CyCognitoの新しい調査によると、教育分野はクラウド資産、API、ウェブアプリケーションが最も脆弱な業界のトップに位置しています。
このセキュリティベンダーは、1月から6月の間にランダムに選ばれた200万のインターネットに公開された資産を分析し、以下を含む実際の攻撃者の行動をシミュレーションしました:
- 90,000以上のエクスプロイトモジュールを使用したブラックボックスペンテスト、クレデンシャルスタッフィングのシミュレーション、データ漏洩の検出など
- 実行時のウェブアプリの脆弱性を特定するための動的アプリケーションセキュリティテスト
- 未修正のCVE、設定ミス、公開資産を検出するためのアクティブな脆弱性スキャン
この調査によると、全業界を通じて、クラウド資産の14%、APIの21%、ウェブアプリの20%が侵害される脆弱性を持っていました。また、後者2つのカテゴリはシャドーITやサードパーティ統合により「導入が容易で管理が難しい」ため、より脆弱になりやすいとしています。
しかし、最も脆弱性が高かったのは教育分野で、資産のほぼ3分の1(31%)が脆弱と分類され、APIでは38%、ウェブアプリでは35%に上りました。
CyCognitoはこれを「デジタル化の進展、限られたセキュリティ投資、広範なインフラ」に起因するとしています。
上位5位には、プロフェッショナルサービス(28%)、小売(27%)、政府(26%)、メディア(21%)が続きました。
教育分野におけるサイバー攻撃について詳しく読む:過去5年間で英国教育分野の73%がサイバー攻撃を受ける
「注目すべきは、これらの業界ごとに固有のリスク特性があることです。教育分野では、管理が不十分で古いシステムに集中する機微な個人データが主なリスクです。小売分野では、相互接続されたベンダーやeコマースプラットフォームへの依存が攻撃対象領域を拡大させています」とCyCognitoのデータサイエンティスト、Zohar Venturero氏は述べています。
「政府システムの場合、レガシー技術と公開サービスの組み合わせが脆弱性のポイントを生み出します。プロフェッショナルサービスは、顧客ごとの環境や資産の拡散により複合的なリスクにさらされています。そしてメディア業界は、公開のスピードがガバナンスを上回ることが多く、APIやCMSプラットフォームが繰り返し弱点となっています。」
コンテキストが重要
このようなリスクを効果的に管理するには、組織は「誰が資産を所有しているのか、それが何をしているのか、攻撃者がより広いネットワークの文脈でそれをどう見ているのか」というコンテキストを理解する必要があるとVenturero氏は続けます。
「表面的には2つの業界で同じような脆弱性の割合が示されていても、資産の種類によってその被害の内容は大きく異なります。例えば、公開された大学のアプリが大量の個人識別情報(PII)を漏洩させれば、評判の失墜、法規制違反、世論の反発を招く可能性があります」と彼女は説明しました。
「それほど深刻な事態であっても、通信や政府ネットワークの脆弱なエッジデバイスの方が、被害がさらに大きくなるかもしれません。そこが悪用されれば、ラテラルムーブメントや権限昇格、長期間にわたる潜伏型攻撃の足掛かりとなり、重要インフラが内部から静かに侵害される可能性があるのです。」
翻訳元: https://www.infosecurity-magazine.com/news/education-sector-most-exposed-to/