アプリケーションにおける検知と対応(ADR)の事例

 

著者について

Jeff Williamsは、Contrast Securityの共同創業者兼CTOとして、20年以上にわたりセキュリティリーダーシップの経験があります。それ以前は、EYに買収された革新的なアプリケーションセキュリティコンサルティング会社であるAspect Securityの共同設立者兼CEOを務めました。また、JeffはOWASPの創設者であり、主要な貢献者でもあります。OWASPでは10年間グローバル会長を務め、OWASPトップ10をはじめ、人気のあるオープンソースライブラリやツールをいくつか作成しました。Jeff は、PCI Council、NIST、OASIS、CycloneDX、OWASP Foundation、Eclipse Foundation、および多くの企業や機関に対してアプリケーションセキュリティのアドバイザーを務めています。Jeffはバージニア大学で学士号、ジョージメイソン大学で修士号、ジョージタウン大学で法学博士号を取得しています。

なぜアプリケーションやAPIは侵害され続けるのでしょうか？

私は20年以上にわたり、防衛システム、選挙システム、金融、公益事業、航空会社など、様々な分野でアプリケーションセキュリティ(AppSec)に携わってきました。また、NSAの国立暗号大学(National Cryptologic School)で教鞭をとり、OWASPトップ10を作成し、何百もの大企業の重要なアプリケーションに対して手動による侵入テストやコードレビューも行ってきました。

経験上、安全なコードを一貫して書きづづけることがいかに難しいか、私はよく知っています。私がOWASPトップ10を作成してから22年が経ちますが、私たちの進歩は氷河期のようです。平均的なアプリケーションには、カスタムコードとライブラリの両方に数十件の深刻な脆弱性があります。中にはさらに多くの脆弱性があるものもあります。ソフトウェアの脆弱性の蔓延を改善できなかったことに、私は非常に失望しています。

多くの人が、ソフトウェアにビジネスの成功を賭けているかもしれません。そして、その賭けは安全なコードを書くための「シフトレフト」の取り組みの成功にかかっています。私はキャリアの大半を同じような考え方で過ごしてきました。残念なことに、これは非常にリスクの高い賭けであり、例え最も最先端のAppSecプログラムがある企業でさえもこの賭けに負けているということが見えてきました。

このような厳しい状況では、Web攻撃に対する優れた保護が絶対に必要です。ただ残念なことに、1990年代後半にWebアプリケーションファイアウォール(WAF)が登場して以来、基本的に進歩がありません。プロトコル、データ構造、アーキテクチャにおいて飛躍的な革新があったにもかかわらず、数十年にわたる大規模な技術革新の中で、WebアプリケーションとAPI(アプリケーションプログラミングインターフェイス)の防御が停滞しているとは想像しがたいですが、これが現実です。攻撃をブロックするWAFさえも備えていない組織がほとんどです。WAFは、ただノイズのようなアラートを生成するだけで、運用担当には無視されます。

スタックの他のすべての層は、ネットワークトラフィックにセキュリティを適用する境界デバイスによる対策から、より柔軟な対策へと移行しています。サイバーセキュリティの他の分野では、XDR、EDR、NDR、CDR、SDR、SIEM、SOAR、CNAPPなど「検知と対応」のアプローチへ移行しており、エージェント、リアルタイムテレメトリ、高度なデータ分析技術を使用して異常な動作を特定しています。しかしアプリケーションセキュリティにおけるしかし、運用段階におけるアプリケーションセキュリティは石器時代のような状況であり、映画「エイリアン」に登場するシガニー・ウィーバーが近接探知機にしがみつくように、運用担当はいまだにWAFに固執しています。

このホワイトペーパーでは、企業の安全を守るために必要なADR(アプリケーションにおける検知と対応)の戦略とテクノロジについてご説明します。

なぜ本番環境と運用でアプリケーションやAPIを保護する必要があるのでしょうか？

アプリケーション層は、現代のビジネス運営とセキュリティにとって欠かせない要素です。アプリケーション層は、現代のビジネス運営とセキュリティにとって欠かせない要素です。しかし、この重要なアプリケーション層が、サイバー犯罪者にとってますます魅力的な標的になっています。2024年のVerizonのデータ漏洩/侵害調査報告書(DBIR)¹では、WebアプリケーションとAPIの侵害が攻撃ベクトルのトップ3に入っており、またWebアプリケーションの脅威ベクトルは、ランサムウェアのインストールにおいてトップ2に入っています。にもかかわらず、アプリケーション層は依然として十分に保護されていません。

