3つのうちの最初のこの記事では、Webセキュリティの脅威と、見過ごされがちなMagecartなどのサイバー攻撃のクラスにクライアント側のセキュリティツールがどのように対処するかについて説明します。コンテンツセキュリティポリシーやサブリソースの整合性など、クライアント側の標準に基づくWebセキュリティの脅威から保護する従来の方法について説明します。これらの進化するアプローチは、代表的なクライアント側のセキュリティプラットフォームのコンテキストで見られます。
前書き
おそらく、専門分野としてのサイバーセキュリティの要は、継続的な流動性です。つまり、一部のインターネットリソースの機密性、整合性、または可用性の側面に影響を与えるサイバー攻撃が発生するとすぐに、それらを排除するための適切なソリューションが開発されます。これらのソリューションが侵害されたリソースのインフラストラクチャに統合されるとすぐに、新しいサイバー攻撃が出現し、新しいソリューションが発明され、サイクルが終了します。
場合によっては、サイバー防御ソリューションに新しい形式の悪意のある攻撃を予測するメカニズムがあり、これが機能する場合、さまざまなシナリオでセキュリティリスクを回避できます。たとえば、2要素認証はパスワードの推測に対する対策として作成されましたが、今では、モノのインターネットデバイス間の新しい通信プロトコルの開発におけるセキュリティレベルを向上させるための重要なコンポーネントです。
Webアプリケーションセキュリティとも呼ばれるWebセキュリティの分野ほど、脅威の出現と克服のプロセスが明白な場所はありません。貴重な資産はWebインターフェースを通じて最も頻繁に処理および管理されるため、Webエクスプロイトの価値は増大し続けています。この成長の結果の1つは、Webリソースを保護するための多くのテクノロジーにもかかわらず、攻撃の数と保護のレベルとの間のギャップが拡大していることです。
この一連の技術記事の背後にある主な前提は、ほとんどのアプリケーションが最新のブラウザーで実行されるという事実から生じるWebセキュリティーのギャップです。 Webセキュリティコミュニティは、静的およびコンテンツをクライアントに配布するサーバー側の脆弱性から保護するために機能要素を展開する必要性を長い間認識してきました。ただし、クライアント側のセキュリティにはあまり注意が払われておらず、攻撃者にとっても同様に魅力的ですが、今日のセキュリティインフラストラクチャではほとんど無視されています。
この3部構成のシリーズでは、このギャップを埋めたいと思います。最初の部分では、Webサイトに対する最も一般的なサイバー攻撃について説明します。第2部では、今日の運用環境で最も頻繁に展開されるWebセキュリティソリューションについて検討します。また、パート3では、クライアント側の代表的なセキュリティソリューションが、攻撃者によって悪用される可能性のあるインフラストラクチャの脆弱性を見つけるのにどのように役立つかを探ります。
一般的なWebサイト攻撃
前世紀の90年代半ば、ハイパーテキスト転送プロトコルやマークアップ言語のレベルからインターネットプロトコル(IP)へのティムバーナーズリーのアイデアとともに、いわゆるWebまたはネットワーク(Web)を構成するインフラストラクチャ、システム、およびアプリケーションを攻撃する手段もありました。その後、Webセキュリティなどの規律が生まれました。これは、ネットワークコンピューティングセキュリティの分野でリスク管理に必要な一連の保護対策として定義できます。
ご想像のとおり、Webセキュリティの問題の分類はさまざまな方向に急速に発展していますが、初期の段階では、サービス拒否攻撃の防止、ホスティングインフラストラクチャの保護、およびユーザーに対するネットワークコンテンツの自由な流れの確保に重点が置かれていました。アクセシビリティの問題に対するこのような注意は、Webサイトが機能しないか、または機能しない場合、電子取引が安全に通過できず、利益を上げるための明らかな結果をもたらすという事実によって決定付けられました。
インフラストラクチャレベルでの問題に加えて、アプリケーションレベルでの問題も、特にWebサイトにアクセスする顧客に深刻な結果をもたらす可能性があるという考慮事項が開発されました。したがって、いわゆる小さな問題から大きなセキュリティ問題へと進化したネットワークセキュリティの分野における脅威。今日でも、脆弱なWebアプリケーションを見つけるのは簡単です。
過去数年の間に、抑制が非常に困難な標準的な攻撃戦略が出現しました。これらの問題の煩わしさは、多くのWebアプリケーションの開発の複雑さと、多くのネットワーク管理者の経験不足と無知に起因します。以下では、eコマースインフラストラクチャの脆弱性につながり、多くの企業とそのセキュリティチームに問題を引き起こす4つの戦略について説明します。
