脆弱性の発見が過去最高に

2020.12.25

2020年12月21日、Mike Vizard

今年は異例の年だったため、傾向について断言することは非常に困難です。しかし、クラウドソーシングセキュリティテストのプラットフォームのプロバイダであるBugcrowdが発表したレポートによると、在宅勤務するセキュリティプロフェッショナルが増加しているため、高リスクの脆弱性の発見が急増しています。

上記のレポートによると、過去12か月間に、Bugcrowdのプラットフォームに提出された脆弱性は50%増加しており、そのうち最優先の脆弱性は65%増加しています。現在、実稼働環境で動作しているソフトウェアは、これまで以上に増加しています。社会距離戦略を行うテスターも増加しているため、おそらく、バグの検索に費やされる時間も増加しています。

残念ながら、上記のレポートによると、今年発見された脆弱性は昨年およびおそらく一昨年とほとんど同じです。2020年に提出された最も多い脆弱性は破損したアクセス制御に関連するものであり、次に多い脆弱性はXSS（クロスサイトスクリプティング）に関連するものです。

全般的に、上記のレポートによると、脆弱性の発見に対する支払い総額は四半期ごとに約15～20%ずつ着実に増加しています。

脆弱性への対処

残念ながら、脆弱性の発見が増加しているからといって、脆弱性が修正されているとはかぎりません。ソフトウェアの構築と導入は複雑なプロセスです。企業は脆弱性の修正と新しい機能の追加の間で常に妥協しています。セキュリティ部門が開発者に定期的に提供する脆弱性のリストが完全に無視されることはよくあります。このような行動は、多くのセキュリティ部門が、ある脆弱性が、別の脆弱性と比較して、どの程度重大であるかをあまり区別できていないという事実に起因している場合もあります。また、ほとんどのアプリケーション開発者が、社内の誰もが待ち遠しいと感じている次の優れた機能を提供する予定より、すでに遅れているという事実に直接起因している場合もあります。

もちろん、DevSecOps（開発、セキュリティ、および運用）のベストプラクティスを採用すると、このような問題を解決できるはずです。IT部門は、コードを実稼働環境に導入する前に、さらにセキュアなコードの開発につながる方法でアプリケーション開発とワークフローに重点的に取り組む必要があります。結局、導入前のコードの修正は導入後よりはるかに低コストです。実際、DevSecOpsは、他の多くのことと同様、実際に発生するよりはるかに多くの問題について語られるものです。

脆弱性テストの傾向が2021年にどのように展開するかは興味深いです。企業は、アプリケーションを構築するために、Dockerなどのコンテナを採用すると、コードをリッピングおよび置換して、脆弱性をはるかにわかりやすく修正できるはずです。開発者は、アプリケーション全体にパッチを適用するのではなく、問題のあるコードがカプセル化されているコンテナを削除および置換するだけです。

一方、このようなコンテナは、保護しにくい可能性があるマイクロサービスに基づくアプリケーションを構築するために、採用されています。日に日に増加するマイクロサービスを構築および導入している開発者はマイクロサービスごとのAPI（アプリケーションプログラミングインターフェース）を保護する必要があります。企業が、あるアプリケーションセキュリティの問題を別のアプリケーションセキュリティの問題にすりかえているだけであることが判明するかもしれません。

この間、セキュリティプロフェッショナルは、近い将来、このような問題がますます明らかになるという事実を冷静に受け止めることができます。

原文はこちら：

Vulnerability discoveries hit new high

December 21, 2020 Mike Vizard

https://blog.barracuda.com/2020/12/21/vulnerability-discoveries-hit-new-high/