カジノサイト
Log4Shell から得た重要な教訓: オープンソースのサイバーセキュリティの脆弱性は依然としてインターネットの最大の弱点である
におけるLog4Shellの脆弱性の出現2021 年 12 月テクノロジー界を震撼させた。ソフトウェア開発者がユーザー アクティビティやアプリの動作を記録するために使用するオープンソース フレームワークである Log4j は、何百万回もダウンロードされており、企業ネットワーク、Web サイト、アプリケーション全体で機密情報を収集するための最も人気のあるツールの 1 つです。
この脆弱性が最初にインターネットを悩ませたのはほぼ 1 年前であるという事実にもかかわらず、米国政府は最近の攻撃で Log4Shell を「風土病」と認定しました。(CSRB)、このバグは少なくとも 10 年間は残る可能性があると警告しています。
何よりも、Log4Shell が粗雑に公開したオープンソース セキュリティの脆弱性—ソフトウェア サプライ チェーン内でのオープンソース コンポーネントの実装に欠陥があったことが原因です。なぜなら、皮肉なことに、オープンソースの最大の魅力はまさにそれを非常に脆弱にしているもの、つまりオープンソース コンポーネントが普遍的に利用できることだからです。この引き分けは、十分に深刻なエクスプロイトが発見された場合、広範囲に影響を与える可能性があり、大規模な特定と修復には総力を挙げた取り組みが必要であることを意味します。
実際、CSRB は、Log4Shell イベントは「リソースが乏しくボランティアベースのオープンソース コミュニティに特有のセキュリティ リスクへの注意を喚起した」と書いています。
では、企業はどのようにしてオープンソースを確保し、そうすることでインターネットの最大の資産の 1 つが最大の弱点になるのを防ぐことができるのでしょうか?
セキュリティを犠牲にして機敏性を高める: オープンソースの両刃の剣
Log4Shell はオープンソースだから脆弱性は、企業が直面する可能性のある最高レベルのセキュリティ上の危険の 1 つであり、(CVSS) 評価 10.0 - 可能な最高の基本スコア。
当社の調査によると、Log4Shell はこれまでに 227 社の HackerOne 顧客に影響を及ぼしており、合計 657 件の固有の有効な脆弱性が HackerOne プログラムを通じて記録されています。
オープンソース ソフトウェアはあらゆるソフトウェア サプライ チェーンと最新のデジタル インフラストラクチャの基盤として機能するため、Log4Shell は急速に広範囲にわたる問題となり、あらゆる形態や規模の企業に今後何年にもわたって影響を与えることになります。
平均的なアプリケーションが使用する 顧客のニーズを満たし、ユーザー エクスペリエンスを向上させるためにアプリが進化するにつれて常に更新されるオープンソース コンポーネント。しかし、オープンソースがもたらすあらゆる刺激的な機会にもかかわらず、私たちはセキュリティの責任が完全にオープンソースのメンテナーだけにあると思い込み、その保護を慢性的に見落としてきました。
ベンダーとパートナーの相互接続が進むにつれて、サプライ チェーン ソフトウェアは特に脆弱になります。サプライチェーンのオープンソースの側面に対する攻撃 。企業が保護を強化する責任を認識しない場合、オープンソース ベースの脆弱性がさらに発生する可能性があります。
おそらく最も心配なことは、オープンソース ソフトウェアのセキュリティに自信がありませんが、オープンソースの脆弱性を修正するのにかかる時間は、2018 年の 49 日から 2021 年の 110 日と 2 倍以上に増加しています。
これは、歩く前に走ってしまう典型的なケースです。ボランティアのプロジェクト管理者は、オープンソース プロジェクトのセキュリティを確保するために、限られたリソース、トレーニング、時間の中で最善を尽くします。しかし、オープンソース コンポーネントの保護から恩恵を受けるものの、直接的には貢献しない他の組織の支援がなければ、攻撃対象領域は保護されないままとなり、脆弱性が何年にもわたってアプリケーション コードに深く埋め込まれたままになる可能性があります。
