DE{CODE}: 世界的なサイバー攻撃の増加の中で WordPress サイトを安全に保つ

公開: 2023-02-12

Web サイトをロックダウンする方法に関するこのセキュリティ固有のセッションで、WP Engine と Cloudflare の専門家に参加してください。 このディスカッションでは、最近のサイバー攻撃の傾向と、WP Engine がサイトを保護する方法の具体例を取り上げます。 開発者は、サイトを保護するために実行する手順の明確なチェックリストを持って立ち去ります.

ビデオ: グローバルなサイバー攻撃の増加の中で WordPress サイトを安全に保つ

セッションスライド

グローバルなサイバー攻撃の増加の中で WordPress サイトを安全に保つ.pdf from WP Engine

全文トランスクリプト

ERIC JONES : DE{CODE} へようこそ。すばらしいブレイクアウト セッションになると約束されているセッションに参加していただき、ありがとうございます。 私の名前は Eric Jones です。ここ WP Engine のコーポレート マーケティング担当副社長です。 本日、Cloudflare の最高セキュリティ責任者である Joe Sullivan と WP Engine のセキュリティ担当副社長である Brent Stackhouse との間で行われるこのディスカッションのモデレートを行うことができ、非常に興奮しています。

サイバー攻撃が増加しているだけでなく、常に記録破りの高さであることを考えると、私たちのディスカッション「Keeping Your WordPress Sites Safe Amid A Rise in Global Cyber​​security Attacks」は、これ以上タイムリーではありません. ジョー、あなたから始めませんか? 幅広いマクロの視点から、サイバーセキュリティの状況にどのような傾向が見られるかをお聞きしたいと思います.

ジョー・サリバン:もちろん。 喜んで参加させていただきます。この会話に招待していただきありがとうございます。 私もとても楽しみにしています。 現在、セキュリティの世界には 2 つのメガトレンドがあると思います。 第一に、世界の目にはそれがはるかに重要であるということです。

したがって、技術的な側面と、日々直面する実際の課題に入る前に、ブレントと私がこの職業に就いて以来、セキュリティの世界がどれだけ進化したかを見てみる価値があります。あなたは何十年も前に言った。

セキュリティは、もはや組織の片隅にあるチームや概念ではありません。 それは私たちが行うすべての中心です。 CEOは責任を問われています。 取締役会は難しい質問をしています。 ベンチャーキャピタリストは、適切なレベルの投資が見られない限り、貢献しません。

さらに重要なことは、当社の顧客、消費者、および当社製品の企業バイヤーが、当社に対してより多くのことを求めていることです。 そして、それが私にとって最も重要なトレンドであり、私たちがこの会話をしている理由です. 仕事のあらゆる面で、すべての開発者にとって重要です。

セキュリティの世界で実際に何が起こっているかというと、簡単なことではありません。 そして、課題は私たちに迫り続けています。 見出しに注意を払っている場合は、ランサムウェアの台頭の最後の少しだけを見てきました。 本当に怖いです。

ランサムウェアは、一部のデータを盗んだり、何かを世界に公開したりすることから、ビジネスを閉鎖することまで行ったため、セキュリティの面で状況を一変させました。 そのため、セキュリティの重要性に関する概念全体が、そのリスク、つまり、朝起きてラップトップの電源を入れられず、Web サイトを実行できないという考えによって拡大されました。 それは本当に怖いです。

地政学的な事柄も、私たち全員に実際に影響を与え始めています。 ウクライナの状況は物理的な世界にとどまりません。 現在、それはサイバー コンテキストに重くのしかかっています。 そして、それは私たちの残りの部分に影響を与えるために波及しています. したがって、物理的な世界で起こっている地政学的な出来事は、インターネット上でビジネスを運営しようとしている私たちにとって技術的な意味を持っています.

