サイバーセキュリティプログラムに真の変化をもたらし、2021年の予算計画を改善する可能性があると思われる、必携のオンラインセキュリティツールのセットです。
9月、ガートナーは「2020年のセキュリティとリスクのトレンドトップ9」のリストを発表し、現代の脅威の状況が複雑化し、規模が大きくなっていることを強調しました。
外部からの攻撃面の不完全な可視化により、2020年には悲惨な侵害やデータ漏洩が劇的に増加し、何百万人もの犠牲者のPIIやその他の機密データが危険にさらされることになりました。これらのインシデントは、悪意のある国家権力者やAPTハッキンググループによる巧妙な侵入、人為的なミス、そして機密データを含む保護されていないクラウドストレージやデータベースをインターネットに公開する広範な誤設定に起因しています。
ガートナーのセキュリティアナリストは、サイバーセキュリティのスキル不足が続く中、面倒なセキュリティ作業やプロセスを自動化し、新たに出現するクラウドやコンテナのセキュリティリスクに迅速に対応することを推奨しています。
また、ガートナーは、厳しい罰金やその他の制裁を回避するために、プライバシーや規制要件に特別な注意を払い、組織の規模にかかわらず、組織内でゼロトラストモデルの導入を開始することを推奨しています。
渦巻くパンデミックは、世界中の多くの組織や企業に壊滅的な影響をもたらしましたが、ほとんどの企業は無秩序に、影響を受けないデジタル空間にビジネスプロセスを移行しようとしたり、移動させたりしていました。しかし、ほとんどのサイバーセキュリティ予算は、全体的な景気後退の付随的な影響としても打撃を受けました。縮小した予算は、当然のことながら、微妙なプロセスのセキュリティとプライバシーの成分を完全に無視することで、ストレスの多いデジタルトランスフォーメーションを悪化させました。
それにもかかわらず、サイバースセキュリティの支出は2021年には回復し、再び急増すると予測されており、疲れ果てたCISOとそのITセキュリティチームに安堵感を与えています。それまでの間に、サイバーセキュリティプログラムや2021年の予算計画に大きな違いをもたらすと思われる無料のセキュリティツールを紹介したいと思います。
先週、アプリケーションセキュリティ会社のImmuniWebは、無料で利用できるCommunity Editionのメジャーアップデートを発表しました。これは、ガートナーが言及した多くのセキュリティとプライバシーの優先事項を十分にカバーする4つの無料セキュリティテストを提供し、また、セキュリティインシデントや企業を標的とした外部サイバー脅威を監視するための強力な機能を提供しています。
我々はすでに、RSA 2020 Conferenceの直後に、最も革新的なサイバーセキュリティベンダーの1つであるImmuniWebについて書いています。それ以来、同社は多くの方向性と我々が監視する情報セキュリティ分野で目覚ましい進歩を遂げているようです。私たちは、ImmuniWeb Community Editionをテストすることにしたので、まだ使い慣れていない方は今すぐ試すことをお勧めします。
Website Security and Compliance Test
特定のユースケースでは、この Webサイトセキュリティテストは、商用の Web 脆弱性スキャナーの代わりになるかもしれません。驚くべきことに、この無料のテストは非侵入的であり、本番環境でも安全です。
ImmuniWebによると、ソフトウェア構成分析(SCA)モジュールには、オープンソースのWordPressやDrupalから、MicrosoftやOracleによるプロプライエタリなWeb製品や商用Web製品に至るまで、多様なWebソフトウェアの広範なデータベースがあるとのことです。SCAモジュールには、300以上のCMSやWebフレームワーク、16万個のプラグインや拡張機能、8,900個のJavaScriptライブラリが含まれていると報告されています。また、埋め込まれた脆弱性データベースは12,000件以上のCVE脆弱性をカバーしています。
ウェブアプリケーションの脆弱性や欠落したソフトウェアの更新に加えて、無料のテストでは、ウェブサイトの構成がGDPRとPCI DSSの特定の要件に準拠しているかどうかをさらにチェックします。
1回のテストでは、あなたのウェブサイトのセキュリティを強化し、ウェブサーバーの回復力を向上させ、適用されるプライバシーとコンプライアンス要件を強化する方法についての包括的な画像を同時に取得します。
Dark Web Exposure and Phishing Detection Test
脅威アナリストやブルーチームが、ダークウェブでの議論や、組織や主要なサプライヤーが関与する盗難データの販売オファーなど、進行中のセキュリティインシデントの可視性を強化したいと考えている場合には、無料で利用できる貴重なツールのようです。
法律上およびプライバシー上の理由から、無料テストでは、盗まれた平文パスワードや侵害されたデータベースの完全なコピーなど、インシデントの詳細は公開されません。しかし、十分に詳細で測定可能な概要は、Dark Web モニタリング ソリューションに投資する前の意思決定プロセスをサポートし、強化するためにすぐに利用できます。