アプリケーション層の保護の複雑さは、いくら強調してもしすぎることはありません。今日のアプリケーションは動的で、何十ものリポジトリ、何百ものライブラリ、多くのAPIやマイクロサービス、サーバレス機能、コンテナなどで構成され、マルチクラウド環境にデプロイされています。これらの要素が組み合わさることによって、脆弱性が生まれる可能性が高まります。Ponemon²によると、企業は拡大し続けるAppSecの脆弱性バックログを抱えており、アプリケーションとAPIの脆弱性はすでに平均して数十万件に達している。現代のアプリケーション開発における変化の量と速度は、この課題をさらに悪化させ、従来のセキュリティ対策で対応するには困難になっています。

従来、AppSecの領域は、開発者やエンジニア、そして専任のAppSec担当者に委ねられていました。一方、その他のセキュリティ監視はセキュリティ運用(SecOps)部門が行なっています。今こそ、アプリケーションとAPIのセキュリティ可視化を民主化し、共有責任を促し、運用部門の効率を向上させるべきです。

このホワイトペーパーでは、本番環境と運用において不十分なAppSecという緊急の課題について考察します。既存のソリューションの限界について深く掘り下げ、より包括的なアプローチの必要性を強調しています。そして、AppSecに対する継続的な保護とリアルタイムの可視性を提供するために設計された、ADR(アプリケーションにおける検知と対応)と呼ぶ画期的な手法を紹介します。ADRは、従来のセキュリティ対策が残した隙間を埋め、組織のサイバーセキュリティ戦略においてアプリケーション層が盲点にならないようにします。

AppSecにおける現在の検知と対応：従来の3つのAppSec対策が不十分な理由

現在、企業には、本番環境におけるAppSecインシデントの検知・対応について、3つの選択肢があります。そのうちの2つの選択肢である、WAFとセキュアなソフトウェア開発は、2000年代初頭に登場しましたが、どちらも現代のアプリケーションが本番環境で直面する脅威の全ての範囲に対処するために設計されたものではありません。3つ目の選択肢である、XDR(拡張検知・対応)やCNAPP(クラウドネイティブアプリケーション保護プラットフォーム)などの最新のツールは、アプリケーション層をカバーしていません。その結果、組織はアプリケーションの挙動をリアルタイムで把握できず、進行中の脅威を見逃し、効果的に対応することができません。

1. WAFは、既知の脅威に対する単純な攻撃をブロックするのに役立ちますが、重大な制限があります。WAFは境界で動作し、送受信トラフィックを検査して悪意のあるパターンを特定します。しかし、WAFはアプリケーション内部の動きを可視化できないため、攻撃を正確に検知することができません。この弱点のために、WAFは検知漏れと過剰なブロックの両方で悪名高いものとなっています。また、WAFには広範な調整やメンテナンスも必要です。誤検知による大量のアラートがセキュリティ部門に負担をかける一方で、本当に危険なのは、多くの実際の攻撃が検知されずにWAFをすり抜けてしまうことです。
2. 従来のセキュリティ運用ツールは非常に便利ですが、AppSecに対する可視性が欠けています。このようなツールには、XDR、EDR(エンドポイントにおける検知と対応)、NDR(ネットワークにおける検知と対応)、CDR(クラウドにおける検知と対応)、SIEM(セキュリティ情報/イベント管理)、SOAR(セキュリティのオーケストレーションと自動化による対応)、CNAPPなどがあります。これらのツールの有効性は、センサーやログファイルから受け取るデータの品質と網羅性によって制限されます。これらのツールでは、インテグレーション機能やエージェントを使用して、ホスト、コンテナ、ネットワークデバイス、クラウド環境からログとイベントを収集します。しかし、どのセンサーもアプリケーションとAPIのセキュリティを可視化できないため、これらのツールはAppSecインシデントの検知と対応には役立ちません。
3. セキュアなソフトウェア開発は、ソフトウェアが本番環境に移行される前に、開発ライフサイクル中に脆弱性を検出して排除することを目的としています。これは理論的には良さそうに聞こえますが、静的(SAST)、動的(DAST)、オープンソースのソフトウェアコンポジション解析(SCA)ツールなどのASTツールは、脆弱性の特定には成功していますが、脆弱性の軽減や修正には至っていません。実際、OWASPトップ10が初めてリリースされてから20年間で、脆弱性の平均数は24.2件から43.6件に増加しています。SASTツールで見つかった脆弱性の対応/修復の平均時間(MTTR)は、現在290日³となっています。

