継続的なセキュリティリスクの発見と削減:後編

※本ブログは、弊社が提供するホワイトペーパー「Continuously Discover and Eleminate Security Risk in Production Apps」を前後編に分けて和訳・意訳したものです。

コンテンツ

  1. 動的スキャンと変更の検出
  2. 包括的な動的スキャン
  3. ランタイム検出
  4. 継続的アプリケーション監視 - 鍵となる機能と価値

※これまでの内容は前編をご覧ください。

動的スキャンと変更の検出

様々なスクリプトが今まさにあなたのサイトをスキャンしているかもしれません!ソフトウェアポートフォリオが可視化された後、セキュリティチームには「どこから始めるのか?」という疑問が湧いてくるでしょう。これから取り掛かろうとする企業にとって、高速な動的スキャンとプロファイルスキャン技術は、早々に価値を生み出す多くのアプリケーション全体に対し、脆弱性修正のための明確な推奨事項を提示します。開発チームは開発中により包括的な動的スキャンと静的スキャンを実施するため、アプリケーションをオンボーディングするプロセスを確立できます。本番前の環境でのテストに焦点を当てたソフトウェアセキュリティ保証プログラムが確立されている組織の場合、継続的アプリケーション監視は多層防御における補完的な層を提供します。

アプリケーションが投入された後、継続的アプリケーション監視は、OWASP Top 10の一般的で致命的で悪用可能な脆弱性に焦点を当てた、軽量且つ未認証の連続的なスキャンを提供します。そして、一般的なデプロイメントの問題を重視しながらアプリケーションのリスクプロファイルを再評価します。プロダクションセーフの原則に基づき設計されたスキャンは、前回の調査結果を再検証し、それ以降に発生した可能性のある変更を検索します。その変更は、頻繁なパッチング、テストされていないパッチの使用、新しいゼロデイ脆弱性、意図しない設定の更新などが考えられます。新しい脆弱性やリスクプロファイルの変更を含むような変更は、単一のダッシュボード上で強調表示され、新しい脆弱性が検出されたときやリスクプロファイルが変更されたときに通知がトリガーされます。ユーザーは調査結果を掘り下げて脆弱性やリスクプロファイルの詳細を表示できます。

弊社がカバーしているOWASP Top 10の項目:

  • A1 Injection
  • A2 Broken Authentication and Session Management
  • A3 Cross-Site Scripting (XSS)
  • A4 Insecure Direct Object References
  • A5 Security Misconfiguration
  • A6 Sensitive Data Exposure
  • A9 Using Components with Known Vulnerabilities
  • A10 Unvalidated Redirects and Forwards

大規模なポートフォリオを管理するアプリケーションセキュリティチームは、継続的なスキャンにより提供される情報を活用し、定期的に包括的な動的スキャンを監視し、より深い動的評価が必要なアプリケーションやランタイム検出による保護が必要なアプリケーションを正確に特定できます。これにより、企業のリスク基準、社内外のセキュリティポリシーおよび規制に基づいてリソースを割り当てることができます。成熟したセキュリティプログラムの一環として、情報を脅威モデリングと開発にフィードバックすることもできます。

●動的スキャンと変更の検出のユースケース:

  • 多層防御のために本番稼働前の段階で包括的な動的スキャンを補完して優先順位を付ける
  • 危険な脆弱性を迅速に特定し修復する
  • 開発中に全てのアプリケーションをテストする十分なリソースや予算がない場合、費用対効果が高い方法である
  • 後続のリリースまたはパッチによって導入されたアプリケーションの驚異モデルに対する変更を検出する

包括的な動的スキャン

もしかしたら、既知のアプリケーション動的スキャンやペネトレーションテストを採用しているでしょうか?Foritfy on Demandは、アプリケーションディスカバリーと継続的スキャンにより、常に新しい情報をユーザーに提供します。この情報を使い、セキュリティチームはリスクの高いアプリケーションを特定し、より深い検査をすることができます。サイバー攻撃は、顧客向けのWebサイト、モバイルアプリ、そして機密データを扱うアプリ全てをターゲットにします。また、同じネットワーク内にある二次的なWebサイトやキャンペーンサイトも攻撃の対象となります。これらのサイトについても、セキュリティ上の欠陥があるかを常にテストして監視する必要があります。

