医療業界ばかりがなぜ狙われる?
2022年8月10日、Tony Burgess このブログを長年読んでくださっている皆様は今、既視感を覚えているのではないでしょうか。医療業界を標的としたサイバー攻撃が激化していると私たちが警告するのはもう何度目でしょうか。 COVID-19が医療資源を圧迫し始めた2020年の春を通じて、特にランサムウェアに関する脅威のレベルが高いという報告が複数あり、それについてはこちらとこちらで書きました。データ侵害や侵入の割合は、2020年から2021年にかけてランサムウェアとともに急増し、こちらとこちらで説明したとおりです。 そしてこの流れは、米国保健社会福祉省のサイバーセキュリティ・コーディネーション・センター(HC3)が最近発表した脅威の状況報告へとつながってきます。医療機関を標的としたWebアプリケーション攻撃キャンペーンが増加している、という内容でした。 複合的な要因がある サイバー犯罪者は倫理的、道徳的に問題がありますが、頭が悪いわけではありません。サイバー犯罪者が医療業界に狙いを定めているのにはれっきとした理由があり、それらを絞り込むと2つになります。 高価値のデータ – 医療機関から盗める可能性のあるデータには、職員や患者に関する個人的な財務データや、患者の個人的な医療データなどがあります。いずれも大規模な侵害に成功すれば、高い金銭的見返りを得ることができるものです。 脆弱性と攻撃対象の拡大 – 医療業界は、新しいテクノロジーの導入やクラウドベースのデジタルトランスフォーメーションの実現が他業界に比べて遅れています。これは、時代遅れのソフトウェアを実行する大量のレガシー医療機器に依存していることや、逆説的ですが、個人データ、特に医療データを保護するためのインセンティブがきわめて高いことに起因しています。現在では、大半の医療機関が(セキュリティ上の問題から)ワークロードをクラウドに移行することへの当初の抵抗を克服していますが、この変革の多くは、ご存じの通り、パンデミックに対応するために急いで行われたものです。リモートワーク・ソリューション、フル機能の患者ポータル、高度な遠隔医療ソリューションの導入が突然必要になったため、場合によっては業務の継続を重視するあまりセキュリティが二の次になりました。 アプリケーション攻撃のリスクを最小化する アプリケーション層やWebサイトへの攻撃はどんどん頻度が高くなり、また巧妙になっています。対する医療業界のIT専門家は、こうした脅威に対抗し、高額で破壊的なデータ侵害のリスクを劇的に減らすために、次のような手段をとるようになっています。 その最たるものが、概念的にも技術的にもプラットフォームアプローチへと移行することです。それまで使っていたのは、特定の脆弱性や脅威の形態に対処するポイントソリューションでしたが、それを複数の機能や性能を統合して包括的な保護を提供するプラットフォームへと変えたのです。 例えば、Barracuda Cloud Application Protectionは、完全なWebアプリケーションファイアウォール(WAF)機能を高度なセキュリティサービスおよびソリューションの完全なセットと組み合わせて、オンプレミス、クラウド、またはハイブリッド環境のいずれに導入されていても、複数の種類の脅威からアプリケーションを保護します。 どのようなソリューションやプラットフォームを選択するにしても、以下のような機能を備えている必要があります。 OWASPトップ10リストのアプリケーションの脅威に対する保護。SQLインジェクション、クロスサイトスクリプティングなどを含む。 高度なボット保護。攻撃を仕掛けるために使用される高度に洗練されたボットの膨大な増殖に対処するため。 あらゆるタイプの分散型サービス妨害(DDoS)攻撃からの包括的な保護。 API保護。APIベースの新たな脅威が急速に広がっていることに対処するため。 DevOpsとの統合。新規に開発・更新されたアプリケーションを展開する前に安全性を確認するため。 クラウド展開全体におけるセキュリティポリシーコンプライアンスを継続的に監視する機能。 Barracuda WAF-as-a-Serviceは、WebアプリケーションおよびAPI保護(WAAP)プラットフォームの基盤として機能し、上記の多くの機能を提供します。また、非常に重要なことですが、設定、導入、および使用が非常に簡単であるという点が、他のWAFソリューションと一線を画しています。このため、ITセキュリティの予算、人材、スキルが限られている企業にとって理想的なソリューションとなっています。 リスクレベルの把握 個々の企業にとって最初のステップは、自社の最大の脆弱性がどこにあるのかを完全に理解することです。