世界には一般に 3 つのタイプの Web サイト/アプリ所有者がいます。1 つ目のタイプは、常にリスクに対する高い意識を持っている人、2 つ目は、自分の Web サイトを攻撃して破壊することはできないと強く確信している人、そして 3 つ目は、タイプ: まったく気にしない人。
2 番目のタイプは、他の 2 つのタイプよりも後悔や苦痛を感じる可能性がはるかに高くなります。実際、ハッキングは珍しいことではなく、この世界では毎分 20 以上の Web サイトがハッキングされています。これは、遅かれ早かれ、攻撃者は「安全」と思われるシステムに侵入しようとすることを意味します。侵入が始まると、ハッカーは成功する可能性が高くなります。
気にしない人にとって、通常の反論は、自分のビジネスや組織はハッカーの労力に見合う価値がほとんどないというものですが、実際にはハッキングの本当の理由は単なる金銭的利益以上のものです。現在、攻撃者は改ざん、データ侵害、電子メール リレー スパムのサーバー乗っ取り、一時的な Web サーバーの悪用、違法なファイル転送、その他多くの無意識の悪意のある活動のためにハッキングを行っています。これらの試みは多くの場合、スクリプトが不十分な、または安全な Web サイトやサーバーを探す自動ツールを利用した自動スクリプトで実行されます。したがって、すべての Web サイト所有者は、オンライン セキュリティを維持するための基本的なチェックリストを持っている必要があります。
Huosanyun は、中国の大手ネットワーク セキュリティおよびコンテンツ アクセラレーション サービス プロバイダーとして、ハッカー攻撃の可能性を減らすことができる 7 つの良い習慣をすべての Web サイト所有者に提供しています。
1.監査を徹底する
管理者や情報セキュリティ担当者が、サイバー攻撃に関する自身の知識を超えて、既存の視点や視点を形成できることはほとんどありません。そのため、セキュリティ監査は、Web サイトのセキュリティ基盤が実際にどの程度強力であるかを評価するのに役立ちます。
理想的には、外部リソース、モバイル アプリケーション、Web アプリケーション、物理セキュリティ、ルーター、ファイアウォール、ハブ、サーバー機器、仮想インフラストラクチャ、VPN、ワイヤレス セキュリティ、ワークステーションなど、ほぼすべての監査を定期的に実施する必要があります。次に、脆弱性の 75% はアプリケーション層で発生しているため、Web アプリケーション スキャン (WAS)、動的アプリケーション セキュリティ テスト (DAST)、仮想パッチ適用、および監視を使用して再確認することが最善です。
2.入手可能な情報を確認する
攻撃者は、Web サイトに関する利用可能な情報を悪用してシステムを攻撃することがよくあります。その情報には、パブリック DNS レコードから、ソーシャル プロキシやリバース プロキシを介したリソース情報へのアクセスまで、あらゆるものが含まれます。
ここでは、アプリケーション層の保護が鍵となります。アプリケーションの種類、サーバーの種類、開発者、オペレーティング システム、展開、または帯域幅に関する情報を使用して、DDoS、コマンド インジェクション、またはクロスサイト リクエスト フォージェリを開始できます。
理想的には、安全な Web サイトの所有者は、公開されている情報を確認して制限し、それが別の方法でどのように悪用されるかを分析する必要があります。これは、ディレクトリ構造やローカル マシン名情報をプッシュする前のエラー ページでも考慮する必要があります。
3.継続的な監視
特に特殊なツールやスキャナーを使用して攻撃、トラフィック、ユーザーの行動を監視すると、貴重な情報が得られます。ウェブマスターは、どの国、IP、接続が問題を引き起こしているのか、またそのような動作をブロックまたは制限するカスタム ルールを作成する方法について多くのことを学ぶことができます。
侵入防御システムの助けを借りて、あらゆる通信層、特にネットワークに警戒戦略を適用できます。一方、アプリケーション層の場合は、強力な Web アプリケーション スキャン (WAS) テスト ツールが便利です。こうすることで、Web アプリケーション用に別のセキュリティ チームを雇う必要がなく、攻撃ログとそれに対する決定を引き続き制御できます。
