減らせます。 JF:過小評価されているリスクは、前述の攻撃タイプの規模とアクセス性が上がっていること。そして、攻撃ツールの活用がいかに容易になったかということ。 SS:組織も政府も過小評価しているのは、標的型攻撃の被害に遭う可能性と、攻撃の影響がいかに広範囲に及ぶかです。2022年は、たった1つの組織が経済や社会にとってどれほど重要な存在になり得るかを教えてくれました。すべてがつながった世界では、相互依存の関係は巨大になり、小さな原因が大きな影響を及ぼしかねません。例えば、文書や請求書などのシステムが1つでも危険にさらされれば、企業は世界中の業務を停止せざるを得なくなるし、電力網が機能しなくなれば、全国的な停電を引き起こす可能性があります。私たちは、組織やインフラを守るより効率的な方法を生み出し、「小さな」理由で大規模なダウンタイムを回避するためのレジリエンスを強化し、継続的な攻撃を阻止できるようにならなければなりません。 では、過大評価しがちなサイバーリスクとは? ブルートフォースアタック、データコンプライアンス違反、そして防御がいかに優れているか MK:ブルートフォースアタックが成功するリスクを過大評価しがちです。ネットワークをスキャンして脆弱性を探すことは、私がSOCで目にする最も一般的な敵対的偵察活動の1つです。ビジネス上の必要性から外部に向けた資産を保有している場合、ブルートフォースや脆弱性のスキャンを受ける可能性は非常に高いです。しかし、企業がジオブロック、VPN、MFAなどの管理体制を敷いている場合、ブルートフォース・アクティビティが侵害につながる可能性は低くなります。 SVDW:GDPRのコンプライアンスリスクを過大評価しがちです。データプライバシーに関して非常に制限的なポリシーを構築している組織もあります。PII(個人を特定できる情報)が関与していないデータ周りのビジネスの俊敏性を阻害し始めない限り、良いことでしょう。これは、例えば、コンプライアンス部門がデータリスクとして考えているセキュリティ対策を、組織がとらないことを意味します。一方、本当のリスクは、情報セキュリティリスクに対応するシステムを導入していないことです。 SS:組織は、自分たちの保護レベルや、おそらくすでに足場を固めている攻撃者から自分たちを守る能力を過大評価しがちです。また、緩やかにしか統合されていない、あるいはまったく統合されていない孤立したセキュリティ対策やツールのプラス効果を過大評価しています。 2023年、どのようなセキュリティ対応をすべき? AI、アプリケーションセキュリティ、新しい認証方法、自動化、24時間365日の人間主導のリアルタイム監視、セキュリティオペレーションセンター(SOC)-as-a-Serviceが2023年のサイバーセキュリティを強化 RL:既存の認証方法が攻撃者に狙われるなか、セキュリティ担当者は代替手段を検討する必要があり、パスワードレスやFIDO U2F(ユニバーサル2ndファクター)シングルセキュリティキー技術が注目されるでしょう。 MK:2023年以降、テクノロジー業界は、生体認証やパスワードレスな認証方法にシフトしていくことが予想されます。 AK:脅威検知、特にセキュリティの注意力を削ぐ「誤検知」ノイズを除去するうえで、人工知能(AI)がより多く利用されるようになり、それがセキュリティに大きな変化をもたらすでしょう。これにより、即時の注意と対応が必要なセキュリティアラームに優先順位をつけることができます。自動化されたSOAR(Security...

