放置されたWebアプリケーション：FT500企業のアキレス腱 昨今、最大規模のグローバル企業でのセキュリティへの支出が増大している状況にもかかわらず、シャドウアプリケーションおよびレガシーアプリケーションが放置されているケースが多く、それらによってサイバーセキュリティとコンプライアンスが低下しています。 主な調査結果 FT500の企業のうち70%は、Dark Webで情報が販売されています。 外部Webアプリケーションの92%に、悪用可能なセキュリティ上の欠陥または脆弱性があります。 19%の企業が、保護されていない外部クラウドストレージを使用しています。 GDPRに準拠していない外部ウェブアプリケーションの2%がWAFで適切に保護されています。 研究の概要 目次   前文   研究データ 研究統計 3.1 外部アプリケーション3.2 SSL / TLS暗号化3.3 PCI DSSおよびTLS3.4 SSL証明書とドメイン名3.5 Webサーバーセキュリティ3.6 コンテンツセキュリティポリシー3.7 脆弱なWebソフトウェア3.8 デフォルトのWordPressインストール3.9 Webアプリケーションファイアウォール3.10 ISC / SCADAおよびIoT3.11 GDPRコンプライアンス3.12 プライバシーポリシー3.13 保護されていないクラウドストレージ3.14 オープンバグバウンティレポート3.15 ダークウェブで販売されたデータ 結論と解決策     1.前文 米国第21代国防長官ドナルド・ラムズフェルドは次のように述べています。 「既知の既知のものがあります（認識していて[原因or理由or対策]がわかっていること）。また、既知の未知のものがあることも知っています（認識しているが[原因or理由or対策]がわからないこと）。しかし、未知の未知（存在を認識すらしていないこと）の要素もあります。そして、我が国や他の自由諸国の歴史を振り返ってみると、後者のカテゴリーが難しいものになる傾向にあります。」 現在では、彼の英知は特にテクノロジーとサイバーセキュリティーの分野に適用されます。シャドウ、レガシー、および放棄されたIT資産は、通常、既知の未知または未知の未知のカテゴリに分類され、現代の企業や組織にとって大きなリスクとなっています。メンテナンスも保護もないまま放置された場合、セキュリティへの取り組みの有無やサイバーセキュリティへの支出の増加有無に関係なく、悪循環が発生し、 企業は簡単に侵害されてしまいます。 2017年11月、High-Tech BridgeはImmuniWeb®Discoveryの開始を発表しました。これは、特定の企業または組織に関連するすべての外部アプリケーションと関連IT資産を検索する、非侵入型のOpen Source Intelligence(OSINT)サービスです。つまり、ImmuniWeb Discoveryは、Webベースの攻撃可能な表面の包括的なスナップショットを迅速に構築します。会社名とメインWebサイトを入力するだけで、すべての外部Webサイト、Webシステム、ドメイン名、SSL証明書、WebベースのAPIおよびマイクロサービス、および保護されていないクラウドストレージの非侵入型調査を開始します。 私たちは最近、ImmuniWeb Discovery ユーザーの企業や政府に簡単なアンケートを送り、私たちのサービスでの彼らの経験を調査しました。調査の結果、発見されたアプリケーションのうち最大80%がサイバーセキュリティチームに知られていなかったことが明らかになり、この過小評価されがちな問題の規模と広がりには、大きな驚きがありました。 2.研究データ 既知の未知、未知の未知、関連するリスク、脅威に光を当てるために、Financial Times：グローバル企業上位1,000社 … Continue reading 放置されたWebアプリケーション：FT500企業のアキレス腱