そして、技術的な観点から言及する 3 番目のことは、私たちは独自のコードの世界に住んでいないということです。 私たちは、ソフトウェアとコードが融合して組織を表す世界に住んでいます。

そのため、セキュリティでは、サプライ チェーンという用語を使用して、他のすべてのコードや他のアプリケーション、および企業としてのアイデンティティの一部となるすべてのものについて話します。 たとえば、最近 Okta が侵害されたという話があったとき、それは Okta が侵害されたかどうかだけの問題ではありませんでした。 それは、私の会社と Okta を使用している他のすべての会社が侵害されているかどうかという問題でした。

そして、私の顧客は Okta を気にしませんでした。 彼らは私たちの使用を気にかけ、Okta が危険にさらされるリスクを軽減するためにどのような制御を行っていましたか? そのため、現在多くのことが起こっています。 そして、この会話をする良い機会です。

ERIC JONES: ジョー、フォローアップの質問として、あなたが抱えている、そしてすべてのセキュリティ組織が抱えている特定の課題すべての優先順位付けについて、どのように考えていますか?

ジョー・サリバン: 承知しました。 それが究極の問いだと思います。 予算に制限がなく、その仕事を行える人員に制限がなければ、すべてを行うことができました。 しかし、それは組織の発展のどの段階においても現実ではありません。

そのため、私たちは常に優先順位付けの過程にいます。 ですから、私が言いたいのは、まず基本を優先する必要があるということです。 妥協の大部分が基本的な失敗から来ていることは衝撃的です.

セキュリティの専門家として、私たちはゼロデイ攻撃や O デイ攻撃を掘り下げて、この非常に複雑なことを調べるのが大好きです。 しかし、90% の確率で、侵害はフィッシング メールや、侵害された個人の Web サイトで使用したものと同じパスワードを使用することを選択した誰かが、多要素認証を有効にしなかったことが原因です。

多くの場合、実際には基本的なことをうまく行うためのツールがありますが、それらを実装する時間はありません。

ERIC JONES: ええ、セキュリティの重要なポイントに到達していると思いますよね? それは私たち全員が責任を負うものです。 これは、組織全体で共有される責任です。 セキュリティ チーム内だけに存在するわけではありません。 特定の会社のすべての従業員と一緒に住んでいます。

Brent さん、WordPress の観点から、WordPress の何が同じで、何が違うのでしょうか? また、世界で見られる脆弱性の最大のポイントは何ですか?

BRENT STACKHOUSE : エリック、招待してくれてありがとう。 ジョーとの時間を共有してください。 彼はたくさんのことを知っています。 私たちはブロックを数回回っています。 だからこれは魅力的です。

多くの点で WordPress – ニュースは、WordPress Core が WordPress エコシステム内のすべてのプラグインやテーマ、その他のものと差別化されているという意味で、一般的に良いものです。 WordPress Core は、一般的な攻撃に対して引き続き堅牢で回復力があります。

したがって、WordPress 自体は優れた安定した強力なプラットフォームであり、顧客は一般的に、ほぼすべてのコンテキストで快適に使用できるはずです. 課題は主にプラグイン側にあり、wordpress.org またはそれらのコア開発者は、ほとんどのプラグインやテーマとは一般的に何の関係もありません。

コード品質のばらつきは、Google の Play ストアなどで入手できるアプリと同様に、先ほど言ったように、Google によって作成されたものではありません。 それらは WordPress によって作成されたものではなく、これらのプラグインとテーマであり、単一の開発者からチームまで、あらゆる可能性があります。 これらのプラグインまたはテーマのフットプリントは、非常に小さいものから非常に大きいものまであります。 彼らは、物事に迅速にパッチを当てるかどうかの良い歴史を持っているかもしれません.

そして、それは依存します。 したがって、WordPress の人気が高まり、エコシステムの人気が高まるにつれて、一般的に Windows が Mac よりも多くのマルウェアを持っているのと同様に、攻撃者はお金のあるところに行くので、攻撃者はその取り組みを強化し続けると推測できます。 それはフットプリントがそこにあり、そこにお金があるからです。

したがって、WordPress も例外ではありません。WordPress の人気が高まるにつれ、攻撃者も同じことを続けることが予想されます。 幸いなことに、私が 4 年前に WP Engine を開始したときと比較して、エコシステムは大幅に健全になっています。

プラグインの開発者、テーマの開発者は、セキュリティ研究者や脆弱性に注目している他の人々から情報を得ることをより意識しています。 そして、彼らのほとんどは責任を持ってその筋肉を構築しているので、パッチを非常に迅速に好転させることができます.