これらの方法はいずれも、単独では十分ではありません。これらを組み合わせたとしても、今日の複雑なアプリケーション環境に必要な包括的な保護はできません。

CISO、AppSec部門、SOC(セキュリティオペレーションセンター)との議論では、ある共通のテーマが浮かび上がってきます。それは、組織がアプリケーションとAPIのセキュリティの盲点についてもっと知りたいと思い、盲点を埋めることができるソリューションを強く望んでいるということです。CISOは、アプリケーションレベルの脅威を把握して対応できないことに懸念を示し、現在のツールが不十分であることを認識しています。業界のリーダーたちの言葉は、この不足部分に取り組むことの緊急性と、この分野におけるイノベーションの必要性を強調しています。

例えば、あるCISOは次のように述べています：

「ネットワークとエンドポイントに対しては強固な防御策を講じていますが、アプリケーションに関しては、実質的に手探りで進んでいるような状態です。」

別のセキュリティ責任者は、次のように述べています：

「アプリケーション環境の複雑化が進む中、従来のセキュリティ対策ではもはや十分ではありません。より深い可視性と、より効果的な対応能力が必要です。」

ADRのご紹介

現代のアプリケーションの複雑さと相互接続性が増すにつれ、それらを標的とするサイバー脅威の巧妙さも増しています。従来のセキュリティ対策では、アプリケーション層で必要な可視性と保護を提供するには不十分であることが分かっています。幸いなことに、ADRという新しいセキュリティ技術が登場しました。

ADRは、アプリケーションとAPIに監視機能を組み込み、リアルタイムで脅威を保護、検知、対応できます。ADRは、ソフトウェアスタック全体のセキュリティ動作を継続的に可視化し、セキュリティインシデントを示す異常を特定します。そして、脅威を軽減するためのアクションを自動的に実行し、運用部門と開発部門にインシデントの詳細情報や対応策を含むデータを提供します。

ADRによりアプリケーション層内から直接、詳細なリアルタイムの可視性と保護が提供されることで、他の検知・対応ソリューションが残したAppSecの重大な空白を埋めることができます。セキュリティ担当は、他の攻撃ベクトルに対して様々な検知・対応の方法を導入しています。例えば、ユーザのノートパソコンなどのデバイスに対するEDR、クラウド環境での脅威に対するCDR、IDを監視するITDR(IDの脅威検知と対応)などです。セキュリティ担当は、これまでにも他の攻撃ベクトルに対応するために、様々な検知・対応の方法を導入してきました。しかしこれまで、アプリケーションの動作を直接監視して解析し、異常や脆弱性をリアルタイムで検出するものはありませんでした。

ADRを導入してこの不足を補うことで、攻撃者が組織のITインフラの主要部分でどのように行動しているかを追跡することができます。アプリケーションやAPIが組織の最も価値のあるデータに直結しているため、攻撃者はそれらを標的にするのです。ADRを利用すれば、アナリストは、攻撃の起点となるアプリケーションやAPIから横方向への展開を追跡し、侵入が永続的になる前に阻止することができます。この機能により、セキュリティ運用の担当者は横方向の動きを抑え、敵の滞留時間を短縮できます。このホワイトペーパーの後半では、ADRをXDR、SIEM、CNAPPプラットフォームと統合し、セキュリティ運用担当に「単一の管理画面」を提供するContrastのアプローチについて説明します。

