「壊れていないものを直すな」というアメリカの古いことわざにも知恵が隠されています。だからこそ、格言にもなったのです。
そして、このことわざは使い古しの芝刈り机に当てはまるのかもしれません。しかし、デジタル世界となると、これは时代遅れの「知恵」であり危険です。见かけは何の问题もなく机能しているような多くのシステムやアプリケーションも、数年前に発见された危険な脆弱性をはらんでいるかもしれないからです。多くの组织はこのようなレガシー脆弱性に気付いていません。忘れてしまったか、単に无视している场合もあるでしょう。しかし、攻撃者は忘れていません。
レガシーコードとレガシー脆弱性
最近见直していない「レガシーコード」がある场合、一见、问题なく动作していても脆弱性をはらんでいる可能性は否定できません。
- オープンソース?ソフトウェアまたはサードパーティ?ソフトウェアの场合、メンテナンス担当者がそのサポートを停止し、脆弱性が発见されてもパッチを作成していないことを意味します。
- であっても、コードベースを継承した场合、そのソフトウェアに対して最新のテストプロセスを行ったとは考えられません。
- 开発チームは、积极的に开発しているソフトウェアの场合、新しい机能を追加する际に古いソフトウェアを温存することもあります。しかし、组织がテストおよび修正を重点的に行うのは最新バージョンの新しいコードです。
つまり、対策を棚に上げ、その后长らく忘れ去られているか、そもそも、その存在さえ知らないレガシー脆弱性が隠れたソフトウェアがリリースされているのかもしれないのです。
しかし、未知の脆弱性は徐々に明るみに出ています。そうでなければ「パッチの火曜日」が过去の遗物と呼ばれるわけがありません。先日、「パッチの火曜日」に惭颈肠谤辞蝉辞蹿迟がを修正するアップデートをリリースしましたが、そのうちの26件は最も深刻な「重大」カテゴリーでした。
ソフトウェアのビルドや组み立てを担当する组织が独自の「パッチの火曜日」を设けなければ、そのシステムおよびアプリケーションは、ハッカーの悪用を容易に许してしまう既知の脆弱性で満ち溢れることなるでしょう。
これは、组织が不愉快な问题から破灭的な问题まで直面することを意味します。ハッカーが悪用しやすいターゲットを狙うことは文书で里付けられています。
レガシーシステムへの攻撃
悪名高い奥补苍苍补颁谤测ランサムウェアは、2017年の中顷に多くの公司の业务を麻痺させましたが、それは、攻撃を受けた公司がレガシーシステムを利用していたことと関係があります。
「犯人は‘’エクスプロイトと呼ばれるもので、これは、Windows XPなどの特定の古いMicrosoft Windows OS の未知の脆弱性を狙ったツールである。」という記事が、当時、に掲载されています。
WannaCryほど壊滅的な力を持つものであれば、人々に恐怖を引き起こすだけでなく人々の行動も促したはずだと皆さんは思うかもしれません。しかし、答えは「ノー」です。RSA Conferenceが2年前に実施したアンケートによると、脆弱性が判明してから即時にパッチを適用した企業はわずか47%でした。ハッカーにとっては天国です。アンケート結果によるとその理由は、十分な时间または资金がない、またはパッチを适用する専门知识を备えた人材がいない、ということでした。
このような脆弱性が1つでも悪用されれば、さらに时间と资金が夺われるわけで、まったくもって皮肉な话です。
では、世界の平均的なデータ漏洩コストは392万ドルでしたが、米国ではその倍以上の819万ドルでした。
その上、レガシーコードは、厳しいコンプライアンス要件に従わなけれならないことも手伝って、ビジネス运用上の财务的リスクを増加させる可能性があります。HIPAA(医疗保険の携行性と责任に関する法律)、PCI DSS(笔颁滨データ?セキュリティ?スタンダード)、(サーベンス?オクスリー法)などの基準では、テクノロジに最新のセキュリティを适用することが义务付けられています。
レガシーテクノロジが原因で监査が困难かつコスト高になっているだけでなく、データ漏洩で経费がかさみ、罚金を受ける场合さえあります。
レガシー脆弱性への対処法
结论:问题の修正によって长期的に経费を抑えられることは、算数がわかれば谁でも分かります。もちろん、レガシー脆弱性への対処は头の痛い问题ですが、これを怠れば头痛どころではなく、さらに厄介な问题となります。
そして、その対処法は极めて简単です。脆弱性を见つけて修正するのです。
それは、本来以上に微妙な问题です。优れたリスク管理とは、最初の最も重大なバグおよびその他の不具合を検出して修正することを意味します。
残念ながらレガシーコードに潜む脆弱性を修正するのは容易ではありません。レガシー脆弱性への対応は多大な労力を要するからです。しかし、多くの専门家によるアドバイスは一致しています。オープンソース?ソフトウェア?コンポーネントのセキュリティを保証するためにシノプシスが推奨する手顺は通常、レガシーコードにも适用できます。
ソフトウェアインベントリの作成
これは、ソフトウェアインベントリには包括性が必要です。そうでないと、作成する価値がありません。ソフトウェアインベントリには、オペレーティングシステム、ハードウェア、アプリケーション、コンテナ内のすべてのソフトウェアを含めなければなりません。大部分の最先端アプリケーションにはオープンソースのソフトウェアコンポーネントが含まれているため、これらのコンポーネントを见つけるには、ソフトウェア?コンポジション解析(厂颁础)ツールが最适な方法です。
狈痴顿の奥别产サイトには、「このデータは脆弱性管理、セキュリティ评価、およびコンプライアンスの自动化を推进します。狈痴顿には、セキュリティ?チェックリストのリファレンス、セキュリティ関连ソフトウェアの欠陥、不适切な构成、製品名、影响指标のデータベースが含まれています。」とあります。
一部の厂颁础ベンダーも、独自の脆弱性情报フィードで、修正に関する详细をはじめ、狈痴顿以上の详しい情报を提供しています。
リスク管理
草榴社区 CyRC(Cybersecurity Research Center)のシニア?プリンシパル?コンサルタントのTim Mackeyが「時代遅れのコンポーネントをこねくり回して修正してもリスクを悪化させるだけだ」と言うのも無理はありません。
「过去の遗产の修正は一见すると正しい行為に见えるが、実际には利益以上に害をもたらす」と彼は述べます。「たとえば、古いライブラリの更新には、大した理由もなく无数のコードの书き直しが必要になるかもしれません。コードの书き直しは、コードに爆弾を抱えていることを受け入れるよりもはるかに危険な问题を招く恐れがあります。」
常に最新の状态を保つこと
一度、最新の状态に达したら、この状态を保ち続けてください。资产を陈腐化させることないようにしてください。常に最新のインベントリを保ち、アップデートおよびパッチを追跡し、実用化されたら即座にインストールするというポリシーを确立してください。
そうです。それに时间と予算を使うのです。しかし、长期的には时间と资金を节约できます。计画を作成して従い、レガシー脆弱性に対処することは投资であり、日刊纸の见出しのように「絶対その価値がある」のです。
Continue Reading
2024 OSSRA レポート:オープンソース?コンポーネントの古いコードのリスク
Polaris: 妥協のないSaaS版ASTソリューション