そのため、物事は以前よりもはるかに優れています。 4 年前、脆弱性が発生したとき、多くの開発者は驚いていました。定期的なパッチ適用に関して、脆弱性は実際にはそれほど迅速ではなく、顧客のニーズを満たすことができませんでした。

テクノロジの消費者である私たちは皆、「パッチ チューズデー」や Apple からの定期的なアップデートなどを引用することに慣れています。 したがって、脆弱性について驚くことはありません。 しかし、そのベンダーが責任を持って迅速に何かにパッチを当てなかったとしたら、私たちは非常に驚くでしょう.

そのため、WordPress のエコシステムは一般的に、4 年前よりも健全になっていると思います。 繰り返しますが、WordPress Core は素晴らしいですが、プラグインとテーマは一般的に追いついていると思います. それはかなりポジティブです。

ERIC JONES: WordPress Core についてあなたが言ったことをダブルクリックすると、オープンソース ソフトウェアの性質そのものが、セキュリティに関する問題を解決するのに役立つ可能性があるのは何ですか? それは、何らかの形でオープンソース ソフトウェアが根本的に安全ではないという誤解や神話の 1 つだと思うからです。

BRENT STACKHOUSE: いい質問ですね。 そして、これに関するジョーの考えに興味があります。 そして、あなたにカーブを投げないように、エリック、しかし私は十分に年をとっています。 オープンソースが何を意味するかは、時間の経過とともにかなり変化してきました。

当時のオープンソースは、Apache、OpenSSH、Linux などの非常に有名なプロジェクトでした。を参照しています。

そして、ええ、たくさんの二次的、三次的、どんなに小さなプロジェクトでも、ほとんど維持されていないものなどがありました。私が思うに、オープンソースとは事実上 GitHub にあるものすべてであり、誰もが何かをそこに投稿することです。それ以外はつかむことができます。

あなたが話しているのはライブラリであり、誰でも言うことができる非常に小さなコードであり、その機能に基づいて見栄えがよく、それを組み込む予定です。 そして、ジョーがサプライチェーンの問題についてほのめかしたように、少し後で話します. サプライ チェーンのリスク軽減に関する開発者固有の課題については、少し後で説明します。

オープンソースだからです。WordPress についての Eric さんの質問を思い出します。 ソースが出ているのは素晴らしい。 多くの人がそれを見ています。 それは、Apache などの時代にも当てはまると思います。 広く使われているものは何でも、善人からも悪人からも精査されますが、それは良いことだと思います. あいまいさによるセキュリティは、決して良い習慣ではありません。 したがって、そこにコードがあることは素晴らしいことです。

しかし、オープンソースがクローズドよりも優れたセキュリティに匹敵するか、またはその逆かは、答えるのが難しい質問です。 文字通りリンゴとオレンジだからです。 チームとしての WordPress は、バグ報奨金プログラムの使用など、独自のインテリジェンス以外のインプットを使用して素晴らしい仕事をしたと思います。 WordPress Core は何年も前からそうしてきました。 賢いと思います。

彼らは間違いなく、無関係の研究者が彼らの発見を定期的に彼らに知らせています. そして、賢いチームはそれらの情報を取り入れて正しいことを行います。 彼らはペンテストを受けていると思います.

ジョー、それについて何か考えはありますか? 引き継いでごめんなさい、エリック、でも–

ERIC JONES: いいえ、完璧です。

ジョー・サリバン:あなたはハイポイントをたくさん打ったと思います。 オープンソース ソフトウェアについて考えるとき、どのようなソースからのソフトウェアについて考えるときでも、環境に導入する前に評価する必要があると思います。 また、プロプライエタリなソフトウェアよりも、オープン ソース ソフトウェアの方が適している場合もあります。 あなたが何を知っているので? 日光は感染を殺します。

そして、私たちが多くのオープンソース ソフトウェアを持っていることは、他の多くの人々もそれを見ているということです。 セキュリティの世界では、私たち全員が小さなチームやコーナーに座って、自分たちですべてを解決しようとしているというのは、一般的に十分にうまく行っていないことだと思います.