海外ブログ

ゼロトラスト・ネットワークアクセスを始めよう のページ写真 2

ゼロトラスト・ネットワークアクセスを始めよう

2022年11月4日、Tilly Travers   ゼロトラスト・ネットワークアクセスの必要性 COVID-19の急速な感染拡大に対応するため、企業はほぼ一夜にしてリモートワークやハイブリッドワークを導入しました。その結果、BYOD(Bring Your Own Device)ポリシーが急増し、データもアプリケーションもインフラもクラウドに移行されました。 これらの変化は一過性のものではなく、多くの企業にとって恒久的なものとなっています。つまり、とりあえずのセキュリティ対策をより永続的で拡張性と将来性のある保護対策にアップグレードする必要があるのです。 そこでバラクーダは、新しい無料のe-Bookを掲載しました。企業がビジネスセキュリティを強化するために、ゼロトラスト・ネットワークアクセスを理解し、導入する助けになるでしょう。以下に簡単に概要を記します。 もはや機能しないもの  VPN VPNは、企業ネットワークへの安全なアクセスを多数のリモートユーザーやコンピューティングデバイスに提供するのに悪戦苦闘しています。さらに事を複雑にしているのは、すべてのユーザーが、データとアプリケーション、およびシステムに対して同じアクセス権を持つ必要はなく、また持つべきでもないという事実です。 サイバー攻撃者は、高いレベルのいわゆる特権アクセス権を持つ管理者のようなユーザーに引き寄せられます。しかし、技術者でない契約社員やリモートワーカーに対してアクセス制御があまかったり過剰なアクセス権が与えられていたりすれば、攻撃者はこうした契約社員やリモートワーカーを利用して簡単にクレデンシャルを盗むことができます。 組織は、ユーザーやデバイス、トラフィックがすべて本物であることを確認し、それぞれが必要なデータやシステムだけにアクセスできるようにする、より強固な方法を必要としています。 複雑なセキュリティインフラストラクチャ ソーシャルエンジニアリングや悪意のあるソフトウェアからユーザーを保護しようと、多くの場合、ファイアウォールとVPN、Webゲートウェイ、それにネットワークアクセス制御ソリューションを組み合わせます。その結果、管理するのも理解するのも難しい複雑なインフラストラクチャが出来上がってしまいます。パッチワークのようなセキュリティインフラストラクチャは統合的な可視性を欠き、誰がどこからネットワークのどの部分にアクセスしようとしているのか、それが正当なアクセスなのかどうかを判断できません。 進むべき道:何も信用せず、すべてを検証する そこで登場するのがゼロトラスト・ネットワークアクセス(ZTNA)です。ゼロトラストは、あらゆるものを継続的に検証し、ユーザーが必要なものだけにアクセス権が与えられるようにするアプローチです。 ゼロトラストは、空港での移動に例えるとわかりやすいでしょう。 チェックインカウンターに到着したら、パスポートで本人確認を行います。これで、海外旅行の第一段階は終了です。しかし、飛行機に搭乗するためには、搭乗券も必要です。両方の書類がなければ、旅は始まりません。 これをネットワークアクセスに置き換えてみましょう。ネットワークにアクセスするために、本人確認と必要な権限があることを証明できなければ、あなたは旅を続けることはできません。 ZTNAの3大メリット ZTNAは、許可がないことを理由に、ネットワークにアクセスしようとする不審な試みを自動的にブロックします。 ネットワークにアクセスしようとしたすべてのデバイス、場所、ユーザーの身元を記録します。コンプライアンスや監査に必要な大切な包括的ログを提供するのです。 強力な自動化により、承認やサインインにかかる時間を短縮し、リモートアクセス、パフォーマンス、生産性を向上させ、セキュリティも強化します。 ZTNAを始めるための3つの重要な質問 保護したいものは何か。個人情報、機密データ、重要なアプリケーションやサービス、資産、デバイス、知的財産などが考えられます。 この一部または全部にアクセスする許可を必要とするのは誰か。 ユーザー、デバイス、トラフィックが既知で本物であることを、あらゆる段階で判断するにはどうすればよいか。   原文はこちら Getting started with Zero Trust Network Access November 4, 2022 Tilly Travers https://blog.barracuda.com/2022/11/04/getting-started-with-zero-trust-network-access/