4、定期更新
これは実際、最も明白であるにもかかわらず、見落とされがちなセキュリティ習慣です。複数のプラットフォームやシステムにまたがってソフトウェア、パッチ、修正を更新することほど面倒なことはありませんが、これによりセキュリティ メカニズムの稼働が向上するのは明らかです。
オペレーティング システムであっても、マルウェア スキャン ツールであっても、完璧なソフトウェアはありません。データによると、アップデートの 90% 以上がセキュリティ ベースです。実際、開発者はハッカーが悪用する前に脆弱性とコードパッチを見つけようと懸命に取り組んできました。タイムリーに更新できないことは明らかであり、侵害のリスクが増大し、ネットワーク全体が侵害されることに加えて、更新はサーバーのフレームワークと構成にとっても重要です。
5. 製品のコンプライアンスを確保する
ペイメント カード業界のデータ セキュリティ標準は、クレジット カード情報の取り扱いを保護するための最も信頼できる一連の要件を定めており、すべての Web サイトは準拠を目指す必要がありますが、これはセキュリティ プロトコルを開発するための基礎にすぎません。情報セキュリティは継続的なプロセスであり、経験、データ、学習によって改善されます。Web サイトの所有者は、コンプライアンスがセキュリティを向上させるためにできる最も基本的なことであることを認識する必要があります。これに加えて、通信と機密データを保護するための革新的な対策が、組織内および外部レベルの両方で奨励される必要があります。
6.階層化されたセキュリティ アーキテクチャを開発する
オープン システム相互接続の概念モデルは、通信層を物理層、データ リンク層、ネットワーク層、トランスポート層、セッション層、プレゼンテーション層、およびアプリケーション層に分割します。各抽象化レイヤーがさまざまな種類の脆弱性によって侵害される可能性があることを考慮すると、階層化されたセキュリティ ポートフォリオを開発することが重要になります。多層セキュリティには、システム内の物理リソース、災害管理計画、パケット フィルター、マルウェアとトロイの木馬の検出器、SSL 証明書による保護が含まれており、その多くはネットワーク ファイアウォールや IPS に含まれています。
ただし、ほとんどの攻撃はレイヤー 7 で発生することを考えると、Web サイト所有者は Web アプリケーションのセキュリティも真剣に考慮する必要があります。実際、調査によると、組織が既知の脆弱性にパッチを適用するのに通常 30 ~ 180 日かかりますが、これは攻撃者が攻撃を開始するのに十分な時間です。Fire Umbrella Cloud は、レイヤー 7 の脆弱性を検出するには Web アプリケーション スキャナーを使用するのが最適であること、また Web アプリケーション ファイアウォールによる仮想パッチ適用をさらに一歩進めて、開発者が作業を完了するまで攻撃者によるこれらの脆弱性の悪用を制限することを推奨しています。
7. 適切なセキュリティ予算を作成する
前述したように、ネットワーク攻撃の 75% 以上はレイヤー 7 で発生します。しかし、現実の裏側では、アプリケーション セキュリティに割り当てられている情報セキュリティ予算の合計は全体の 18% にも満たないということでしょうか。この大きなギャップは、アプリケーション層の脆弱性を継続的に発見し、それらにパッチを適用するために時間と費用を割り当てるのに十分な時間がないという言い訳で、見落とされることがよくあります。
近年の攻撃パターンから判断すると、アプリケーション層攻撃の数と複雑さは増大しています。Fire Umbrella Cloud では、脆弱性の仮想パッチを即座に適用するために、Web アプリケーション ファイアウォールを利用した静的および動的 Web アプリケーション テストの組み合わせを推奨しています。サイト所有者、管理者、および CISO は、セキュリティ予算を多様化し、アプリケーションのセキュリティにさらに重点を置くように注意する必要があります。