クロスサイトスクリプティング(XSS)
アプリケーションレベルでの最も一般的な攻撃は、クロスサイトスクリプティング、または単にXSSです。基本的に、クロスサイト攻撃にはインジェクションなどの方法があります。これは、攻撃者がサードパーティのスクリプトをサイトに埋め込み、それを機能させる方法を見つけたときです。最終的な目標は、攻撃対象のWebアプリケーションが攻撃者のコードをユーザーのブラウザに送信することです。 XSS攻撃は、Webサイトが多くの検証なしに入力を受け入れ、処理し、使用する場合に最も効果的に機能します。
最終目標は、誰かのブラウザにコードを挿入することです。侵害されたユーザーは、すべての動的コンテンツが訪問済みで信頼されていると思われるWebサイトから来るため、今後のすべてのスクリプトが安全であることを期待しています。ユーザーのブラウザーは、多くの場合JavaScriptでこのコードを実行し、セッショントークンやCookieなどの機密情報を攻撃者に公開します。 XSSコードは、感染したサイトにユーザーをリダイレクトすることもできます。
図1. XSS攻撃の概略図
Open Web Application Security Project(OWASP)などの組織)XSS攻撃に対するさまざまな保護を提供します。彼らの推奨事項の多くは実務家にはまだ無視されていますが、ユーザー入力の処理を改善する有意義なコーディングとWeb管理手順が含まれています。これらのほとんどには、より良いサーバー側の入力検証が含まれます。これは歓迎すべきセキュリティ対策であり、あらゆるネットワークエコシステムに存在する必要があります。
コンテンツと広告インジェクション
近年、マルバタイジングと呼ばれるコンテンツおよび広告インジェクション攻撃がますます一般的になっています。しかし、現代のビジネスの原動力としてオンライン広告のエコシステムが成長していることを考えると、この傾向は驚くべきことではありません。現在、オンライン広告は1,000億ドルに達していると推定されており、ハッカーや犯罪者はこの傾向を認識しており、利用可能な脆弱性を利用しています。マルバタイジングの
しくみXSSと同様:攻撃者は、正当な広告ネットワークを介してWebサイトにコードを挿入する方法を見つけます。目標はXSSにも似ており、訪問者をあるサイトから別のターゲットサイトにリダイレクトし、資格情報の盗難などの攻撃の主力である悪意のあるコードを使用します。
一部の人々は、インジェクションプロセスをドライブバイダウンロードと呼んでいます。この用語は、脆弱性のあるブラウザで広告を表示するユーザーを指します(残念ながら、これは非常に一般的なシナリオです)。ユーザーが広告を操作すると、リダイレクトが発生し、その結果、マルウェアが疑いを持たないWebサイトの訪問者に到達します。
図2. Malvertisingによるドライブバイダウンロード
この問題に対する従来の解決策は、Webアプリケーションファイアウォール(WAF)などのコントロールを使用することです。WAFは、署名または動作分析を使用して、信頼できないソースから悪意のあるコードが実行されるのを阻止するように構成されます。XSSと同様に、このサーバー側の保護は、広告エコシステムで主な制御要素として一般的に使用されます。説明されているアプローチはマルバタイジングに適用できますが、すべての形式の攻撃に対して機能するわけではありません。
マジェカート
ハッカーグループMagecartは数年前に発生し、カードスキミングなどの攻撃でWebサイトを恐怖に陥れ始めました。通常、ハッカーグループの出現と消滅はかなり迅速ですが、Magecartは長い間、企業のWebサイトとWebアプリケーションを緊張させてきました。多くの組織がハッキングの影響を受け、セキュリティソリューションはほとんどの被害者にとって明らかではありませんでした。中間者
攻撃Magicartからは非常に単純です。まず、サーバーからクライアントに送信されるJavaScriptコードに悪意のあるコードが追加されます。次に、悪意のあるコードが、ブラウザからサイトにアクセスするユーザーのクレジットカードに関する情報などの機密データを追跡して収集します。データは悪意のあるサイトに送信され、違法にアップロードされます。すべてが非常に簡単です。
図3. Magicartからのカードのスキミング
ただし、主な問題は、従来のサーバー側のセキュリティでは、クライアント側で発生するman-in-the-browser(MITB)攻撃が考慮されていないことです。たとえば、Webアプリケーションファイアウォール(WAF)JavaScriptアクションが表示されず、コードインジェクション用のライブラリスキャンツールがありません。攻撃がサードパーティのサイトからのものである場合、結果は連鎖的になり、何が起こるかはpiggy-backingと呼ばれます。
コースの詳細をご覧ください。