ADRの活用事例

1. アプリケーション/APIの保護 — 運用担当は、アプリケーション/API層内の脆弱性が悪用されるのを事前に防ぐセキュリティ対策を展開する必要があります。ADRを使用することで、実行中のアプリケーション内に直接セキュリティ対策を組み込むことで、カスタムコード、フレームワーク、オープンソースライブラリ、アプリ/APIサーバ、ランタイムプラットフォームなどのアプリケーションスタック全体を保護できます。
   • 標準的なアプリケーションとAPIへの組み込み
   • Kubernetesオペレータを使用したクラスター全体への組み込み
2. アプリケーション/APIの検知 — 運用担当は、アプリケーション/APIの脅威を迅速かつ正確に検知できなければなりません。ADRを活用することで、高度なアルゴリズムを使用してアプリケーションを継続的に監視し、異常な動作をリアルタイムで検知できます。そして、確認されたセキュリティインシデントを迅速にトリアージするための豊富コンテキスト情報を含むアラートを即時に提供できるようになります。
   • アプリケーションの異常な動きにフラグを立て、モデル(XDR、SIEM、CNAPP)と関連付け
   • あらゆるHTTPリクエストの処理に関するセキュリティ構成図を即座に参照
   • 誤検知アラートを最小限に抑えた高精度な検知
3. アプリケーション/APIへの対応 — 運用担当は、特定された脅威に対して事前に定義された対応処理を迅速に実行できるよう、準備しておく必要があります。ADRにより、悪意のあるトラフィックの自動ブロック、侵害されたコンポーネントの隔離、セキュリティ担当へのインシデントの詳細情報を含めたセキュリティ担当への通知が可能になります。これにより、セキュリティインシデントを効果的に封じ込め、無効化することで、影響を最小限に抑え、アプリケーションの整合性を維持できます。
   • 既知の脆弱性(CVE)の悪用を防止
   • カスタムコードとライブラリの両方におけるゼロデイ脆弱性の悪用を防止
4. アプリケーション/APIのオブザーバビリティとコンプライアンスの確保 — 極めて複雑なアプリケーション層のセキュリティを管理するには、すべてがどのように機能するかの詳細なアーキテクチャが必要です。ADRは、すべてのアプリケーションとAPIの詳細なリアルタイムのセキュリティ構成図を自動的に生成し、それらが相互にどのように接続されているかを示します。このような構成図は、規制要件に準拠していることを確認し、組織全体で効果的なセキュリティガバナンスを実現するのに役立ちます。
   • 企業全体のアプリケーション層におけるセキュリティ活動を継続的に可視化
   • XDR、SIEM、SOAR、CNAPPとのシームレスな統合により、フルスペクトルのセキュリティを実現

2つのシナリオから見る： 安全でないデシリアライズのインシデント

現在、多くの企業で起きている実世界の状況について考えてみましょう。

ブラウザ内のJavaScriptユーザインターフェイスとデータを交換する、企業向けのWebアプリケーションを想像してみてください。開発者は、一般的なコーディングパターンに従い、ブラウザ内のデータオブジェクトをバイトストリームに「シリアライズ」し、それをWebアプリケーション内のオブジェクトに「デシリアライズ」しました。開発者は、安全でないデシリアライズの重大な脆弱性を意図せずに導入してしまったことに気づいていませんでした。この企業が従来使用していたSASTやDASTツールでは脆弱性を検出できなかったため、脆弱性を残したまま本番システムが稼働してしまいました。残念ながら、これは多くの組織でよくある出来事であり、その結果、「安全でないデシリアライズ」がOWASPトップ10に含まれることになっています。

ADR導入前

攻撃者はデシリアライズの脆弱性を利用して、サーバ上で任意のコードを実行するように設計されたペイロードを含む悪意のあるシリアライズされたオブジェクトを作成します。シリアライズされたオブジェクトがアプリケーションに到達すると、コードによって自動的にデシリアライズされます。このデシリアライズ処理の一環として、含まれているペイロードが実行され、攻撃者はサーバ上で任意のコードを実行できるようになります。つまり、サーバを完全に乗っ取ることができるのです。

残念なことに、この企業のWAFは攻撃がアプリケーションに到達するのを防ぐことができませんでした。WAFは、シリアライズされたオブジェクトの中身を見ることはできないため、悪意のあるペイロードが正当なユーザからの通常のトラフィックと異なることを識別できないのです。