Blog

ゼロトラストへの賛成は早めに、そして頻繁に のページ写真 3

ゼロトラストへの賛成は早めに、そして頻繁に

2022年11月29日、Mike Vizard サイバーセキュリティ純粋主義者にとってゼロトラストITとは、ネットワークに接続されたいかなるユーザーもアプリケーションもマシンも、証明されるまで信用しないというアーキテクチャです。米国立標準技術研究所(NIST)が定義するように、ゼロトラストITとは、「かつて静的なネットワークベースの境界線にあった防御をユーザーと資産、およびリソースに焦点を当てるようにした、一連の進化しつつあるサイバーセキュリティパラダイム」です。したがって、物理的またはネットワーク上の位置や資産の所有権のみに基づいて、資産やユーザーに暗黙の信頼が与えられることはありません。 ほとんどのサイバーセキュリティ専門家にとって、ゼロトラストは決して新しいアイデアではありません。フォレスター・リサーチのアナリストであるジョン・キンダーヴァグが2010年にこの言葉を広めたとされていますが、コンセプト自体は2004年にまでさかのぼることができます。しかし今日、ゼロトラストITは、キャンペーンのスローガンに近いものへと進化しています。ほぼすべての組織が、なんらかのゼロトラストアーキテクチャを採用する方向に向かっています。実際、米国防総省(DoD)はつい最近、今後1年間でゼロトラストIT目標を達成するというビジョンをまとめた37ページの報告書を発表しました。自分の組織のために同様のサイバーセキュリティ戦略を定義しようとしている担当者は、この報告書をコピー&ペーストするとよいでしょう。 当然のように、ゼロトラスト IT へのシニカルな見方も出てきます。サイバーセキュリティのプラットフォームやサービスを提供するプロバイダはこぞって、サイバーセキュリティ担当者にゼロトラスト IT の目標を達成を促すサービスを売り込みます。しかしサイバーセキュリティの現状を見れば、ゼロトラストITに懐疑や不安の目が向けられても無理はありません。 ただ、懐疑的な見方をしたくなるのはごく自然だとしても、それではより重要な点を見逃してしまいます。サイバーセキュリティ担当者が長い間直面してきた最大の問題の 1 つは、経営陣からのサポートの欠如です。サイバーセキュリティはこれまでずっと、最小化すべきコストとみなされてきました。サイバーセキュリティのなかでも絶対に不可欠だとされる項目にだけ予算が割り当てられてきたのです。一方、「ゼロトラストIT」は、ビジネスリーダーがより理解しやすいキャッチフレーズです。現在の目標は、単にコンプライアンスを達成することではなく、IT 環境を真にロックダウンすることです。そのため、景気後退期であってもサイバーセキュリティに予算を割り当てる傾向がかつてなく高まっています。もちろん、ランサムウェアの台頭も、こうした姿勢の変化に少なからず影響を与えているでしょう。 企業の経営者の関心があるのは、ゼロトラストIT目標をいかに達成するかではありません。成果がすべてなのです。一方、IT担当は、ゼロトラストと聞いて大きくうなずきはしますが、大半はそれが何を意味しているのか正確には理解していません。サイバーセキュリティの観点から最も重要なのは、すべてのステークホルダーがゼロトラストの概念を支持することです。最新の流行語やキャッチフレーズにすぐに飛びつかないほうがカッコいいかもしれませんが、ゼロトラストITキャンペーンはサイバーセキュリティ担当者のためのものではありません。サイバーセキュリティ担当者にとってゼロトラストは、すでに十分に理解されている「多重防衛」の延長線上にあるものです。現在の状況がこれまでと異なるのは、サイバーセキュリティ担当だけでなく、多くの人々がこの議論に参加している点です。 もちろん、どんなスローガンもいずれは空疎に響くことになります。それでもサイバーセキュリティ担当者は、ゼロトラストという言葉が流行している今のうちに、社内のゼロトラストITキャンペーンを開始するとよいでしょう。今ならば次世代サイバーセキュリティ技術への投資をより簡単にとりつけられる、というだけでも十分すぎる理由です。何をすべきかよく理解していない、もちろん感謝もしていない人々に代わってサイバー攻撃と闘い続けるために、セキュリティ担当者たちにはこの新しい技術が大いに必要なのですから。 原文はこちら Vote for Zero Trust early and often November 29, 2022 Mike Vizard https://blog.barracuda.com/2022/11/26/vote-for-zero-trust-early-and-often/