コミュニティを参加させることは良いことです。 特定のソフトウェアに関するリスクについての透明性と対話は良いことです。 そして、私たちはそれが上手になっています。 バグ報奨金プログラムのあなたの例は、透明性をもたらし、穴を開けるようにサード パーティを招待するもう 1 つの方法です。

オープン ソース ソフトウェアの中で最も使用され、最も重要な部分について話しているとき、多くの人がオープン ソース ソフトウェアに目を向けています。 しかし同じように、GitHub からいくつかのコードを取得して、実際に精査せずに自分の製品にドロップすることはしません。

また、プロプライエタリなソフトウェアのライセンスを購入する場合も、同じ注意を払う必要があると思います。 誰がそれを作っているのか、彼らがどのような実践を行っているのか、そしてそれがどれほど堅牢であるかを調べる必要があります。

BRENT STACKHOUSE: ええ、その多くは - これはリスクオタクの用語ですが - 保証に関するものです。 A、B、C を行うと、技術的な意味で、私たちが行っていることに対してどのような保証を得ることができますか。また、多くの保証は、クローズド ソースの状況によっては、取得するのがより困難になります。

オープンソースでは、コードをチェックアウトするために誰が何をしたかをより簡単に把握できます。 クローズドソースでは少しトリッキーです。 この会社が長年にわたって優れたセキュリティ慣行を行ってきたことなどを示す間接的なインプットを使用する必要があります。

しかし、ええ、保証を得るということは、結局のところ、一般的にどんなテクノロジーを使用して展開しているときにやろうとしていることです. ありがとう。

ERIC JONES: では、そこにいる開発者にとって、あなたが企業に求めている具体的な保証は何ですか? これらのプロジェクトやソフトウェアにこれらの機能が備わっている場合は、それらが優れていると見なされ、そうでない場合よりも少し安全であると見なされます。

BRENT STACKHOUSE: WordPress の回答が必要ですか? あなたが一般的に始めたいなら、私はジョーを手放します。

ERIC JONES: ええ、ジョー、もし広い視野を提供できれば、それからブレント、より具体的な WordPress の視点を提供できます。

JOE SULLIVAN: ええ、私が座っている場所から、私は購入者として、また販売者としてこの質問について考えています。なぜなら、私は人々が私たちの製品を実装しているCloudflareで働いているからです。 そして、Cloudflare を実装する前に Cloudflare の顧客が抱く最大の質問は、Cloudflare を信頼すべきかということです。 私たちは彼らのビジネス全体の前に座っているからです。 そして、信頼しない限り、そこに誰かを置くのは本当に危険な場所です.

しかし、私たちも成長しており、製品を構築する必要があるため、サードパーティにも依存しています. そして、私は難しい質問を受ける側にいて、難しい質問をする側にいます。

そして、ほら、私たちの誰も、サードパーティと仕事をするたびに行って監査する時間やリソースを持っていません. 十分な人数のチームがありません。 スキルが設定されていません。 そこで、ここで重要な概念としてセキュリティ認証から始めます。

認定とは、SOC 2、WP Engine のような SOC 2 Type II、または ISO 27001、または PCI のようなものを意味します。 これらの言葉と認定を聞いたとき、サードパーティが認められた一連の基準を使用してその会社に入り、監査し、その分野のすべての管理を満たしているかどうかを評価したと考える必要があります.

