脅威スタックapplicationセキュリティ監視で適切なストレッチ
Threat Stack は現在、 F5 Distributed Cloud App Infrastructure Protection (AIP) です。 今すぐチームで Distributed Cloud AIP を使い始めましょう。
前回の投稿では、Threat Stack のapplicationセキュリティ監視が、applicationの開発と展開の俊敏性や速度に悪影響を与えることなく、開発プロセスにセキュリティを組み込む方法について説明しました。 開発者がソフトウェア リスクに積極的に対処できるようにすることは、ソフトウェア開発と展開のライフサイクル全体にセキュリティを組み込むために「左に伸びる」組織にとって重要です。 しかし、セキュリティ意識、テスト、早期の問題特定と軽減を最大限に高めたとしても、何らかのリスクが潜み、実行中のapplicationに侵入してしまう可能性は常にあります。
最近のレポートによると、テストされた Webapplicationsの 100% に少なくとも 1 つのapplication脆弱性が見られました。 これらはすべて最も重大な脆弱性というわけではなく、攻撃者によって悪用されることもないかもしれませんが、常に潜んでいます。 攻撃者はこの知識を武器に、攻撃を実行するために必要なアクセスを提供する脆弱性を探しながら、Webapplicationsを継続的に調査します。 Threat Stack AppSec Monitoring が提供する開発時のリスク識別と修復ガイダンスに加えて、実行時にこれらのリアルタイム攻撃を検出してブロックすることもできます。
Threat Stack AppSec Monitoring は、次の 4 つの要素によるランタイム保護を提供します。 検出、ブロック、通知、ガイド。 これら 4 つの要素を組み合わせることで、ユーザーは攻撃を発見し、攻撃の実行を防止し (データ侵害やその他の問題を防止)、将来の攻撃を防ぐのに役立つセキュリティを構築するために開発者が必要とするコンテキストを DevSecOps ワークフローに提供できるようになります。
検出する
上位の Web 攻撃の 60% 以上は、基本的な XSS 攻撃と SQL インジェクション攻撃に集中しています。 これらは比較的単純でよく理解されていますが、攻撃者の間では依然として好んで使われています。 Threat Stack AppSec Monitoring は、Web からapplicationに送信されるペイロードを調べることで、これらの攻撃を検出できます。 ペイロードは、application要求のデータ部分にすぎません。Web ページのフォーム送信におけるフィールド名と値、または API 呼び出しにおける名前と値のペアなどです。 実行中のapplication内のペイロードを分析して、潜在的に悪意があると判断できるコードが含まれているかどうかを確認します。 このチェックは、ペイロードをよく知られた攻撃シグネチャ(現在 2,000 種類以上)と比較する当社独自のアナライザーに基づいています。 空港内のセキュリティチェックポイントを想像してください。そこでは警備員が旅行者の荷物の中身を検査し、銃や爆発物などの潜在的に危険な物品を探します。 ペイロード内に、SQL または noSQL インジェクション文字列や XSS コードなどの潜在的に危険な項目がないか調べます。 ただし、空港のセキュリティとは異なり、当社のチェックは非常に迅速です。
ブロック
ユーザーは、Threat Stack AppSec Monitoring を次の 2 つのモードのいずれかで実行できます。 検出のみ、または自己保護。 自己保護モードはリアルタイム防御に最適なオプションです。 このモードでは、悪意のあるペイロードを含むリクエストは即座に停止されます。これは、空港のセキュリティ担当者が武器を発見して空港への入場を拒否するのと同じです。 applicationはその個々のリクエストのそれ以上の実行を停止し、攻撃は終了します。 検出のみモードでは、特定された悪意のあるペイロードにはフラグが付けられ、ユーザーに通知されます (次の要素「通知」を参照) が、リクエストの実行は許可されます。 これは、開発中に自動テストを実行しているときに、シミュレートされた攻撃が正常に検出されたことを知ることが役立ち、テストを続行したい場合に役立ちます。
通知する
攻撃が検出されブロックされたら、その攻撃を認識して、被害を軽減するか、将来の攻撃のリスクを軽減するための措置を講じる必要があります。 Threat Stack AppSec Monitoring は、Web ポータルでの攻撃に関する情報を明確なタイムライン形式で提供します。 しかし、すべてのチームのすべてのメンバーが Threat Stack ポータルにログインするわけではないことはわかっています。そのため、ChatOps 統合により、攻撃に関する重要な情報をお届けし、Slack、Google、その他のチャット ツールがチームに情報を提供できるようにしています。 攻撃通知には、実際の悪意のあるペイロードの内容、攻撃者の IP アドレス、標的となった URL とリクエスト方法、およびその他の重要な情報が含まれます。
画面: ポータルの攻撃ビュー
ガイド
すべての経験は学習の機会を生み出します。 Webapplicationへの攻撃は、開発チームにセキュリティ スキルを向上させる機会を与え、将来のコード改善に役立ちます。 Threat Stack AppSec Monitoring は、学習コンテンツと攻撃フォレンジック情報を共有し、開発者のセキュリティ IQ の向上に役立ちます。 各攻撃には、開発者に自分の言語で攻撃を説明する e ラーニング コンテンツが含まれており、コード サンプルや、さらに外部の学習コンテンツへのリンクも含まれています。 フルスタック トレースも表示されるため、開発者は呼び出されたルート ハンドラーと、攻撃がブロックされる前に実行されたコール スタックを確認できます。 これにより、入力のサニタイズが改善されたり、その他のapplicationが改善されたりする可能性があります。
画面: SQLi ガイダンス
すべてをまとめる
今日の急速に変化するクラウドネイティブ DevOps 環境では、開発者が自らセキュリティの問題を見つけて修正することが求められる「シフトレフト」のみ、または最後のステップとしてセキュリティを追加したり、ランタイムapplicationsセキュリティ ファイアウォールだけを使用したりするだけでは、applicationを保護することはできません。 セキュリティは、開発者、運用担当者、セキュリティ専門家間の協力と連携を可能にする方法で、ソフトウェアの開発、配信、運用プロセス全体に組み込む必要があります。 Threat Stackapplicationセキュリティ監視は、開発時にリスクを特定し、運用環境での実際の攻撃から保護するとともに、これらのアプリケーション層のアラートを Threat Stack のクラウドネイティブ インフラストラクチャ セキュリティ監視のより広いコンテキスト内に配置します。
Threat Stack Cloud Security Platform® の一部として追加料金なしで利用できる Threat Stack のapplicationセキュリティ監視の詳細については、デモにサインアップしてください。 当社のセキュリティ専門家が、お客様の特定のセキュリティおよびコンプライアンス要件について喜んでご相談に応じます。
Threat Stack は現在、 F5 Distributed Cloud App Infrastructure Protection (AIP) です。 今すぐチームで Distributed Cloud AIP を使い始めましょう。