そうすることで、直面しているリスクの規模を把握し、リスク軽減のための取り組みの優先順位を決めることができます。 Barracuda Vulnerability Managerは、特定の脆弱性を特定するために、誰でも使用できる無料のオンラインスキャナです。修復のための具体的な推奨事項を含む包括的なレポートが生成されます。セットアップにかかる時間は約2分。本当に、今すぐ使用することをお勧めします。 より多くの医療機関が標的型攻撃の最新世代に対する高度で効果的な防御策を採用するようになれば、近い将来、この業界がサイバー攻撃の主要な標的であるというブログ記事を掲載しなくなる日が来るかもしれません。 Webアプリケーションの脆弱性を今すぐスキャンしましょう。 原文はこちらWhat is it about healthcare?August 10, 2022https://blog.barracuda.com/2022/08/10/what-is-it-about-healthcare/
海外ブログ
ゼロトラスト成熟度モデル
トピック: Series: Understanding Zero Trust2022年7月19日、Christine Barry 注:これはゼロトラストの源流と原則についての5回シリーズの第5回です。 この数週間、ゼロトラストの源流と中核的な原則について説明してきました。導入を計画する際には、サイバーセキュリティ・社会基盤安全保障庁(CISA、Cybersecurity & Infrastructure Security Agency)が概説した「ゼロトラスト成熟度モデル」についても理解しておく必要があります。このモデルは、NISTの原則に沿って、企業がゼロトラストの完全な導入へと移行するためのロードマップです。 CISAでは、ゼロトラストを実現するために 5 つの柱を掲げています。 アイデンティティ:エージェンシーユーザーまたはエンティティを一意に記述する属性または一連の属性。 デバイス:ネットワークに接続できるあらゆるハードウェア資産。たとえば IoT(モノのインターネット)デバイス、携帯電話、ノートパソコン、サーバーなど。 ネットワーク:オープンな通信媒体。メッセージを伝送するために使用される、エージェンシー内部ネットワーク、無線ネットワーク、インターネットを含む。 アプリケーションワークロード:オンプレミスおよびクラウド環境で実行されるシステム、コンピュータプログラム、およびサービス。 データ:デバイス、アプリケーション、ネットワーク上で保護されるべきデータ。 成熟度モデルは、これらの柱を横断する形で段階的に実施するもので、それぞれの柱を独立して、異なる時期に展開できることを意味します。全社的なゼロトラストの展開は、自動化、可視化、および動的なポリシー作成が5つの柱すべての統合を必要とする時点に達するまで、この方法で進めることができます。 成熟の3つのステージ CISAは、このモデルの段階的な展開をサポートするために、各柱について 3 つの成熟ステージを概説しています。 従来型: 手動設定と静的なセキュリティポリシー。 先進型: 中央集約的な可視化、アイデンティティ制御、および柱間の連携に基づくポリシー実施。 最適化: 資産やリソースへの属性の割り当てを完全に自動化し、自動トリガーに基づく動的なポリシーを実現し、柱間の相互運用性を高めるためにオープンスタンダードに準拠する。 CISA文書では、各柱の成熟ステージを下記のようにまとめています。 このCISA文書では詳細な説明があり、ゼロトラスト導入の準備段階でこれらの詳細を把握しておくとよいでしょう。NIST とオープングループが概説した成熟度モデルと基本原則を参照することで、実際に導入する段になって知らなかったとあわてることもなくなります。 ゼロトラストの適切な導入は、企業の時間とコストを削減し、規制要件に準拠した安全な環境を維持するのに役立ちます。 リソース ゼロトラストおよびバラクーダゼロトラストソリューションの詳細については、以下のリソースを参照してください。 ZTA(ゼロトラストアーキテクチャ)を構築する時期 Barracuda CloudGen Access:すべてのデバイスと場所からゼロトラストアクセスを実現します。 Secure Access Service Edge (SASE):クラウド移行を高速化し、安全性を確保します。 オンデマンドウェビナー:Barracuda | Vandis | AWS Dev Day: Advanced Zero Trust Access Control CISA Zero Trust Maturity Model NIST Special Publication 800-207 The Open Group Zero Trust...