包括的なダークウェブのスナップショットと同様に、Pastebin のリーク、進行中のフィッシングキャンペーン、ドメインスクワット(サイバースクワットとタイポスクワット)、そしてソーシャルネットワークの偽アカウントまでもが、あなたのアイデンティティの簒奪に利用されているという、かなり良い概要が得られます。
この便利な無料ツールをサードパーティ・リスク管理(TPRM)プログラムに使用することで、機密データへの特権的なアクセスを持つ外部のベンダーやサプライヤーを評価することをお勧めします。
Mobile App Security and Privacy Test
この無料のモバイルセキュリティテストは、今ではGoogle Playの上にある異なるパブリックApp Storeから直接モバイルアプリをダウンロードすることができ、さらにCydiaが含まれているので、iOSデバイスの脱獄ユーザーはまた、プライバシーとセキュリティ上の懸念のために彼らのモバイルアプリをテストすることができます。
モバイルテストは、動的(DAST)と静的(SAST)の両方のモバイルアプリのスキャンを実行し、モバイルの脆弱性と弱点の幅広いスペクトルに光を当てます。このスキャンは、OWASP モバイルのトップ 10 のリスクと、OWASP モバイルセキュリティテストガイド(MSTG)プロジェクトで言及されているいくつかの特定のセキュリ ティ問題をカバーしています。
モバイルアプリのプライバシーに特別な注意が払われています。テストしたアプリケーション、モバイルアプリがデータを送信する外部のウェブホストとサーバーから要求された許可の包括的なリストが表示されます。内蔵のソフトウェア構成分析(SCA)モジュールは、モバイルアプリで使用されているサードパーティ製およびネイティブライブラリを表示します。
重要なことは、その非侵入的な性質のため、無料のモバイルスキャナは、APIやWebサービスなどのモバイルエンドポイントテストをカバーしていないことです。
SSL Security and Compliance Test
多くの競合サービスとは異なり、この無料の SSL セキュリティテストでは、普遍的な HTTPS だけでなく、電子メールサーバや SSL VPN を含むあらゆる TLS 暗号化の実装をテストすることができます。
メールサーバについては、テストはまた、今日のメールセキュリティのための事実上の最も一般的なベストプラクティスである適切に設定されたSPF、DMARC、およびDKIMをチェックします。
これに加えて、テストは自動的にサブドメインの迅速な自動検出をタイムリーに実行し、メインの "www "ウェブサイトだけではなく、注意が必要であることを皆に思い出させます。
このテストは、Heartbleed、ROBOT、BEAST、POODLE、および転送中のデータの傍受や復号化を可能にする可能性のある他の多くの欠陥を含む、現在知られているすべてのSSL/TLS実装または暗号化の脆弱性を綿密に通過します。
もう一つの大きな利点は、TLS 構成を PCI DSS、NIST、および HIPAA の特定の要件にマッピングすることで、暗号化強度が規制要件を適切に満たしているかどうかを検証し、コンプライアンス違反に対するペナルティを回避することができます。
すべてのテストは更新することができ、無料のアカウントを作成した場合には、PDF 文書としてダウンロードすることができ るので、社内で共有したり、顧客と共有したりして、顧客のデータセキュリティを重視していることを証明することができます。
適切に強化された HTTPS と安全な Web サイトは、E コマースビジネスにとって説得力のある競争上の優位性となります。特に、ブラックフライデーの大量ハッキング・キャンペーンでは、知らず知らずのオンライン買い物客の財布を空にするという不気味なハッキングの話が出ています。
ImmuniWeb Community Editionをテストしている間、私たちは特に彼らの技術サポートの対応に感謝していました:私たちはテストの1つにいくつかの小さなバグを発見したが、翌朝にはすぐに修正されていました。
私たちに送られてきたメールの中で、ImmuniWebは、成長を続ける利用者の声に耳を傾け、受け取ったフィードバックや提案に基づいてコミュニティ版を継続的に改善していくことに熱心であると述べています。ウェブインタフェースを使用して直接メッセージを送ることができ、今では毎日10万以上のテストを実行している素晴らしいコミュニティの一員になることができます。
ImmuniWeb Community Editionの無料テストは、APIまたはWebインターフェースを介してアクセスすることができます。
1日に大量のテストを実行したい組織や、商用目的でImmuniWeb Community Editionの技術的な能力を活用したいサイバーセキュリティベンダーのために、オンラインで購入できるプレミアムAPIもあります。
ImmuniWebチームは非常にクールで素晴らしいことをしていると思います。2021年の彼らの成長と発展に期待しています。