先週の木曜日の深夜、私たちはここ数年で最も注目すべき情報セキュリティイベントの1つを経験しました。Java用の人気のあるロギングパッケージであるLog4jの新しいゼロデイエクスプロイトが発見されました。 正確な出所とタイムラインはまだ調査中ですが、これは単なる脆弱性の発表ではないことに注意することが重要です。開示された情報の直後に完全に機能するエクスプロイトコードが続き、エクスプロイト自体の実行は簡単であることが判明しました。
30億を超える機器がJavaを実行している一方で、ロギングライブラリはほんの一握りしかないため、それらの多くはLog4jを実行している可能性があります。さらに悪いことに、インターネットに公開された多くのターゲットアプリケーションは、認証なしで外部ユーザーによって悪用される可能性があります。 また、悪名高いHeartbleedや最近公開されたTrojan Sourceなど、他の注目すべきオープンソースの脆弱性とは异なり、この场合、ユーザーが対応を计画するのに十分な时间を确保するための事前の调整は「舞台里」で行われませんでした。
バグに伴うアプリケーションの再构筑が急ぎ始められることなく、ベテランの颁滨厂翱は睡眠を削ることなく、通常の金曜日のルーチンよりも少しだけ楽だったであろう理由はここにあります。
航空安全の専门家が言うように、事故やインシデントが発生します。つまり、最悪のシナリオが现れるのを防ぐための保护と制御の复数のレイヤーがあっても、既知の壊灭的なイベントは、これらすべての缓和策が失败した场合にのみ発生してきました。サイバーセキュリティも例外ではなく、多层防御についてもずっと语り続けられてきました。
スイスチーズの穴の影响を軽减し、すべての颁滨厂翱の金曜日を保护するのに役立つ6つの要素を次に示します。
脆弱性への対応は、人、プロセス、テクノロジーの组み合わせによって実现します。ソフトウェア?コンポジション解析ツールは、ライブラリの使用状況を特定して追跡するのに役立ちます。新しい脆弱性が出現すると、シノプシスのBlackDuck?研究チームが問題を調査します。Log4jの脆弱性には、開示されてから数時間の間、詳細なCVEエントリが割り当てられていませんでしたが、シノプシスのアナリストはすでにBlack Duck Security Advisory(BDSA)番号を割り当ててシノプシスの顧客に通知をしました。
そして、Black Duckが新たなBDSAについてのアラートを発信すると、Black Duckを利用している開発チームのセキュリティアナリストは、影響を受けるアプリケーションを確認することができるようになります。この新しい脆弱性の影響を受けるアプリケーションを所有する開発者は、Black Duckアラートの構成方法に従い、Teams、Slack、またはJiraチケットや電子メールで通知を自動的に受け取ります。 次に、更新を迅速に展開するための組織的な仕組みを整える必要があります。ここで、DevOpsが機能しているかを確認する事になるわけです。
組織のDevOps能力を測定しベンチマークするための業界横断的なプログラムであるDevOps Research and Assessment(DORA)の主要な指標の1つは、変更のcommit から本番環境稼働までの所要時間(変更のリードタイム)です。DORAによると、エリートパフォーマーはこのサイクルを1時間以内に完了し、必要に応じて変更を展開できます。ただし、最新ので调査された1,200人の回答者のうち、エリートカテゴリに分类されるのは26%にすぎません。また次のカテゴリであるハイパフォーマーはこのサイクルを完了するのに1日から1週间かかります。これらの组织は、リードタイムを最短化する準备ができていないのです。つまり、セキュリティパッチを适用することを「通常のビジネス」活动と见なしていないのかもしれません。
エリートとハイパフォーマーの间のこの大きなギャップは、基本的な顿别惫翱辫蝉プラクティスの採用を最大化することがすべての人に利益をもたらす理由を示しており、セキュリティ?チームが开発チームと连携してセキュリティ、品质、またはその他の种类の问题の迅速な修正に取り组むかどうか、适切に対応できるようにする必要がある理由を示しています。
図 1:ソフトウェア デリバリーのパフォーマンス指標、”State of DevOps Survey”より
最后に、基盘となるコンポーネントを修正するだけでなく、影响を受けないための3つの理由があります。
まず、优れたコードハイジーン、优れたネットワークアーキテクチャ、および一元化されたセキュリティおよびエンジニアリングチームが适切なセキュリティチェックを颁滨/颁顿パイプラインに统合し、开発者に実用的な情报を提供することで得られた信頼は、ユーザーを保护し、すべてのソフトウェアのデリバリーにおいてセキュリティ、品质、および安全性のリスクを回避するのに役立ちます。颁辞惫别谤颈迟测?のような静的コード解析ツールは、ログインジェクションの脆弱性を见つけることができます。また、最新の滨苍蹿谤补蝉迟谤耻肠迟耻谤别-补蝉-颁辞诲别で构成されているのであれば、过度に寛容なネットワークルールを自动分析で検出できます。
十分に调整された础辫辫厂别肠プログラムでは、チームまたは自动化机能によって础厂罢ツールを実行したかどうかを判断し、结果が修正された场合は、Application Security Orchestration and Correlation(础厂翱颁)ダッシュボードを数回クリックする必要があります。
さらに、バイデン大統領によるEO 14028によって支持されたSBOMの採用が増加していることから、ソフトウェアコンポーネント情報は製品ベンダーとその顧客の間でよりシームレスに流れるようになっていくでしょう。すべてのサプライヤに連絡してコンポーネント情報を確認する代わりに、データベースを検索すれば済むのです。Black Duckなどのソフトウェア?コンポジション解析ツールのユーザーは、社内で開発したソフトウェアのSBOMの情報から恩恵を受けられますが、今ではSBOMの幅広い採用と組織間での流通が最前線で行われています。一度SBOMの流通が確立されると、リスクの軽減と管理のための強力なツールとなり、今回のような事態が発生しても迅速な対応(おそらく自動化された対応)がサポートされるのです。
すでに起こっているこれらのことについて话すことは「后の祭り」と言えるかもしれません。セキュリティは単一の个人または部门の仕事ではないことを强调することが重要です。私たちの使命を成功させるためには、これらの活动のそれぞれをすべての人の仕事に组み込む必要があります。また、组织が成功を収めるためには、滨罢システムの计画、构筑、运用方法の文化にさまざまなセキュリティ活动を组み込む必要があります。たとえば、机能しないセキュリティ要件の策定や设计段阶でのアーキテクチャのレビューなどのプラクティスは、アプリケーションが処理する必要のあるデータや、ソフトウェアが本番环境にリリースされる前に満たす必要のあるセキュリティチェックの要件を特定するのに役立ちます。
现代の组织の高度に自动化されたソフトウェア?デリバリー?プロセスやパイプラインでは、前提条件となる手顺が完了していない场合に失败するようにプログラムされているので、既知の脆弱性を含むか缓和策が组み込まれていない製品を発売することはできないでしょう。つまり、将来的に厂叠翱惭情报は、ゼロトラストアーキテクチャが、ソフトウェアが実行できる信頼と特権のレベル、または実行を停止するタイミングを动的に决定できる手段になる可能性があるということです。
幸いなことに、これらすべての重要な領域にわたって組織の能力を測定およびベンチマークし、Building Software in Maturity Model ()フレームワークを使用して、改善すべきギャップや领域を明らかにすることが可能です。