Secured.21:21種類のOWASP自動化された脅威への対策
2021年12月10日、Tony Burgess
現在、全インターネットトラフィックの40%近くが悪意のあるボットトラフィックとなっています。有益なボットのトラフィックも急増していますが、全トラフィックの約25%に過ぎません。この状況は、企業がハイブリッド環境やクラウドのみの環境へ移行し、新たな潜在的攻撃対象が豊富になっていることに起因しています。
有益なボットが必要な作業を幅広くこなす貴重なツールであるように、犯罪者にとってもボットは非常に便利です。例えば、盗まれた膨大なデータの中から認証情報やクレジットカード番号などを探し出し、テストすることができます。最近のボットは非常に洗練されており、人間の行動を模倣し検知を逃れることもできるようなりました。
OWASPは、今日のボット攻撃(Webアプリケーションに対する自動化された脅威)の全容を分析し、21種類に分類しています。また、これらの脅威に対抗するために利用できる対策の種類もリストアップしています。
悪意のあるボットを阻止する方法
昨年開催された弊社Global Virtual Customer Conference 「Secured.21」では、App and Cloud Securityトラックにて、OWASPの自動化された脅威に関するDeep Diveセッションと、有益なボットと人間のユーザが正常に活動できるようにしながら、悪意のあるボットを停止させる方法が紹介されました。
ここでは、シニアプロジェクトマネジメントディレクターのAnshuman Singhが、OWASPのハンドブックに記載されている21の脅威を、認証情報の盗難、脆弱性スキャン、インベントリ拒否など6つのカテゴリに分けて紹介しています。
Anshumanのプレゼンテーションをご覧ください。
(ビデオは本社サイトの原文よりご視聴ください。)
Anshumanは、脅威アクターが手にする悪意のあるボットの範囲と能力について詳しく説明した後、OWASPがリストアップした14種類のボット対策と、ボット攻撃によってもたらされる脅威のさまざまな側面にどのように対処しているかを説明しています。
このセッション全体をご覧いただくと、Barracuda WAF-as-a-Serviceがクラウドでどのように機能し、OWASPに記載されている多くの対策を提供する方法について、Anshumanの詳細なプレゼンテーションもご覧いただけます。また、強力で直感的なインターフェースによって、クラウドアプリのセキュリティインフラストラクチャを簡単に可視化、監視、制御する方法のデモもご覧いただけます。
高度に洗練されたボットで実行される自動化されたアプリケーション層への攻撃が急速に増加しています。このセッションでは、脅威の本質と効果的な防御の要件の両方をご理解いただくために、非常に有益な情報を提供しています。
是非、全てのセッションをご覧ください!
原文はこちら:
Secured.21: Combating the 21 types of OWASP Automated Threats
December 10, 2021 Tony Burgess
https://blog.barracuda.com/2021/12/10/secured-21-combating-the-21-types-of-owasp-automated-threats/