海外ブログ
ゼロトラストのコア原則—オープングループ
トピック: Series: Understanding Zero TrustJuly 13, 2022年7月13日、Christine Barry 注:これはゼロトラストの源流と原則についての5回シリーズの第4回です。 オープングループ(Open Group)は、数百の加盟団体からなり、特定のベンダーおよびテクノロジーに依拠しない国際コンソーシアムです。このコンソーシアムは、技術標準や認証の開発を行っており、2013年に解散したジェリコフォーラム(Jericho Forum)の活動を吸収しています。Open Groupは、ゼロトラストのコア原則を定義したホワイトペーパーを含む出版物のライブラリーを維持管理しています。以下は、11のコア原則を4つの共通テーマに基づいて整理したものです。 1 組織価値とリスク調整の原則は、ビジネス、IT、セキュリティのステークホルダーが全体的な戦略推進要因に対応するための重要な目標に取り組むものである。 1 現代の仕事の実現 2 目標の調整 3 リスク調整 2 ガードレールとガバナンスの原則は、コンプライアンス、リスク、情報セキュリティのステークホルダーが、ゼロトラストを導入し、保証の持続可能性を確保するためのものである。 1 人々のガイダンスとインスピレーション 2 リスクと複雑性の軽減 3 調整と自動化 4 ライフサイクル全体をカバーするセキュリティ 3 テクノロジー原則は、IT 組織、情報セキュリティ、リスクおよびコンプライアンスのステークホルダーを対象とし、アイデンティティ、アクセス、脅威の表面積の減少に関連する懸念など、ZTA の開発の基礎となる技術的な意思決定を決定するものである。 1 資産中心のセキュリティ 2 最小限の特権 4 セキュリティ管理の原則は、機密性、完全性、可用性の保証の強固な基盤を確保するために、セキュリティとITアーキテクトに対処するものである。 1 シンプルかつ広範 2 明示的な信頼性検証 上述の原則やテーマの説明は、The Open Group Zero Trust Core Principles文書から直接引用しています。この文書には、さらに詳細が記載されています。 ゼロトラストの実施例 これらのテーマは、ビジネスニーズやリスクマネジメントの懸念に対応するために利用できます。Open Groupはアクメ銀行の例を挙げています。対面式の銀行であるアクメ銀行はコロナ禍に加え、デジタルトランスフォーメーションと規制の変化によって利益を上げられずにいます。そこでアクメのリーダーが新しい要件に対応する戦略を求めてきました。 アクメ銀行は、従業員が自宅で仕事をし、自分のデバイスを使って仕事をするためのリモートワークをサポートしなければなりません(オンラインモデルで顧客とやり取りする銀行スタッフを含む)。 アジリティを推進するために、アクメ銀行はデジタルにシフトする必要があります。オンラインでのやり取りが増え、対面式の銀行での業務は減っています。 競合他社や顧客の好みに対応するため、営業や顧客との関係(およびアプリケーション)を継続的に進化させる必要があり、そのためには増大する複雑性を管理しなくてはなりません。 The Open Groupの原則とテーマの構成を利用することで、新しいビジネス要件とゼロトラストセキュリティの整合性を保つことができます。最初のテーマである「組織価値とリスク調整」を見てみましょう。 コア原則 1: 現代の仕事の実現 – アダプティブ・アイデンティティというゼロトラスト能力を活用し、急速に進化する消費者ニーズやビジネス関係に対応する。 コア原則 2: 目標調整 – リアルタイム/ほぼリアルタイム・レスポンスというゼロトラスト能力を活用し、脅威の特定、対応、および軽減を行います。 コア原則 3: リスク調整 – 業界標準のリスクフレームワークと自動監査による定量的リスクというゼロトラスト能力を用いて、規制当局にコンプライアンスを報告します。 このようにセキュリティ戦略を構築することで、うっかり何かを見逃すことはありません。また、「ゼロトラスト」のコンセプトをビジネスの言葉を使って伝えることができます。 次回は、「CISAゼロトラスト成熟度モデル」を見ていきます。本シリーズの全記事はこちらからご覧いただけます。 原文はこちらThe core...