倫理的ハッキング: サイバーセキュリティ保護のギャップを埋める
Log4Shell などのオープンソースの脆弱性に対応して、多くの企業が次のようなことに目を向けています倫理的ハッカーセキュリティ組織が所有する側面と積極的に保護できる側面との間のギャップを狭めるため。
ハッカーの動機は、インターネットの安全確保からサイバーセキュリティの経験の獲得、現金報酬の獲得まで、無数にあります。バグ報奨金プログラム具体的には、サイバー防御の潜在的な脆弱性を明らかにするためにハッカーに報酬を支払います。報奨金を提供することは、ハッカーに特定の資産をハッキングするよう奨励し、誘導するのに役立ちます。言い換えれば、支払いは、ハッカー コミュニティの力がより深く掘り下げられ、過重な負担を抱えたボランティアや社内チームが見逃す可能性のある防御の脆弱性を明らかにすることを保証するのに役立ちます。
ハッカーの膨大なネットワークを持つプロバイダーと協力することで、企業はこのハッキングの専門知識と資産の発見、継続的な評価、プロセスの強化を組み合わせて、進化し続けるデジタル攻撃対象領域のギャップを見つけて埋めることができます。
私たちが Log4Shell とその急速な普及を追跡してきたとき、ハッキング フォーラムと通信ストリームが不気味なほど静かであることに気づきました。私たちがハッカーから拾った断片は、一般的な感情を反映しています。このバグは、その遍在性と、あらゆる組織に潜在的に壊滅的な影響を与える可能性があるため、歴史的なものです。
ベンダーを賢く選択: オープンソース保護の戦略と基準
戦略と基準を適切に組み合わせることが、堅牢なオープンソースのセキュリティ体制。
まず、組織はインシデントへの備えとセキュリティの説明責任に基づいて、すべてのソフトウェア ベンダーを注意深く分析する必要があります。サプライ チェーンの強さはその最も弱い部分によって決まります。そのため、あるベンダーのセキュリティ防御に 1 つの脆弱性があると、サプライ チェーンのすべてのコンポーネントに常に影響を及ぼします。
既存のベンダーの審査が完了したら、完全な内部セキュリティ スタックや各ソフトウェア ライセンスが運用にどのように関与するかなど、新しいベンダーをオンボーディングするための簡潔な整合性フレームワークを確立します。
サイバーセキュリティの世界では、事後対応よりも積極的な対応が常に優れています。新しいベンダーがオープンソース コンポーネントに対する責任を含め、高いセキュリティ基準を備えていることを保証することで、企業は将来の潜在的な問題に対して将来的に備えることができます。
最後に、オープンソース プロジェクトへの貢献にはさまざまな形があります。貢献戦略は、会社が依存しているオープンソース コンポーネントを理解し、それらのプロジェクトまたは次のようなサードパーティのオープンソース組織に金銭的に直接貢献することから始まります。(OpenSSF)。プロジェクトへの貢献は、必要性が最も高い開発、エンジニアリング、セキュリティの人材の時間を「寄付」するという形をとることもできます。
一人で行動しないでください: サイバーセキュリティは集団的な責任です
オープンソース コンポーネントを強化するための戦略を策定する場合、組織は自分のカードを胸に秘めすぎるという古い習慣に陥ってはなりません。ベスト プラクティスを共有し、オープンソース プロジェクトに貢献することは、自社に対する危険を軽減するだけでなく、私たち全員が依存している共有オープンソース コンポーネントを保護することにも役立ちます。
CSRB は次のように強調しています。「[Log4Shell] のような脆弱性の導入の再発を減らすには、官民セクターの関係者が、今後のオープンソース コミュニティをサポートできる集中リソースとセキュリティ支援構造を構築することが不可欠です。」
共有する知識や専門知識が増えるほど、インターネットは強力になります。これは自分自身の防御を強化するだけではありません。私たちにはインターネット全体を守る共同責任があります。サイバーセキュリティの荒野で生き残ろうとするとき、一匹狼になってはいけません。
Kayla Underkoffler は、HackerOne の上級セキュリティ技術者です。
©ケイラ・アンダーコフラー