Cloudflare には、共有できる SOC 2 Type II レポートがあります。 WP Engine には、共有できる SOC 2 Type II レポートがあります。 そして、私がタイプ II と言うときの良い点は、それが単なるポイント・イン・タイム監査ではなかったことを意味します。 長い期間でした。

たとえば、当社の SOC 2 Type II では、昨年、その認定が存在する期間中の任意の時点で、これらの最小限のセキュリティ制御に準拠していたことを意味します。 多くの場合、顧客にとってはそれで十分です。 たとえば、その会社は SOC 2 Type II を持っています。 わかりました、私は彼らを信頼します。

ただし、特定の実装に基づいて、もう少し深く掘り下げたい場合があります。 そのため、製品の購入を検討するときは、コードの品質だけでなく、コードが自分の環境にどのように統合されるかについても考えます。

そのため、私にとって非常に重要なのは認証です。 これをシングル サインオンと統合して、組織内外の誰がアクセスできるかを管理できますか? 前述したように、セキュリティの問題の大部分はそこから発生するからです。

そのため、WP Engine のような製品を選択して、それを SSO と統合し、多くの実践的な作業を行うことなくツールを介してセキュリティを実行できるようにする必要があります。 したがって、私にとっては、認定と、特定の環境に必要な他のすべての組み合わせです。

ERIC JONES: そして、ブレント、質問をあなたに返しますが、WordPress の文脈でそれについてどう思いますか?

BRENT STACKHOUSE: ええ、それは素晴らしいことだと思います。 WordPress エコシステムの拡張、いわばプラグインとテーマの使用を検討している場合、ビジネス コンテキストまたはビジネス レイヤーから見ても、この特定のコード、プラグイン、またはテーマ? また、セキュリティ更新プログラムを含め、定期的に更新していることを変更ログで確認できますか?

これらは非常に質的な尺度またはインプットですが、それでも関連性があります。 通常、大きなフットプリントを持つプラグイン開発者またはテーマ開発者 (多くの顧客を抱えている) は、いわば、コードを適切に維持するかどうかに応じて、失うものと得るものを持っています。それをひっくり返したい。 したがって、一般的には、必要なものが何であれ、一般的な最も人気のあるものを使用することをお勧めします。

開発者レベルでは、いわばより多くの制御を適用できます。 特定のプラグインに対して静的アプリケーション セキュリティ ツールを使用できます。 他のセキュリティ研究者が発見していないことを発見できる可能性はありますか? おそらくそうではありませんが、ツールが何であれ、それらを実行することをお勧めします。 また、オープン ソースの無料ツールや、非常に低コストまたは無料のライセンスを持つ商用ツールも数多くあり、環境内で使用しているコードが何であれ、より良い保証を得ることができます。

ジョーが触れたことで、私も少しお話ししますが、WP Engine はコードの消費者であると同時にプロデューサーでもあるため、私たちはサービス プロバイダーでもあり、私たちのエンドツーエンドの開発努力。 そして、それは継続的な挑戦です。

したがって、WordPress サイトを運営している開発者にとっての 1 つのことは、できれば、リスクに関する組織の状況を認識しておく必要があるということです。 たとえば、彼らはどの業界に属していますか? 悪いことが起こっても、組織はどの程度の許容度を持っていますか? 特定のセクターや組織は、DDoS 攻撃などの影響をはるかに受けやすくなっています。

それを考えて、潜在的にそれらのことをコーディングすることは、DDoS に対してコーディングすることはできませんが、それを認識して表面化することは確かにできます。 正しいことをしている開発者にとって、それは非常に重要だと思います。

ERIC JONES: 少し話が変わりますが、Joe さん、高度なセキュリティの観点から非常に具体的な推奨事項を提供することを目標として、ウェブサイトの所有者がセキュリティを強化するために何をすることをお勧めしますか?

ジョー・サリバン: ええ、私の考えでは、1 オンスの予防は 1 ポンドの治療に値します。 そして、セキュリティのコンテキストでは、何かを構築しようとするのではなく、開始する前に使用する適切なツールとプラットフォームを選択することを意味します。次に、その上にセキュリティをブートストラップする方法を理解しましょう.