Fortify on Demandの動的評価は、複雑なWebアプリケーションやWebサービスに対し包括的な分析を提供するため、自動スキャンと手動テストの両方を使用し、実際のハッキング技術や攻撃を模倣します。Fortify on Demandの動的評価は、バックエンドでWebInspectを使用して自動化された動的スキャンを実現します。全てのスキャンには、認証のためのマクロ作成と専門家による誤検知除去などが含まれます。手動テストでは、認証、アクセス制御、入力検証、セッション管理、ビジネスロジックなど、熟練したハッカーが悪用する脆弱性に対するテストを実施します。ユーザーはURL(場合によっては認証情報なども)を入力するだけです。残りの作業は弊社のFoDチームにお任せください。

Fortify on Demandの動的評価は、動的と動的+の二つのサービスレベルから成ります。ユーザーはビジネスの重要度やアプリケーションの特徴などを鑑みて、採用するレベルを選択します。動的レベルでは、WebInspectによる動的スキャンが主たるテストであり、動的+ではこれに手動テストが加わります。なお、どちらのサービスレベルでも誤検知の除去は実施します。

●包括的な動的スキャンのユースケース:

  • 業界のコンプライアンス標準に適用する
  • 致命的なセキュリティ脆弱性と実行時の誤設定を素早く特定し確認する
  • ペネトレーションテストや自動テスト単独で発見できないアプリケーションの欠陥を特定する

ランタイム検出

本番稼働中のアプリケーションで脆弱性が発見された場合、それをすぐに修復することは至難の業です。もちろん、全てのセキュリティ問題を解決することがベストプラクティスですが、ソフトウェア開発や運用の流れを変更してすぐに修復を実施することは現実的ではありません。そこで、Micro Focusは稼働中のアプリケーションに対しリアルタイムに脆弱性の悪用を検出して保護するRASP(Runtime Application Self Protection)技術を採用したApplication Defenderを提供しています。

Application Defenderは、アプリケーションサーバー内で動作し、アプリケーションを迅速にインスツルメントして30種類強の脆弱性への攻撃を阻止します。アプリケーションのデータフローと実行ロジックからのコンテキスト上のインサイトにより、Application Defenderは攻撃を特定し止めることができます。

Fortify on Demandは、Application Defenderと統合されており、よりスマートに監視、ロギング、保護を実現できます。Fortify on Demandの静的スキャンあるいは動的スキャンで特定された脆弱性の悪用からApplication Defenderでそれらを保護することができます。また、Application DefenderからリアルタイムにセキュリティイベントがFortify on Demandに提供されるため、ユーザーは悪用されかかっている脆弱性の修復作業の優先順位を決定できます。

●ランタイム検出のユースケース:

  • 脆弱性の規模が大きかったり数が多かったりするため、修復に必要なリソースや時間がかかる
  • 3rdパーティやレガシーアプリケーションを採用しており、根本的に脆弱性を修復できない
  • アプリケーションやプラットフォームへのゼロデイ攻撃に対応する

継続的アプリケーション監視 - 鍵となる機能と価値

  • 稼働中のアプリケーションにおける盲点を排除する
    • 外部ネットワーク上に存在するWebアプリケーションとそれに関連するリスクを発見する
    • (攻撃を受ける前に)重大な脆弱性を早期に発見する
    • 継続的なスキャンを通して最新の変更(リスクプロファイルの変更と新規の脆弱性)を検出する
  • サイトの負荷にほぼ影響しない
  • サブスクリプションモデルでよりお手軽に利用できる
  • 完全自動 - テナントレベルでの継続的な監視とアプリケーションの登録など、何もすることはない!

Fortify on Demandはこちらから無償評価できます。

タグ:
カテゴリ: