組織のデータへのパスを保護する

世界中で、あらゆる規模のあらゆる業界の企業が何らかの形でITを実施しています。変身。実際、パンデミックが世界を襲って以来、企業は社内外の事業運営のデジタル化を3〜4年加速させてきました。 COVID-19はこの変化の主要な促進剤と見なすことができますが、組織のリーダーは、ビジネス全体にテクノロジーを組み込むことの戦略的重要性も認識しています。

多くの場合、変革は、社内で展開されているサードパーティの市販ソフトウェア、機密データをホストするサービスとしてのソフトウェア（SaaS）アプリケーション、およびオープンソースのサードパーティライブラリの採用によって推進されます。ソフトウェアの構築に使用されます。最新のテクノロジーの導入は必要な進歩の兆候ですが、企業はこのイノベーションのすべてに伴う潜在的なセキュリティリスクを見逃してはなりません。ソフトウェアサプライチェーンの優位性は、疑いを持たないビジネスを新しく複雑な方法で公開し、従来のセキュリティ防御の限界を押し広げます。

脆弱なソフトウェアサプライチェーンは、米国政府の注目を集めており、この増大するサイバーセキュリティリスクの緊急性を確認しています。 5月、政府の指導者たちは、成長するサードパーティの依存関係のエコシステムに潜む潜在的な脅威に積極的に対処するための第一歩を踏み出しました。大統領令14028は、「アメリカの生活様式を支える重要な制度を守るために、大胆な変更と多額の投資を行う」ことを政府に求める計画の概要を示しています。 E.O.政府は、「重要なソフトウェアのセキュリティに特に重点を置いています」と述べています。これは、「透明性の欠如、攻撃に抵抗するソフトウェアの能力への十分な焦点、および悪意のある攻撃者による改ざんを防ぐための適切な制御」です。

米国国立標準技術研究所（NIST）は、重要なソフトウェアを保護するためのセキュリティ対策の概要を説明し、周囲のシステムやネットワークだけでなく、データを保護するために必要な防御に重点を置いています。このアプローチは、データとそのデータへのすべてのパスの保護に重点を置いており、機密データに直接アクセスできるサードパーティのソフトウェアアプリケーションとライブラリの手に負えない問題を認識しています。過去数か月にわたって成功した攻撃で証明されているように、ソフトウェアサプライチェーン攻撃の脅威を真に軽減するためには、企業組織は、アプリケーションとインターフェイスを支えるベンダーのベンダーまたはサードパーティのソフトウェアを考慮する必要があります。

複雑なエコシステム

歴史的に、企業は、直接のベンダーのセットと彼らが依存する重要なソフトウェアによってもたらされるリスクに焦点を合わせてきました。 I.T.のように、その姿勢はもはや十分ではありません。変革は従来のネットワークの限界を押し広げ、レガシーコントロールの効果を低下させます。

企業は適切なセキュリティ管理を実施している場合がありますが、それはソフトウェアサプライチェーン全体のベンダーが実施していることを意味するものではありません。セキュリティ戦略は、パートナーやベンダーからであっても、エコシステムからすべてを信頼することに依存することはできなくなりました。拡大するソフトウェアサプライチェーンは、最新のアプリケーションの複雑さに加えて、脆弱性がより迅速に導入されることを意味します。ソフトウェア開発ライフサイクル内で拡大する攻撃に対処するために、組織は、n番目のパーティコードを含むサプライチェーンのすべての部分を含む脅威モデルを採用する必要があります。

最新のアプリケーションは、アプリケーションプログラミングインターフェイス（API）、マイクロサービス、サーバーレス機能の複雑なエコシステムを利用しています。より一時的なワークロードと分散アーキテクチャにより、実稼働前のソフトウェア分析に特効薬はありません。最も厳格なソフトウェア開発ライフサイクル（SDLC）でも、開発の複雑さは脆弱性が導入されることを意味します。これもまた、データへのすべてのパスを保護することが組織の基本戦略でなければならない理由です。

問題に正面から取り組む

以前のソフトウェアサプライチェーン攻撃からも明らかなように、悪意のある人物は、サードパーティのソフトウェア接続の脆弱性を悪用し、それを使用して横方向に移動し、最終的にターゲットのデータにアクセスすることで、ソフトウェアサプライチェーン内を巧みに操っています。

Webアプリケーションのセキュリティは進化し、サードパーティのコードが不要なアクションの原因であるかどうかなど、実行時のアプリケーションの動作を特定することに重点を置く必要があります。予期しない動作をブロックすることによってのみ、新しい攻撃動作を防ぐことができます。これは、エンタープライズITとして重要になります。多様で最新のアプリケーション環境に進化します。

アプリケーションスキャンツールは優れていますが、アプリケーションに組み込まれている侵害されたサードパーティソフトウェアを特定することはほとんどありません。境界ツールは、署名が公開されるまで、アプリケーションからの無害に見えるトラフィックによってだまされる可能性があります。最後に、多くの企業がエンドポイントセキュリティを導入していますが、このテクノロジーは、初期段階でユーザーデバイスに触れる必要がほとんどないため、アプリケーション攻撃を知らないことがよくあります。

代わりに、企業はランタイムアプリケーション自己保護（RASP）を展開して、リアルタイムでアプリケーション内からの攻撃を検出および防止する必要があります。 NIST SP 800-53リビジョン5で推奨されているこのテクノロジーは、攻撃を正確なコード行まで特定し、脆弱性の悪用を自動的に停止して、組織が独自のスケジュールで脆弱性にパッチを適用するために必要な時間を与えることができます。

イノベーションを可能にし、競争力を維持するには、組織は業務を近代化する必要があります。この変革の多くは、サードパーティのアプリケーションとサービスに依存します。

ただし、ソフトウェアとアプリケーションの脆弱性は基本的なセキュリティの問題であり、企業は注意する必要があります。そのため、防御、特にデジタルトランスフォーメーションを支えるAPIに重点を置く必要があります。

攻撃者が防御を回避して基盤となるデータにアクセスするためのステルスな方法を見つけるには、適切な制御が行われ、データとそのデータへのすべてのパスを真に保護するために適切なツールが利用されていることが不可欠です。

Peter Klimekは、ImpervaのCTOオフィスのテクノロジーディレクターです。