ソフトウェア構成分析と多層防御
トピック: サプライチェーン攻撃、 Webアプリケーションファイアウォール
2021年8月20日、Scott Treacy
攻撃の数と巧妙さが増し続ける中、多くの企業はサイバーセキュリティに「多層防御」のアプローチを採用しています。これは、サプライチェーン攻撃を防御するために、ソフトウェア構成分析(SCA: Software Composition Analysis)を深く掘り下げることを意味します。
この問題の重要性が高まっていることを示す証拠として、当社の最新調査「2021年のアプリケーションセキュリティの状況」レポートをご覧ください。今後1年間に導入したいソリューションとして2番目に多かったのは、ソフトウェアサプライチェーンプロテクションスキャンで、さらに30パーセントの回答者は、ソフトウェアサプライチェーンプロテクションをスタンドアロンのサービスとして利用したいと考えています。SCAは、ソフトウェアサプライチェーン攻撃に対する最も一般的な防御策であり、米国およびアジア太平洋地域の企業の59パーセントが利用しています。
今日のソフトウェアは、何十もの異なるコンポーネントで構成されており、そのどれもが独自の脆弱性を含んでいる可能性があります。典型的なウェブサイトには、訪問者数をカウントするためのコンポーネント、eコマースを実行するためのコンポーネント、広告をホスティングして表示するためのコンポーネント、コンテンツをパーソナライズするためのコンポーネントなどが含まれています。そして、これらのコンポーネントの多くは、それ自体が他のベンダやオープンソースライブラリのコンポーネントで構成されています。つまり、潜在的な脆弱性が多数存在するということです。ソフトウェアを購入する際には、何十もの未知のサプライヤーや開発者が適切なデューデリジェンスを行っているかどうかを、事実上信用することになるのです。
また、今回の調査で明らかになったように、これは単なる理論上の脅威ではありません。調査対象となった組織の約4分の3(72%)が、過去1年間にソフトウェアの脆弱性による侵害を少なくとも1回受けたことがあると回答しています。
SCAは、アプリケーションを構成する個々のコンポーネント、またはアプリケーションの新バージョンに既知の脆弱性がないかどうかをチェックするものです。しかし、攻撃者は、企業のサプライチェーンに侵入するために、有名なソフトウェアプロバイダを狙うこともあります。
注目を集めた最新のサプライチェーン攻撃では、人気の高いITマネジメントおよびセキュリティツールであるKaseyaが、世界中の何百もの企業に感染するマルウェアを隠すために使用されていました。Kaseyaは、企業のITシステムをホスティングする多くのマネージドサービスプロバイダで使用されています。この攻撃は、多くの企業が休業していた米国の祝日7月4日の週末に行われ、被害を最大化しました。このマルウェアの犯人であるREvilグループは、ビジネスデータを解読するために7000万ドルのビットコインを要求しました。感染後、Kaseyaのシステムを復旧させるのに1週間以上かかりました。
しかし、最近のサプライチェーン侵害で最も被害が大きかったのは、2020年12月に話題になったSolarWinds社の攻撃でしたが、今もなお被害者が出ています。サイバー犯罪者は、SolarWinds社の広く使われているネットワーク管理ソフトウェアにバックドアを挿入し、何千もの顧客を無防備な状態にしました。侵入された組織には、エネルギー省、国土安全保障省、国務省など、米国政府の高度に安全な部分も含まれていました。
朗報は、SCAが新しい分野であるにもかかわらず、ソフトウェアのセキュリティを確保するための無料ツールがあることです。Open Web Application Security Projectは、Dependency Checkerというツールを提供しています。このツールは、アプリケーションに既知の脆弱性がないかどうかをスキャンし、解決策を提示します。多くの場合、コンポーネントはアップグレードするだけで、完全に置き換える必要はありません。
このスキャンツールの使用は一度限りのものではありません。定期的なソフトウェア監査の一環として、新しいソフトウェアが追加されたり、古いアプリケーションが更新されたりしたときには、必ず実行する必要があります。このチェッカーは、新しい脆弱性をチェックするために、定期的に自動的に更新されます。
SCAは万能薬ではないため、これは多層防御アプローチの一部を形成する必要があります。しかし、Barracuda’s WAF v11およびWAF-as-a-Serviceと併用すると、クライアント側の保護機能が提供され、サーバレスポンス(SRI)のコードへの変更を識別し、実行時にブラウザセキュリティポリシー(CSP)を注入することで、この多重防衛を強化し、サプライチェーン攻撃のリスクを低減することができます。
実際の脅威と、世界中の企業がどのようにそれに対処しているかについては、「アプリケーションセキュリティの現状」レポートをダウンロードしてご覧ください。このレポートには、世界中の750人以上のセキュリティに関する意思決定者の見解が含まれています。
原文はこちら:
Software Composition Analysis and Defence-in-Depth
August 20, 2021 Scott Treacy
https://blog.barracuda.com/2021/08/20/software-composition-analysis-and-defence-in-depth/