したがって、プラットフォームを選択するとき、ツールを選択するとき、コードを選択するときは、最初からセキュリティを念頭に置いて検討する必要があります。 ですから、私が言ったように、選択したツールを使用して自動的にセキュリティを確保できれば、人を雇わなければならない場合よりもはるかに有利な立場に立つことができます。一連の監査を行い、船が海を航行している間にすべてを修正しようとします。

そのようにパッチを当てることはできません。 そのため、私は常に、セキュリティの観点から、箱から出して何を得ることができるかを常に探しています。 私のためにそこにある設定は何ですか? セキュリティの基本を考えると、実際にはいくつかの分野しかないと思います。

私にとって最も重要なのは、常に ID とアクセスの管理です。 そのため、最初からシングル サインオンを統合する機能について説明しました。 私が会社を設立する場合、最初に選択することの 1 つは、組織に合わせて拡張できる適切なシングル サインオン設定です。 そして、私は常にそれと統合する製品を選択しようとします.

私が考える 2 番目のことは、OK、インターネットに面するコードの束を用意することです。 どうすればインターネットからの攻撃に耐えることができますか? ブレントは、サービス拒否攻撃について言及しました。

ロードバランサーを使用してすべてを管理し、Cloudflare のような製品を購入する方法を個人的に把握する必要がありますか? それとも、セキュリティについて考える必要がないように、購入しているプラ​​ットフォームに組み込まれていますか? 私はそれがすでに組み込まれていることを知っています。 そのため、従業員と ID およびアクセス管理、インターネットに接続するコードを入念に調べました。

そして、3 番目の柱と同様に、ここではあまり話していませんが、ラップトップをどのようにセットアップするかなどです。

ERIC JONES: そして、ブレント、おそらくあなたのところに行くかもしれませんが、WordPress 開発者が可能な限り最も安全なサイトを構築するために考えるべき具体的なことは何ですか?

BRENT STACKHOUSE: ええ、私の最初の反応は、それは面白いということです。 私たちが話していることの多くは、いつ構築するか購入するかに関する決定です。 独自のプラグインを構築し、WordPress エコシステムを拡張するためにやりたいことをすべて構築しますか? それともタダでもいわば買うつもりですか?

しかし、これはジョーと私にも当てはまると思います。つまり、GitHub やその他のメカニズムを介して他の人々のコードを使用し、おそらく開発者を雇ってすべてをゼロから行うことができるという意味です。 または、他の誰かがすでに行っていることを使用することもできます。

ホイールを再作成する必要がないのに、なぜ再作成するのでしょうか? では、使用しているコードが適切な状態にあるという保証を得るにはどうすればよいでしょうか? 具体的に WordPress に話を戻すと、いくつかのことがあると思います。これは、開発者にとってはおそらく常識ですが、とにかく言いましょう。 コーディングするときは、安全にコーディングしてください。つまり、何をしようとしているのかを理解してください。 やろうとしていることを、関数のいずれか、またはそのすべての種類の観点から制限するようにしてください。

ただし、OWASP トップ 10 を念頭に置いてください。 OWASP Top 10 は、おそらく視聴者にはよく知られています。 しかし、繰り返しになりますが、Joe が以前にほのめかしたように、基本は重要であり、開発者にとっての基本には OWASP Top 10 が確実に含まれます。

そして、私が言及した静的アプリケーション セキュリティ ツールの 1 つを使用します。これは、展開前または展開中に非常に優れています。 いわば、自動的にそれを行うことができます。 また、カスタム コードを開発している場合は、送信するコードが実際に非常に良好な状態であること、および独自のコードに既知の明らかな脆弱性がないことを確認してください。

3 つ目は、先ほどお話ししたサプライ チェーンの問題に関連しています。 また、GitHub には、アップストリームの依存関係に既知の脆弱性がある場合に実際に通知できる無料の関数がいくつかあります。 したがって、依存ボットである Dependabot は GitHub が提供する優れた機能であり、リポジトリで必ず有効にする必要があります。 また、実際に PR を自動的に作成することもできます。 そして、上流の依存関係に少なくとも既知の脆弱性がないようにする必要があると思われる場合は、それをマージするオプションがあります。

おそらくすべてのコードには出荷時でさえバグがあり、そのサブセットはおそらくセキュリティ バグですが、少なくとも、Joe が以前にほのめかした明らかな課題を回避する必要があります。 明らかなことを見逃しているので、私たちは新聞に載りたくありません。 たとえば、パッチを適用する必要があります。 ええ、これらは、いわば、開発者が自分自身を火から守るために心に留めておくことができると私が思う3つのことです.