さらに、この会社のEDR、XDR、SIEM、SOAR、CNAPPソリューションもこの攻撃を見逃してしまいました。これらのプラットフォームは、既知の攻撃パターンや異常がないか、エンドポイント、ネットワーク、ログを監視することに重点を置いています。シリアライズされたオブジェクト内の攻撃は、セキュリティプラットフォームからは見えません。なぜなら、攻撃はシリアライズされたデータに埋め込まれているため、この操作に関するログは何も記録されないからです。

サーバ上で任意のコードが実行できるようになったことで、攻撃者はさらなる行動を開始します。攻撃者は最初の足がかりを利用して内部ネットワークを探り、他の脆弱性や価値の高い標的を探します。そして、侵害したサーバを利用してネットワーク内を横方向に移動します。これは、アイランドホッピングと呼ばれるプロセスで、他の内部ホストを侵害し、機密データにアクセスします。

ADR導入後

Now let’s consider the same scenario, but with ADR deployed. The ADR platform continuously monitors the entire application stack in real time. During routine operations, ADR detects an unsafe deserialization vulnerability as it is being exploited. The system generates a detailed incident report containing:

• The complete HTTP request details, including the payload.
• A stack trace of the deserialization operation, captured directly from the running code.
• A contextual diagram providing the security context of the route being attacked.

Upon reviewing the incident details, the security team decides to enable ADR’s automatic response feature to block the attack. ADR’s automatic response is configured to sandbox the deserialization process, preventing any operating system calls and other anomalous behaviors associated with the exploit.

With the automatic response enabled, ADR immediately intervenes when the attack is attempted again, blocking the malicious payload and preventing code execution. The security team verifies that the attack is successfully prevented in real time. The team still receives alerts from ADR, allowing them to remain informed of attempted exploits. And developers still receive details of the underlying code vulnerability, confident that ADR is protecting the application while the code is updated.

Had ADR been deployed from the start, the situation would have been proactively managed. ADR’s deep visibility and continuous monitoring capabilities would have stopped the attacker before the attackers could gain a foothold and expand the incident. Even with the critical deserialization vulnerability present in the code, ADR ensures safety. It protects the entire application stack, spanning known and unknown vulnerabilities — whether the vulnerability lies in custom code, an open-source library, a framework or the application server.

The Contrast Runtime Security Platform: The technology behind ADR

The effectiveness of ADR hinges on a robust underlying technology that can seamlessly integrate with the development, operations and security processes. The Contrast Runtime Security Platform provides this foundation, offering a comprehensive solution for embedding security within the application runtime, ensuring real-time protection, detection and response capabilities.

As shown in this architecture diagram, the Contrast platform is designed from the ground up as an integrated approach to application and API security, rather than a mashup of unrelated technologies. It starts with fully distributed, lightweight security instrumentation that monitors AppSec behavior from within the running applications and APIs. This telemetry feeds our modern data streaming architecture, from which Contrast builds and maintains a sophisticated model of AppSec across an enterprise, also known as a Digital Security Twin (DST). This model enables highly accurate issues and incidents, contextual risk rating, real-time notifications, and much more.

Real-time alerts and insights

• Contrast uses real-time data to assess the severity of security incidents, triggering immediate alerts with context and remediation guidance.
• Contrast constantly monitors applications across environments, analyzing changes and flagging policy violations.
• Contrast delivers critical security information directly to the right teams, through the tools they already use for seamless integration.

Risk-scoring engine

• Contrast’s dynamic risk-scoring engine prioritizes security efforts by considering factors like business impact, threat landscape, security maturity and vulnerability details.
• The risk-scoring engine helps development teams focus on fixing high-risk vulnerabilities and empowers operations teams to respond quickly to incidents with in-depth code-level details.

AppSec model

• Contrast creates a DST of your enterprise application ecosystem. This model is a realtime, integrated view covering inventory, attack surface, vulnerabilities, threats, defenses, connections and more.
• Capable of handling hundreds or thousands of applications, the DST enables unparalleled analysis, precise risk prioritization and effective incident response within a single model.

Search, dashboarding and reporting

• Contrast provides rich dashboards and powerful analytics for a complete view of AppSec posture across the entire portfolio.
• Dashboards are provided and tailored to different roles (development, security, etc.) with role-based access control, plus the ability to query and analyze data for deeper insights.

