アプリケーションセキュリティへの着手: Scott Treacy
トピック: ネットワークおよびアプリケーションセキュリティ、Barracuda Web Application Firewall
2021年4月15日、Scott Treacy
Webアプリケーションの保護は困難です。ネットワークセキュリティの経験があっても、新しいスキルと言語を学習する必要があります。
しかし、個人と企業がアプリケーションセキュリティに着手するために役立つ包括的で無料のオンラインリソースがあります。
OWASP(Open Web Application Security Project)はソフトウェアの設計段階から導入までのセキュリティを強化するNPO(非営利団体)です。また、一般的なソフトウェアセキュリティのリソースだけでなく、Webアプリケーションを保護するための多くの優れた資料も提供しています。
owasp.orgのWebサイトでは、アプリケーションの攻撃に悪用される主な技術、および主な脆弱性のタイプについて明確に説明されています。脆弱性と攻撃のタイプごとに、リスク要因、事例、テストと保護の方法、および他の関連リソースへのリンクに関する明確で詳細な記事が掲載されています。この記事は、専門用語を理解するために役立つだけでなく、最も一般的な攻撃の対策の構築に着手するための十分な詳細が記載されています。
企業を保護するセキュリティ対策のさまざまなカテゴリであるコントロールに関するセクションも用意されています。
知る必要があるWebアプリケーションの主要なセキュリティリスク
しかし、OWASPの最も有名なリソースは「Top 10 Web Application Security Risks」レポートです。
このリストはアプリケーションセキュリティに対する現在の脅威に関する優れた高度な見解を表しています。このリストは、潜在的なすべての脅威を網羅しているわけではありませんが、すべての保護戦略の強固な基盤です。また、プロジェクトを委託する場合、サプライヤーが適切な対策を取っていることを確認するための大まかな基準値としても使用できます。
しかし、このリストは最も一般的な10の脅威または攻撃を表しているだけではありません。リストのうち8つの項目は最もよく報告および検出されているアプリケーション脆弱性です。しかし、興味深いことに、他の2つの項目は、近い将来に問題になる可能性があるが、収集された履歴データに反映されていないとコミュニティが考えている問題に確保されています。このため、現在起こっていることを考えるだけでなく、将来起こることを予測できます。
OWASP Top 10のリスクを理解しており、ターゲットを絞った対策を導入している場合は、Webアプリケーションを保護するための適切な基盤を導入していることになります。もちろん、バラクーダは、Barracuda Web Application FirewallとBarracuda WAF-as-a-Serviceによって、企業が、この基盤に基づいて、強力な保護を導入することを支援します。
現在のリストの第1の項目は、インジェクションの欠陥であり、レガシーコードを悪用する一般的な攻撃です。攻撃者は、この攻撃によって、未検証のデータフィールドを悪用して、データベースにコマンドを挿入できます。
第2の項目は攻撃者がパスワードまたはセッショントークンを侵害できる認証に関する問題です。攻撃者は、この攻撃によって、ユーザになりすますか、使用後に閉じられなかった正規のユーザセッションを悪用できます。
Webアプリケーションとモバイルアプリを保護およびテストするための実用的なヘルプとツール
OWASPは、モバイルアプリとWebアプリケーションを保護およびテストするために、チュートリアル、攻略ガイド、およびステップバイステップのアドバイスを提供しています。OWASPは、基本的なWebアプリケーションセキュリティを実装するオープンソースのファイアウォールで使用する汎用的な攻撃検出ルールなど、複数のオープンソースのツールを提供しています。また、既存のアプリケーションのコンポーネントを分析して、既知の脆弱性または古いコードをプローブして、ソフトウェアの既知の脆弱性を検出するために役立つツールも提供しています。
OWASP Top 10のリストは更新されようとしています。OWASPは2つのワイルドカードの追加をメンバーに提案してもらうアンケートを送付したばかりです。このようなワイルドカードはWebアプリケーションセキュリティの重要な機能であり、脅威の状況はネットワークまたはハードウェアセキュリティよりはるかに急速に変化しています。
OWASP Top 10には現在の脅威に関する最新情報を常に把握するための優れた方法が記載されていますが、Webアプリケーションセキュリティは本当に日々変化しています。
バラクーダのソリューション
もちろん、最新情報を常に把握することに関する懸念をなくすことはできます。バラクーダは、OWASP Top 10など、数百の脆弱性をWebサイトでチェックできる補完的なBarracuda Vulnerability Managerを提供しています。Barracuda Vulnerability Managerのレポートは、Barracuda Web Application FirewallとBarracuda WAF-as-a-Serviceにリンクできます。Barracuda Vulnerability Remediation Serviceを使用すると、パッチが適用されていない脆弱性を自動的に軽減できます。
原文はこちら:
Getting started with application security: Scott Treacy
April 15, 2021 Scott Treacy
https://blog.barracuda.com/2021/04/15/getting-started-with-application-security-scott-treacy/