海外ブログ

バラクーダ、2022 CRN Tech Innovator Awardsファイナリストに選出される のページ写真 4

バラクーダ、2022 CRN Tech Innovator Awardsファイナリストに選出される

トピック: Managed Services 2022年11月14日、Morgan Pratt うれしいお知らせです。バラクーダは2022年 CRN Tech Innovator Awardsの2つの部門でファイナリストに選ばれました。マネージドディテクション&レスポンスとセキュリティサービスエッジの2部門で、前者のファイナリストとなったのはBarracuda XDR。これは24時間365日のセキュリティオペレーションセンター(SOC)に支えられた拡張的な可視化・検知・応答(XDR)プラットフォームです。一方、Barracuda CloudGen WANは、使いやすいSD-WANとクラウド型ファイアウォール(FWaaS、Firewall-as-a-Service)、そしてセキュリティサービスエッジソリューションを提供します。 2022年 CRN Tech Innovator Awardsとは CRNは毎年、クラウドからインフラストラクチャ、セキュリティ、ソフトウェア、デバイスにいたる全IT業界で注目の製品のなかからTech Innovator Awardsを選びます。とりわけ技術に大きな進歩をもたらす製品や、パートナーの成長の機会を提供する製品を選出します。 Barracuda XDR バラクーダは2020年、SKOUT Cybersecurityを買収し、そのXDR製品をMSP(マネージドサービスプロバイダ)製品ポートフォリオに完全に組み入れました。Barracuda XDRは、技術と24時間365日稼働するSOC(セキュリティオペレーションセンター)を合体したもので、MSPが顧客にホリスティックなサイバーセキュリティ・アズ・ア・サービスを提供できるようにするワンストップショップです。統合すべき機能のリストが、今後も長くなり続けるなかで、Barracuda XDR があればMSPは顧客の最も重要なデータを保護することができます。 2022年1月にバラクーダは、Barracuda Email ProtectionとBarracuda XDRの統合を発表しました。これによりMSPは、なりすましやドメイン詐欺の防止、メールゲートウェイの保護、脅威検出やインシデントレポートの分析のためのログデータへのアクセスなど、プラットフォーム内で強化されたメールセキュリティ機能も提供できるようになります。 Barracuda XDRがファイナリストに選出されたのは、これがMSP向けの初めてのサイバーセキュリティソリューションだからです。Barracuda XDRを通して、以下が可能となります。 脅威への効率的な対処:24時間365日体制のSOCに支えられたXDRプラットフォームは、インシデントレスポンスを合理化し、攻撃が顧客に与えるダメージを軽減します。 セキュリティの提供内容の向上:Barracuda XDRプラットフォームは、さまざまなサイバーセキュリティ・アズ・ア・ソリューションを統合し、基本的なセキュリティ監視と複数の保護レイヤを提供して、疑わしい行動を検出・無効化します。 セキュリティの専門家をチームに加える:あらゆるSOCのニーズに対応するセキュリティ専門家を活用した24時間365日のサービスにより、MSPはなかなか見つからないセキュリティ専門家のトレーニングや人材確保に投資する必要がありません。 Barracuda CloudGen WAN Barracuda CloudGen WANは、バラクーダの Secure Access Service Edge(SASE)プラットフォームの一部として、使いやすいSD-WANやFWaaS、およびセキュリティサービスエッジソリューションを実装しています。Azureグローバルネットワークは、Azure Virtual WANに統合されており、複数の地域でクラウド拡張性の高いSD-WAN接続を提供します。 Barracuda CloudGen WANは、革新的な製品です。SD-WANとFWaaS、およびインテントベースのクラウド管理コンソールで提供されるプライベートサービスエッジセキュリティを組み合わせた、現在入手可能な唯一のソリューションなのです。Barracuda CloudGen WANは、複数のソリューションを1つにまとめ、ホスティング先に依存しないシームレスなアプリケーションの可用性を保証する必要がある中小企業やサービスプロバイダの要件に対応するように設計されています。このような企業が従来のソリューションにかかる時間の何分の一かの時間で、完全なセキュリティを含むSD-WANベースのクラウドオンランプを導入することを可能にします。 Azure Virtual WANにサービスエントリーポイントを配置することで、Microsoft Global Networkを高性能なWANバックボーンとして利用し、長期のサービス契約なしにすべてのオフィスを迅速に相互接続するソリューションです。 このソリューションは、既存のファイアウォールの隣に簡単に導入でき、数百のクラウドおよびSaaSアプリケーションのデフォルト設定で、すぐにクラウドアクセスを最適化し、毎月のSaaS課金というメリットを提供します。 バラクーダは、このような評価を受け、光栄に思っています。これらの革新的な製品の詳細については、こちらでご確認いただけます。 原文はこちら Barracuda recognized as a finalist for 2022 CRN Tech Innovator Awards...