ERIC JONES: お二人への質問だと思いますが、今のところあまり注目されていないことで、急上昇しているのを見ているものは何ですか? そして、人々、開発者、ウェブサイトの所有者が考えるべきで、今は考えていないことは何ですか? そして、それはあなたのどちらかに開かれた質問です.

BRENT STACKHOUSE: そうですね、Joe が Okta のことについて以前に答えたので、飛び入りしたいと思います。 その特定のグループ–これは興味深いです。 だから私たちはすでにそれを見てきました。 ですから、これがほとんどパイクを下っているとは言えません。

しかし、Okta を爆発させたグループや、このポッドキャストやこのインタビューで必ずしも言及する必要のない他の有名企業も、彼らは主に非常に興味深いソーシャル エンジニアリング手法を使用しており、技術的な攻撃はまったく使用していません。

そのため、開発者はこの種の攻撃を受けにくいのかもしれません。 それは、組織とその開発者がどこに位置するかによって異なります。しかし、特定の組織の IT スタッフまたはアセットにアクセスできる人として行動している人は、ソーシャル エンジニアリング攻撃の標的になる可能性が非常に高いのは確かです。

技術的に修正することはできないため、これについては話したくありません。 しかし、正直なところ、人間は引き続き弱点です。 外部からの攻撃を意味するように、正面玄関を通り抜けることは、多くの場合、技術的に困難であり、攻撃者にとってより多くの作業を伴います。 また、ソーシャル エンジニアリング攻撃を受けることもあります。 フィッシングは、媒体を問わず非常に効果的です。

ですから、それはまだ挑戦であることが証明されていることだと思います。 そして、組織はおそらく、本来あるべきほど多くの時間をそのことに集中していません。

JOE SULLIVAN: ええ、Brent が少し違う声で言ったことを別の言い方をすれば、次のセキュリティ問題を予測しようとして、開発者が水晶玉に多くの時間を費やしてほしくない、ということだと思います。 基本をしっかりと身につけることが何よりも大切です。

そして、それらの基本は、それが何であれ、次の大きなことのほとんどを処理します. 一例として、ランサムウェアの出現に関して根本的な変化があったと述べました。 サイバー犯罪がこれまでにないほどの方法で企業を停止させました。

しかし、ランサムウェアをブロックする製品を買いに行くわけではありません。 戻って、以前の脅威に対処するためにすでに行っているはずだったのとまったく同じことを行います。 ランサムウェアとは? これは、環境に配置される悪意のあるソフトウェアです。

侵入者があなたの環境に侵入するときはいつでも、それは悪いことです。 したがって、私たちには権利があります。境界に焦点を合わせ続け、従業員やコードが侵害されないようにすれば、ランサムウェアに対処する必要はありません。

そのため、次のランサムウェアがどのようなものかを黙って心配するのではなく、基本的なことに集中してください。 そして、セキュリティの世界にいる残りの私たちに、将来について推測させてください.

ERIC JONES: ジョーとブレント、今日はあなたの視点、時間、アドバイスに感謝します。 ファンダメンタルズを正しくすること、透明性の重要性、保険の観点から何を探すべきかなど、考えることがたくさんあります。

そしておそらく最も重要なことは、セキュリティは決して後付けであってはならないということです。 最初から組み込む必要があります。 WP Engine または Cloudflare のセキュリティ サービスについて詳しく知りたい場合は、ぜひ当社の Web サイトをチェックしてください。 そしてもちろん、WP Engine では、特定の WordPress の観点に興味がある場合は、リソース センターで誰でも利用できる豊富なセキュリティ情報を用意しています。 繰り返しになりますが、本日ご参加いただいたすべての皆様、お時間を割いていただき、またご参加いただきありがとうございました。