ハッカーへの対抗策は侵入テスト・DevOps・バグ報奨金

興味深い記事でした。脆弱点を先に潰す事でハッカーの攻撃コストは増加する、当たり前な事ではありますが、その有効性は高い様です。

www.darkreading.com

■元レポート　Trust by Design: Synack 2019 Trust Report

◆キタきつねの所感

記事が引用しているセキュリティ会社のSynackのレポートは、ハッカーの観点で侵入テストデータなどを分析して資産レベルで組織の信頼を定量化したもので、この観点でまとめられたものとしては初でないかと思います。

クラウドソースのセキュリティ会社Synackが収集したセキュリティ評価とレッドチームの取り組みのデータによると、自動化された手段と定期的な侵入テストによるセキュリティの継続的なテストに重点を置いている企業は、システムの悪用可能な脆弱性を見つける攻撃者のコストを約2倍にします。

同社は、レッドチームのメンバーが脆弱性を見つけるために資産を調査しなければならなかった平均回数は、過去2年間で平均で2倍以上、112％増加したことを発見しました。さらに、レッドチームのメンバーが発見した脆弱性の平均的な重大度は、2016年の6.41というCVSSスコアから、2018年には5.95のCommon Vulnerability Scoring System（CVSS）スコアに低下しました。

Synackの製品マーケティングディレクターであるAnne-Marie Chun Witt氏は、この調査結果は、開発と運用にセキュリティを組み込んだ企業がシステムの強化に成功していることを示唆しています。

（Darkreading記事より引用）※機械翻訳

レッドチーム（疑似ハッカー）が苦戦するのは、セキュリティ対策（侵入テストと、脆弱性測定の自動化）を継続して行っている企業の抵抗力が強いという結果が出た様です。こう書いてしまうと当たり前な事に思えますが、攻撃者の攻撃コストを上げる事の有効性が証明されたとも言えそうです。

全体的に、セキュリティテストを自動化した企業（本質的に継続的に実施する企業）は、Synack独自のメトリックを使用して、セキュリティの測定値が43％高くなりました。

ほとんどの企業（63％）は3か月未満で脆弱性を修正しました。遅れているのは、電子商取引会社、小売業者、州および地方自治体と教育です。

（Darkreading記事より引用）※機械翻訳

記事ではさらっと書かれていましたが、ハッカーへの対策を取らない業態として、EC事業者、流通、公共、教育機関が挙げられています。この傾向は日本も変わらない気がします。だとすれば、ハッカーの攻撃ウェイトは、この業態にシフトしてくるのは明白です。

このブログ記事（事件記事）でもたびたび取り上げてきたかと思いますが、残念ながら海外ではこれらの業態は既に被害を受け始めています。そして日本でもEC事業者、流通は既に対象といっても過言ではないかと思います。公共、教育機関、それと医療は・・・今後危ない気がします。（※個人の感想です）

今月初め、バグ報奨金の管理プロバイダーであるHackerOneは、脆弱性が既知の攻撃ベクトルである4つの大きな侵害は、数万ドルの報奨金プログラムによって防止できたと計算しました。

会社に2億3,000万ドルの罰金を科したブリティッシュエアウェイズの違反を指摘して、同社はJavaScriptの脆弱性が妥協につながったことに注目しました。

「攻撃者はサードパーティのJavaScriptの脆弱性を介してアクセスしたと考えられています。この脆弱性は、バグ報奨金市場では5,000〜10,000ドルの価値があります」と同社は述べています。

（Darkreading記事より引用）※機械翻訳