Blog

OpenSSLへのパッチ適用の時間との闘いが再び始まる のページ写真 5

OpenSSLへのパッチ適用の時間との闘いが再び始まる

2022年10月31日、Mike Vizard 新しい脆弱性が公開されるときのその方法が変わりつつあります。そのこと自体は称賛されるべきでしょう。先週、OpenSSLプロジェクトの管理者は、とりわけ未知の重要な脆弱性に対処したアップデートを11月1日にリリースすることを発表しました。 ほどなくサイバー犯罪者を含むすべての人が、その脆弱性が何であるかを知ることになるでしょう。しかし、サイバーセキュリティチームにとってこれは、組織が直ちにOpenSSLへの更新プログラムをインストールできるよう準備せよ、という事前警告です。 OpenSSLコミュニティは、Webサイトやアプリケーションで広く利用されているTLS(Transport Layer Security)プロトコルの通信を保護するための暗号化ツールキットの開発を統括しています。最も有名なのは、2014年に発見されたOpenSSLのHeartbleedバグです。このバグを通してサイバー犯罪者は、脆弱なWebサイトやアプリケーションに対して、小さなマルウェアペイロードと大きなlengthフィールドを持つ不正なハートビート要求を送信できるようになりました。 この欠陥の発見が引き起こした混乱は相当なものでした。Heartbleedバグの発見から3年経っても、このバグを悪用した侵害の報告は後を絶ちません。今週公開されるパッチで、多くの企業のセキュリティインシデント対応能力が再び試されることになります。これは、時間との闘いなのです。サイバー犯罪者もまた、今週公開されるであろうOpenSSLの内容について、同じくらい注目していることは間違いないでしょう。 もちろん、脆弱性をどのように公開するかは、多くのサイバーセキュリティの専門家にとって頭の痛い問題です。特にオープンソースのコミュニティは、コミュニティによって維持されているプロジェクトに共通する精神に則って、開示が公に共有されるアプローチを好む傾向があります。しかしここ数年、それはとりわけ困難になってきています。というのも、さまざまなアプリケーションに組み込まれたオープンソースコードの量が飛躍的に増加したためです。多くの IT 組織は、Java アプリケーションからログデータを収集するために広く使用されているオープンソースの Log4J ソフトウェアの脆弱性のすべてのインスタンスをまだ探しています。 プラス面としては、オープンソースのセキュリティ危機が少なくとも無駄になることはないという点です。オープンソースソフトウェアプロジェクトの管理者は、実にさまざまな手段を使うようになっています。コード署名による暗号化もその一つですし、あらゆるコード片のインスタンスがどこで実行されているかを容易に発見できるようにするソフトウェア部品表(SBOM)の自動作成も同様です。 問題は、アクセス可能になった情報をもとに、セキュリティインシデント対応プロセスがどの程度改善されているかということです。ITチームはまず、脆弱性の重大性を判断し、続いて、DevSecOpsのベストプラクティスを適用して最も重要な脆弱性をできるだけ早く修正する必要があります。 今後数カ月の間に、パッチが適用されていないOpenSSLの脆弱なインスタンスに起因するセキュリティ侵害が発生することはほぼ間違いないでしょう。そして、同じくらい明らかなのは、こうしたセキュリティ侵害の発生を防ぐのに必要なアップデートをインストールしなかったことの責任がどこに求められるか、なのです。 原文はこちら Race to patch OpenSSL is on again October 31, 2022 Mike Vizard https://blog.barracuda.com/2022/10/31/race-to-patch-openssl-is-on-again/