海外ブログ
バラクーダがアプリケーションセキュリティのAWSセキュリティコンピテンシーを取得
海外ブログ
脅威のスポットライト 悪質なHTML添付ファイル
June 28, 2022年6月28日、Olesia Klevchuk バラクーダのリサーチャーは最近、過去1カ月間にバラクーダシステムでスキャンされた数百万件の添付ファイルのデータを分析し、悪質である可能性が最も高いものを特定しました。 このリサーチによると、他のタイプの添付ファイルと比較して、HTML添付ファイルは突出して悪意のある目的に使用されています。実際、バラクーダがスキャンしたすべてのHTML添付ファイルの21%は悪質でした。 そこで、悪意のあるHTML添付ファイルについて、詳しく見ていきましょう。サイバー犯罪者はどのように利用しているのでしょうか。また、このような攻撃から身を守るにはどうすればよいのでしょうか。 注目すべき脅威 悪意のある HTML 添付ファイル: HTML 添付ファイルは、電子メールによるコミュニケーションで広く使用されています。とりわけ、システムが生成した電子メールレポートによく見られます。ユーザーが定期的に受け取る可能性のあるメールで、そのメッセージには実際のレポートへの URL リンクが含まれています。 攻撃者は、週報を装った電子メールにHTML形式の添付ファイルを埋め込み、ユーザーを騙してフィッシング・リンクをクリックさせるという手口を取っています。ハッカーがメール本文に悪意のあるリンクを含める必要がなく、アンチスパムやアンチウィルスのポリシーを簡単に回避できるようになるという、非常に成功率の高い手法です。 詳細 ハッカーがHTMLの添付ファイルを利用する方法はいくつかあります。まず、クレデンシャルフィッシングです。悪質なHTML添付ファイルには、フィッシング・サイトへのリンクが含まれています。HTMLファイルを開くと、Javaスクリプトを使用してサードパーティのマシンにリダイレクトされ、情報へのアクセスやマルウェアを含む可能性のあるファイルのダウンロードのために、ユーザーに認証情報を入力するように要求します。 しかし、ハッカーは、必ずしも偽のウェブサイトを作成する必要はありません。彼らは、添付ファイルに直接フィッシング・フォームを埋め込んで、最終的にフィッシング・サイトをリンクではなく、添付ファイルとして送信することができるのです。 これらの攻撃は、HTMLの添付ファイル自体に悪意がないため、検出が困難です。攻撃者は、添付ファイル自体にマルウェアを含めるのではなく、別の場所でホストされているJavaスクリプトライブラリを使って複数のリダイレクトを行います。このような攻撃から身を守るには、HTMLファイルの添付されたメール全体を対象としてすべてのリダイレクトを確認し、悪意があるかどうかをメールの内容から分析する必要があります。 悪意のあるHTML添付ファイルから身を守る方法 電子メールのセキュリティ対策で悪意のあるHTML添付ファイルを確実にスキャンし、ブロックする。これらの添付ファイルを正確に特定することは難しく、検出には多くの場合、誤検出が含まれます。最適なソリューションとは、添付ファイルだけでなく、メールのコンテンツを評価する機械学習と静的コード解析が含まれていることです。 悪意のある可能性の高い HTML 添付ファイルを特定し、報告するようユーザーを訓練する。この手の攻撃が多発していることを考えると、ユーザーはすべてのHTML添付ファイル、特に知らない送信元からのものを警戒する必要があります。このような攻撃の例をフィッシング・シミュレーションのキャンペーンに盛り込み、ログイン情報を共有する前に必ずダブルチェックするようユーザーに教育してください。 悪意のあるメールが届いた場合に備え、配信後用修復ツールをいつでも使えるようにしておく。このツールを使って、すべてのユーザーの受信トレイから悪意のあるメールのインスタンスを迅速に特定し、削除しましょう。自動化されたインシデントレスポンスならば、攻撃が組織全体に広がる前にこの作業を迅速に行えます。また、アカウント乗っ取り防止は、ログイン認証が侵害された場合に疑わしいアカウントの活動を監視して警告することができます。 無料レポート – スピアフィッシング:主要な攻撃と攻撃トレンド 原文はこちらThreat Spotlight: Malicious HTML attachmentsJune 28, 2022 Olesia Klevchukhttps://blog.barracuda.com/2022/06/28/threat-spotlight-malicious-html-attachments/