Centralized policy management

• Contrast allows organizations to manage all aspects of AppSec in real time, from vulnerability assessment to compliance, and across their entire application portfolio.
• New security rules can be added instantly and customized across all applications, without the need for additional scans or redeployments.

Modern data-streaming architecture

• Contrast’s distributed architecture efficiently ingests and analyzes large volumes of security data from various sources across all environments (development, QA, production, cloud, etc.).
• Real-time vulnerability and attack telemetry informs SecOps and developers, enabling rapid identification and response to security threats.

The Contrast Runtime Security Platform is already in use in hundreds of thousands of critical applications and APIs in many of the world’s largest companies. Our Runtime Security Platform monitors and protects trillions of dangerous function calls every day.

Operationalizing ADR to achieve full-spectrum detection and response

Let’s imagine a financial services organization that has decided to enhance its AppSec operations by deploying Contrast ADR. Initially, their focus was on leveraging the platform’s advanced instrumentation and real-time monitoring capabilities to detect and respond to threats within their application environment. As soon as Contrast was deployed, the security team started seeing an unprecedented level of detail and insights into the application’s behavior and potential vulnerabilities.

Step 1: Integration with Splunk for event management

Impressed by the granularity and relevance of the data Contrast collects, the financial services organization’s security team sought to integrate this valuable information into their existing SIEM system, Splunk. The team used syslog to stream events from Contrast into Splunk, adhering to the Common Information Model (CIM) for standardized event data.

Once the events were flowing into Splunk, the financial services organization’s security analysts utilized the Contrast Splunk plugin to visualize the data. The integration allowed them to seamlessly incorporate Contrast’s AppSec telemetry into their existing monitoring and triage processes. The rich, contextual information provided by Contrast enabled the team to identify and prioritize incidents more effectively. They could now view detailed attack patterns, understand the impact of vulnerabilities in real time and correlate AppSec events with other data sources within Splunk, streamlining their incident response workflow.

Step 2: Enhancing CNAPP with application behavior

Recognizing the broader value of integrating AppSec insights with their CNAPP, the financial services organization also connected Contrast to Wiz. This integration allowed them to gain a holistic view of their infrastructure and its security posture, bridging the gap between infrastructure and AppSec.

With Contrast feeding detailed AppSec data into Wiz, the security team could drill down into each workload to see a comprehensive security architecture. They were able to visualize the interconnections between different components, understand the security implications of each connection and highlight incidents in the broader context of their cloud environment. This provided a deeper understanding of how vulnerabilities and threats at the application layer could impact the overall security of their infrastructure.

Step 3: Operationalizing ADR with enhanced workflows

The integration of Contrast with Splunk and Wiz enabled the financial services organization’s security operations team to identify and respond to application and API security incidents without changing their existing workflows. The Splunk plugin facilitated easy access to Contrast data, making it a natural extension of their existing security operations workflows. In Wiz, the team could map out the full security architecture of their applications and infrastructure, identify critical vulnerabilities, and understand their potential impact on the organization.

This story underscores the transformative impact of deploying ADR within a robust security ecosystem. By embedding security within the application runtime and integrating it with comprehensive monitoring and management platforms, organizations can extend their protection across the entire application layer.

Business case for ADR: The strategic and financial benefits

The adoption of ADR offers a compelling business case for organizations looking to enhance their security posture, reduce costs and drive innovation.

Enhancing security posture — The landscape of cyber threats is evolving at an unprecedented pace, with applications and APIs becoming prime targets for sophisticated attacks. Traditional security measures often fail to provide the necessary visibility and protection at the application layer, leaving organizations vulnerable to breaches that can have devastating consequences. ADR offers a transformative solution, enabling real-time monitoring, detection and unmatched protection against threats within the application environment. By embedding security directly into the application runtime, ADR ensures that vulnerabilities are detected and mitigated before they can be exploited, significantly enhancing the organization’s overall security posture.