海外ブログ

DDoS 攻撃はあまりにも一般的になりつつある のページ写真 8

DDoS 攻撃はあまりにも一般的になりつつある

2022年10月17日、Mike Vizard  ウクライナ戦争が始まって以来、分散型サービス拒否(DDoS)攻撃は日常茶飯事となりつつあり、しかも、まだまだ悪くなる可能性があります。  キルネット(Killnet)と呼ばれる親ロシア派のハッカー集団は、DDoS 攻撃で米国の複数の空港にアクセス障害を引き起こし、ロサンゼルス国際空港(LAX)、ハーツフィールド・ジャクソン・アトランタ国際空港、シカゴ・オヘア国際空港など、14の空港 Web サイトへのアクセスが一時的にできなくなりました。  この攻撃は、ロシアとウクライナの紛争が始まって以来、両国それぞれを支援するハッカー活動家が続けている攻撃の一部です。ウクライナはボランティアを募り、IT インフラを開放して誰でも DDoS 攻撃が仕掛けられるようにまでしています。  当然ながら、ほかのハッカー集団も様々な目的を達成するために同様の戦術をとっています。台湾やインドでは大規模な DDoS 攻撃があり、コロンビアでは対立する政治運動が DDoS 攻撃を利用してWebサイトにアクセス障害を起こしました。最新の調査によると、2022年上半期に世界で発生した DDoS 攻撃は601万9888件にのぼります。  世界中のインターネットサービスプロバイダー(ISP)から収集した統計によると、2021年初頭に登場した TCP ベースのフラッド攻撃が、現在最も多い攻撃ベクトルです。2021年初頭に始まったフラッド攻撃が全体の約46%を占めており、この傾向は今も続いているとこの調査は指摘しています。  DNS 水攻め攻撃は2022年にかけて加速度的に増え、主に UDP クエリフラッドを使用して46%増加しました。一方、カーペットボミング(じゅうたん爆撃)攻撃が第2四半期末に大きく復活したことも報告されています。逆に、DNS 増幅攻撃は上半期に前年同期比で31%減少しました。  この調査では、マルウェア・ボットネットの増殖が驚くべき速度で拡大していることにも注目しています。2022年第1四半期の2万1226ノードに対して、第2四半期には48万8381ノードが確認されたと述べています。これらのノードの多くは、アプリケーション層への攻撃に使用されていると調査は結論づけています。  最後にこの調査によると、2022年初頭に発見された TP240 PhoneHome リフレクション(アンプリフィケーション) DDoS 攻撃ベクトルは現在、42億9396万7296 対1という記録的な増幅率を示しています。  さらに厄介なことに、今では DDoS 攻撃がランサムウェア攻撃に組み込まれるようになっていることです。ランサムウェアの要求に応じない組織には、降伏を強要するために DDoS 攻撃が浴びせかけられるのです。  DDoS 攻撃の目的にかかわらず、インターネットそのものが攻撃ベクトルになっていることは明らかです。世界中の ISP は、インターネット上でビジネスを行うのはあまりに困難であると企業が結論づける前に、これらの攻撃を阻止するために団結する必要があるでしょう。DDoS 攻撃をはじめとする悪質な行為によって、ビジネスリーダーが現在のインターネットはその価値以上に厄介であると結論づけるまでにはまだ時間があるかもしれませんが、インターネットが攻撃を受けていることは明らかです。Eコマースサイトからデジタルトランスフォーメーション(DX)の取り組みまで、程度の差こそあれ、あらゆるものがすでに影響を受けているのです。  実のところ、ハッカー活動家にとって団結して DDoS 攻撃を始めることは朝飯前です。この状況が変わらない限り、様々な活動を支援する DDoS 攻撃はますます一般的になっていくでしょう。しかも困ったことに、怒りを表現するために DDoS 攻撃を仕掛けてきそうな新たな活動が、毎週のように生まれているのです。 原文はこちらDDoS attacks are becoming much too commonOctober 17, 2022 Mike Vizardhttps://blog.barracuda.com/2022/10/17/ddos-attacks-are-becoming-much-too-common/

