WAF(Webアプリケーションファイアウォール)が必要な理由 – PART 1
2020年6月23日、Christine Barry
アプリケーションセキュリティは、見落とされているか、誤解されている場合が多いため、多くの企業は世界中の攻撃者から攻撃を受けやすいままです。ベライゾンの最新のDBIR(データ漏洩/侵害調査報告書)によると、Webアプリケーション攻撃は、過去1年間で倍増しており、DBIRで分析されたすべての攻撃の約43%に増加しています。また、すべての侵害の55%は組織犯罪、30%は内部攻撃に関連しています。
DBIRによると、セキュリティの誤設定は、2017年以降、着実に増加しており、昨年を5%上回っています。大規模なデータ侵害につながるセキュリティの誤設定の例については、Equifaxに対する侵害に関するブログをご参照ください。WAFはアプリケーションを外部攻撃と内部攻撃から保護するために設計されています。OWASP(Open Web Application Security Project)は最も重大な10のWebアプリケーション攻撃を特定するOWASP Top 10を管理しています。このリストは、セキュリティ調査による情報から作成されており、数年ごとに更新されています。
OWASP Top 10などの脅威が存在する理由は1つのアプリケーションに複数のコンポーネントがあるためです。また、このようなコンポーネントを保護することは困難な可能性があります。多くのWebアプリケーションは異なる開発者からのプラグインと統合機能を実装しており、開発者とアプリケーション所有者の両方がコードのセキュリティを維持する役割を果たしています。コンポーネントが侵害されると、Webアプリケーション全体がリスクにさらされます。Equifaxの場合は、攻撃のかなり前に、脆弱なコンポーネント向けのセキュリティパッチが提供されていました。Equifaxはパッチをイントールしなかっただけです。WAFは脆弱なコードを悪用しようとする攻撃を検出および防止できます。
下記のとおり、Webアプリケーションは脆弱性を悪用しない攻撃も受けています。
DDoS(分散サービス拒否)攻撃: DDoS攻撃は、アプリケーションをクラッシュし、ビジネスを中断し、企業の時間、金銭、および顧客に損害を及ぼす可能性があります。DDoS攻撃には、さまざまなタイプがあります。また、攻撃の動機は、迷惑をかけることから、データまたは金銭の盗み出しに関連する同時攻撃の痕跡を隠蔽することまで、すべてです。史上最大のDDoS攻撃の一つは、GitHubに対する攻撃であり、政治的動機によると広く考えられています。また、Dynに対する攻撃は、強力で影響が大きいという点で、史上最大のDDoS攻撃の一つです。この攻撃は、Miraiボットネット内の10万台以上のデバイスによって、強力で影響が大きいものになりました。CaaS(Crime-as-a-Service)によって、誰もが、企業を攻撃するために、DDoS攻撃者を雇うことができます。
クレデンシャルスタッフィング: この攻撃は、自動的なツールおよび盗み出したユーザ名とパスワードの組み合わせを悪用して、複数のWebサイトにログインしようとするものです。目的は、ユーザのアカウントにアクセスし、アカウントを悪用して、金銭またはデータをユーザから盗み出すことです。この攻撃は、ユーザが、複数のアカウントで同じパスワードを使用し、MFA(多要素認証)ではなくパスワードによってアカウントを保護する場合が多いため、効果的です。Disney+、ステートファーム保険、および任天堂に対する攻撃が成功した結果、顧客の個人情報が漏洩しており、クレジットカードが悪用されています。データ侵害の後にブランドの信用を回復することは、困難であり、コストがかかる可能性があります。
Barracuda Web Application Firewallは、OWASP Top 10などの脅威だけでなく、上記の攻撃からもアプリケーションを保護します。Barracuda WAF-as-a-Serviceは、わずか数分で動作し、Webアプリケーションを保護できる包括的な機能を実装するクラウドベースのアプリケーションセキュリティサービスです。
Barracuda WAF-as-a-Serviceの無料の30日間の評価版については、このWebページをご参照ください。
原文はこちら:
You need a web application firewall. Here’s why.
June 23, 2020 Christine Barry
https://blog.barracuda.com/2020/06/23/you-need-a-web-application-firewall-heres-why/