CyCognitoによる新たな調査によると、教育分野は、最も脆弱なクラウド資産、API、Webアプリケーションを抱える業界の一覧で首位となった。
セキュリティベンダーは1月から6月にかけて、インターネットに露出した資産200万件の無作為サンプルを分析し、以下を含む実世界の攻撃者の行動をシミュレーションした。
- 9万以上のエクスプロイトモジュールを用いたブラックボックスのペネトレーションテスト、クレデンシャルスタッフィングのシミュレーション、データ露出の検出など
- 実行時のWebアプリ脆弱性を見つけるための動的アプリケーションセキュリティテスト
- 未パッチのCVE、設定ミス、露出した資産を検出するためのアクティブな脆弱性スキャン
調査により、全セクターを通じて、クラウド資産の14%、APIの21%、Webアプリの20%が侵害され得る脆弱性を抱えていたことが明らかになった。同社は、後者2つのカテゴリは、シャドーITやサードパーティ統合により「導入は容易だが統制は難しい」ため、より脆弱になりやすいと主張した。
しかし、首位となったのは教育分野で、資産のほぼ3分の1(31%)が脆弱と分類され、APIでは38%、Webアプリでは35%に上った。
CyCognitoは、その原因を「デジタル導入の拡大、限られたセキュリティ投資、そして広範に拡散したインフラ」にあるとした。
上位5位を締めくくったのは、プロフェッショナルサービス(28%)、小売(27%)、政府(26%)、メディア(21%)だった。
教育分野におけるサイバー攻撃について詳しく読む:英国の教育分野の73%が過去5年間にサイバー攻撃を受けた
「注目すべきことに、これら各業界はそれぞれ固有のリスク特性を持っています。教育では、管理が不十分で旧式のシステムに機微な個人データが集中していることがしばしば問題になります。小売では、相互接続されたベンダーやECプラットフォームへの依存が攻撃対象領域を拡大することが多いのです」と、CyCognitoのデータサイエンティストであるゾハル・ヴェントゥレロ氏は述べた。
「政府システムでは、レガシー技術と公開されたサービスの組み合わせが脆弱性のポイントを生み出すことがよくあります。プロフェッショナルサービスは、顧客ごとの環境と資産の拡散により、露出が複合的に増大します。そしてメディアは、公開スピードを重視するあまりガバナンスが追いつかず、APIやCMSプラットフォームが繰り返し弱点となります。」
コンテキストが極めて重要
こうした露出を効果的に管理するには、組織は、誰がその資産を所有しているのか、その資産が何をするのか、そしてより広いネットワークの文脈で攻撃者がそれをどう見ているのかというコンテキストを理解しなければならない、とヴェントゥレロ氏は続けた。
「書面上では、2つの業界が、1つ以上の資産タイプにおいて同程度の脆弱性割合を示すことがありますが、それらが引き起こし得る被害の種類は大きく異なります。例えば、露出した大学のアプリが膨大な個人識別情報(PII)を漏えいさせ、評判の失墜、規制違反、世論の反発を招く可能性があります」と彼女は説明した。
「それが深刻であるのと同様に、その影響は、通信や政府ネットワークにある脆弱なエッジデバイスによってかすんでしまうかもしれません。そこでは、悪用が横方向移動、権限昇格、長期潜伏型の攻撃のための足掛かりとなり、重要インフラを内側から静かに侵害することになり得るのです。」
翻訳元: https://www.infosecurity-magazine.com/news/education-sector-most-exposed-to/