Cost savings from automated vulnerability mitigation — The financial impact of a data breach can be staggering, encompassing direct costs such as fines and legal fees, as well as indirect costs like reputational damage and customer churn. Implementing ADR can lead to substantial cost savings by automating the detection and mitigation of vulnerabilities, reducing the likelihood of successful attacks. Automated vulnerability management minimizes the need for manual intervention, freeing up valuable resources and allowing security teams to focus on more strategic initiatives. Moreover, the early identification and remediation of vulnerabilities can prevent costly incidents, safeguarding the organization’s bottom line.

CVE-2023-22527 Atlassian Confluence – template injection

CVE-2023-34040 Spring/Kafka – unsafe deserialization

CVE-2023-22965 Spring4Shell – malicious data binding

CVE-2021-44228 Log4Shell – JNDI injection RCE

CVE-2021-26084 Atlassian Confluence EL injection

CVE-2020-17530 Apache Struts2 – EL injection

CVE-2020-11651 Python Salt – authentication bypass

CVE-2020-11652 Python Salt – directory traversal

CVE-2020-9484 Apache Tomcat – unsafe deserialization

CVE-2019-2725 WebLogic – unsafe deserialization

CVE-2019-0230 Apache Struts2 – EL injection

CVE-2018-11776 Apache Struts2 – EL injection

CVE-2016-0792 Jenkins XStream – unsafe deserialization

These CVEs were prevented by Contrast long before they were disclosed publicly.

Improved development productivity and innovation — One of the key challenges in AppSec is balancing the need for robust protection with the demands of high-velocity software development. Traditional security tools often generate high volumes of false positives, leading to alert fatigue and slowing down development cycles. ADR addresses this issue by providing highly accurate, rich security insights that reduce false positives; enabling risk prioritization using production context; and streamlining the remediation process. By integrating security into the development pipeline, ADR supports DevSecOps practices, enabling development teams to innovate rapidly without compromising security.

Ensuring compliance with regulatory requirements — Regulatory compliance is a critical aspect of modern business operations, with stringent requirements imposed by the National Institute of Standards and Technology (NIST), the Payment Card Industry (PCI), the General Data Protection Regulation (GDPR) and others. ADR is critical to meet the Securities and Exchange Commission’s (SEC’s) new investigation and disclosure requirements. ADR helps organizations maintain compliance by providing continuous monitoring and detailed reporting of security activities.

In an era where the cost of a data breach can be catastrophic, the strategic implementation of ADR is not just a security imperative but a sound business decision. Organizations that invest in ADR position themselves to better navigate the complexities of the modern threat landscape, ensuring resilience, trust and long-term success.

Use cases supported by ADR

ADR represents a significant leap forward in securing the application layer, addressing the shortcomings of traditional security measures and filling critical gaps left by existing solutions.

ADR provides a transformative approach to AppSec by delivering real-time monitoring, deep behavioral analysis and automated response capabilities. It enhances protection against sophisticated cyber threats, ensuring vulnerabilities are detected and mitigated before they can be exploited. By integrating security directly into the application runtime, ADR offers continuous visibility and control over application behavior, significantly reducing the risk of successful attacks. Additionally, ADR’s contextual insights and precise risk scoring enable security teams to prioritize remediation efforts effectively, improving overall incident response and resilience.

IMMEDIATE STEPS TO TAKE:

Evaluate your AppSec gap: Assess existing security defenses and evaluate whether they provide effective protection against application and API attacks.

Join me for a guided demo of ADR: Evaluate4 Contrast ADR’s ability to provide real-time visibility, continuous monitoring and automated response capabilities to applications and APIs in production.

Integrate with existing tools: Leverage integrations with XDR, SIEM and CNAPP platforms to enhance overall security visibility and incident response workflows.

Recognize value: Evaluate the benefits that ADR will bring to your organization.

Organizations must recognize the critical importance of securing their application layer and take proactive steps to integrate ADR into their cybersecurity framework. This strategic investment will yield long-term benefits, safeguarding the organization’s digital assets, enhancing operational resilience and securing a competitive advantage in the marketplace. Now is the time to act, to ensure your organization is not only protected but also positioned for success in an ever-evolving digital world.

 

1 Verizon 2024 Data Breach Investigations Report, p. 31

2 The State of Vulnerability Management in DevSecOps

3 Veracode State of Software Security (PDF)

4 ADR demo