海外ブログ
自動データバックアップの管理はなぜ今も必要か
海外ブログ
ゼロトラストの中核となる原則 – NIST
海外ブログ
ゼロトラストで信頼関係を築く
海外ブログ
Atlassian Confluence RCE 脆弱性: CVE-2022-26134
トピック: Attacks and Threat Actors2022年6月9日、Vishal Khandelwal 脆弱性の詳細 Atlassian Confluence は、共同作業をするためのワークスペースを提供するツールです。今ではCVE-2022-26134と呼ばれる脆弱性の情報が、6月2日に公表されました。その週末には、さまざまな脅威アクターがこの脆弱性を攻撃に利用し、その存在はすぐさま悪意あるアクターの間に知れわたりました。 この脆弱性を利用すると、認証されていない遠隔の攻撃者が新しい管理者アカウントを作成したり、特権的なコマンドを実行したり、ひいてはサーバーを制御したりすることができるようになります。 リバースシェルの構築、強制DNSリクエストの実行、データ収集、新しい管理者アカウントの作成など、さまざまな手法で多様なエクスプロイトが作成されました。 脅威アクターは、HTTPリクエストのURIに悪意のあるペイロードを配置します。現状では、実際に使われている概念実証(PoC)のほとんどはGETメソッドを使用していますが、どのようなリクエストメソッドでも、たとえ無効なリクエストメソッドであっても、同じ効果が得られると思われます。 CVSS: 9.8 | クリティカル | 解析待ち CVE: CVE-2022-26134 攻撃の検知と防御 この脆弱性の修正として、Confluence にパッチを当てます。Atlassianはその詳細な推奨事項を提供しています。 バラクーダのOSコマンドインジェクションおよび他のコマンドインジェクションシグネチャのシグネチャパターンは、現在野生で見られるエクスプロイトの試みを阻止しています。Atlassianは当初、Barracuda Web Application Firewallの顧客が手動で適用できる基本パターンを提供していました。今ではWAFルールを提案していませんが、アップデートを適用できない場合の緩和策としては今なお安全かつ効果的であるといえます。 当社のアプリケーションセキュリティチームは、上述の手動ステップを自動化する新しいシグネチャを展開しようとしているところです。このシグネチャはパターンが一般的であるため、アクティブモードでは自動的には適用されません。Atlassian Confluenceを使用中ならば誰でも、このシグネチャを有効にできます。また、そのためのバラクーダのサポートもあります。 この緩和策に必要な新しいシグネチャと設定の詳細については、こちらのキャンパスドキュメントをご覧ください。 設定に関するサポートや攻撃パターンに関するご質問は、バラクーダネットワークスのテクニカルサポートにお問い合わせください。 原文はこちらAtlassian Confluence RCE vulnerability: CVE-2022-26134June 9, 2022 Vishal Khandelwalhttps://blog.barracuda.com/2022/06/09/atlassian-confluence-rce-vulnerability-what-you-need-to-know/
海外ブログ
サイバーセキュリティ脅威勧告:Black Basta ランサムウェアグループの脅威
海外ブログ