海外ブログ

サイバーセキュリティの良心に関わる問題 のページ写真 10

サイバーセキュリティの良心に関わる問題

October 10, 2022年10月10日、Mike Vizard  長年サイバーセキュリティ専門家を悩ませてきた倫理的課題の1つは、セキュリティ専門家と雇用主である組織の間には秘匿特権で守られる情報がないことです。その結果、雇用主に対する義務と、多くの人やコミュニティ、あるいは人類の利益との間に矛盾が生じた場合に、サイバーセキュリティ専門家が依拠できる、一般に合意された倫理的手続きが存在しないのです。  この問題は、最近の2つの著名な裁判の核となっています。サイバーセキュリティの専門家コミュニティが一方の側についたことに端を発した事件の裁判です。ひとつは、元Uber最高セキュリティ責任者のジョー・サリバンをめぐる裁判です。サリバンは、「Uberにおける2016年のハッキングの隠蔽工作に関連して、連邦取引委員会の手続きを妨害し、重罪を隠匿」したことで有罪を言い渡されました。  連邦大陪審は政府側の言い分を認め、5万人以上の顧客の個人情報にアクセスされるという侵害を受け、脅迫されたUberが、そのサイバー犯罪者に対して報奨金プログラムを利用して支払ったことを規制当局に開示しなかったことを有罪とみなしたのです。争われた点は、侵害をどう処理したかよりも、侵害を開示しなかったことで上場企業の投資家に対する受託者責任が損なわれたことだったのです。  ふたつ目の裁判は、ピーター・“マッジ”・ザトコが、ハッカーに対する防御とスパム対策における「極めて重大な欠陥」について連邦規制当局と取締役会を欺いたとして、かつての雇用主Twitter社を内部告発したものです。米証券取引委員会、司法省、連邦取引委員会(FTC)に提出された訴状によれば、Twitter社は強固なセキュリティ計画を有していると主張したことで、FTCと11年前に結んだ和解の条件に違反したとしています。  当然ながら、大義のために訴訟を起こしたことに拍手を送る人がいる一方で、SECの内部告発者向けの報奨金目当てではないかと考える人もいます。報奨金が数百万ドルにのぼることもあり、それが訴訟を起こす動機になったと見る批判的な声があるのです。  今後何年にもわたる訴訟合戦が予想され、最終的にどのような判決が下されるかわかりませんが、いずれにせよ、サイバーセキュリティ専門家は特に上場企業で働く場合、その法的責任の範囲をめぐり究極の試練に立たされています。企業評価に重大な影響を与える情報の隠蔽は、過去にも犯罪と見なされてきました。しかしこれまでと大きく異なるのは、データ侵害が株価に影響するため、連邦政府がサイバーセキュリティ専門家に証券取引法の文言を適用している点です。秘密保持契約(NDA)の有無にかかわらず、何であれ連邦規制当局に偽って伝えることは、常に法的な危険をはらんでいるのです。  とはいえ、組織の側は、話したことすべてが訴訟のネタになると恐れたりせず、どのようなレベルのリスクが想定されるのかをサイバーセキュリティ専門家と率直に話し合うべきです。訴訟の恐れがあるとなると経営陣は、サイバーセキュリティの問題をできるだけ議論しないという道を選びがちです。しかしそれでは冷や水を浴びせることになり、関係者全員にとって逆効果となるでしょう。対話のできる安全な場が必要なのです。もちろん、株主が危険にさらされ、サイバーセキュリティのリスクが無視されていても内部告発を行うべきではない、と言っているのではありません。サイバーセキュリティのリスクに直面した場合にどう対処すべきか、その手順を文書化する必要があり、訴訟を起こすのは最後の手段とすべきなのです。  サイバーセキュリティの専門家のなかには、株主に対してそのようなレベルの義務を負わなくて済む非公開企業で働くほうがよいという結論を出す人もいるでしょう。しかし大半は、どのような企業に勤めていようと、何を公表すべきか倫理的に悩み続けるでしょう。サイバーセキュリティ専門家に対する何らかの秘匿特権が法廷で認められることは、今後もおそらくないのですから。代わりにサイバーセキュリティ専門家は、これまでと同様、自らの良心に従うことになるのです。   原文はこちらA matter of cybersecurity conscienceOctober 10, 2022https://blog.barracuda.com/2022/10/10/a-matter-of-cybersecurity-conscience/

海外ブログ