※本ブログは米国時間2024年7月10日に公開されたA10本社ブログの日本語訳です。原文はこちらからご覧ください。
DDoS攻撃の状況は絶えず変化しています。単純なフラッド攻撃の時代は終わりました。今日の攻撃者は洗練された戦術を採用しており、DDoS保護は複雑で重要な取り組みとなっています。
ブログ記事「DDoS防御の最新アプローチ」では、堅牢なDDoS防御戦略を立てるための基礎知識をお伝えしました。本ブログでは、DDoS防御に特化したソリューションを深く掘り下げ、最新のDDoS攻撃から効果的に防御するためのテクニックと戦略を探ります。
時代遅れの防御方法
従来のDDoS防御ソリューションは、検知と緩和の両方に限界があるため、最新の攻撃に対しては苦戦しがちです。
検知精度
フローベースの検知は、ベースラインの精度と閾値設定の粒度に依存します。手動でのベースライン設定と構成は、業務の季節性や古いままのベースライン設定などにより、誤検知や攻撃を見逃す可能性があります。
フローベースの検出の性質上、監視範囲が広いネットワークやサブネットである場合、短いバーストや新しい攻撃ベクトルなどの一部の攻撃タイプを見逃す可能性があります。これらの攻撃タイプは、特定のサービスまたはシステムをターゲットにするため、攻撃規模としては大きくはない可能性があります。逆に、絨毯爆撃攻撃は、個々のIPアドレスに対するトラフィックを監視している場合に検知が難しい攻撃タイプです。悪意のあるトラフィックを多数のIP(ターゲットとなる特定のネットワーク内)に分散させることで、個々のIPに対するトラフィック量が少なく見せ、攻撃検知を回避しようとします。
緩和精度
従来のソリューションでは、複雑な攻撃を見逃す可能性があり、マルチベクトルDDoS攻撃に対抗するのは困難でした。ご存知のように、DDoS攻撃の影響を軽減するためには、様々な攻撃に応じた対策が必要です。たとえば、プロトコル異常チェックは、TCP XMASS攻撃、SYN-FIN攻撃、ping of death(PoD)攻撃などの単純なフラッド攻撃には非常に有効です。ただし、TCP RSTフラッド攻撃やUDPフラッド攻撃には効果がありません。SYNクッキーやスプーフィング検出技術は、能動的な対策であり、ソース/送信者を検証してTCP RSTフラッド、UDPフラッド、および同様のフラッド攻撃を緩和できますが、HTTPフラッドは検証をすり抜ける可能性があります。HTTPフラッドやslow-and-low攻撃などのL7アプリケーションDDoS攻撃は、緩和システムでCPUやメモリリソースを大量に消費する詳細なプロトコル検査を必要とします。DNSやSIPサーバなどの多様なサービスを防御する場合には、さらに複雑になります。
シンプルでよく用いられる対策としてレート制限があります。これは、サービスを継続させるためには有効ですが、超過分のトラフィックに含まれている可能性のある正当なトラフィックをも意図せずドロップしてしまうことがあります。
では、サービスに影響を与えず、システムパフォーマンスを低下させることなく、これらすべての対策を行うには、どうすれば良いのでしょうか。
解決策: 適応型ポリシーによる多層防御
別のブログ「DDoS防御の最新アプローチ」では、最新の DDoS 緩和のためのアプローチと技術をいくつかご紹介しました。以下のパートでは、それらの技術の詳細について説明します。
自動エスカレーションによる適応型防御ポリシー
上記でご説明したように、最新のマルチベクトル攻撃に対抗するためには、複数の異なる対策が必要です。これらの対策を緩和状況に応じて段階的に適用するのが理想的ではないでしょうか?
緩和ポリシーは、重大度と複雑さ/難易度に基づいて複数の段階で構成されます。例えば、異常パケットのチェック、プロトコルの誤用チェック、ソース検証(スプーフィング検出)の順に実行されます。転送された (通過) トラフィックがベースラインよりも高い場合は、L7/アプリケーションレベルのフィルタやレート制限などの高度な緩和策をさらに適用します。通過トラフィックの量が通常のレベルに落ち着いたら、緩和段階はそのままにして、新しいポリシーを適用する必要はありません。最も重要なのは、このような一連の操作は非常に時間のかかるプロセスであり、エラーや誤操作が発生しやすいため、自動的に実行する必要があるということです。
これにより、攻撃が激化するにつれて、より強力な対策を適用していくなどの段階的な対応が可能になります。
ML/AIを活用した防御メカニズム
組織はゼロデイ攻撃に対抗する準備が必要です。レート制限のように、パケットフィルタリングはサービスを保護するための非常に一般的で堅実な対策ですが、その範囲や条件が正確に定義されていない場合、正当なユーザに影響を与える可能性があります。フィルタが曖昧な場合、正当なユーザのトラフィックをドロップしてしまい、サービスの提供に影響を与える大きなリスクがあります。攻撃トラフィックパターンを分析する機械学習(ML)/AIテクノロジーを使用すると、正確で信頼性の高いフィルタを瞬時に自動で生成し、新しいDDoS攻撃もリアルタイムで無力化できます。
実用的な脅威インテリジェンス
リアルタイムの脅威インテリジェンスフィードは、最新の攻撃ベクトルと脆弱性に関する情報を提供します。フィードは多くの場合、疑わしいIP、既知のボットネット、DDoS攻撃の武器(ツール)として脆弱なオープンサーバを含む IPリストを提供します。このリストをネットワークデバイスまたは専用のDDoS防御の拒否リストとして適用することで、効率的な最初の防御層となり、より複雑な攻撃トラフィックのために帯域幅とCPUリソースを節約しておくことができます。脅威インテリジェンスのIPリストは数万から数百万と非常に大きくなる可能性があるため、デバイスがパフォーマンスに影響を与えずにこのような拒否リストを保持でき、リストの定期的な更新機能も備えていることを確認してください。
A10がどのように役立つか
リアルタイムのDDoS攻撃に対して、訓練を受けた人員やリソースが無制限に用意されている組織はありません。A10 Defendを使用した多層アプローチを実装することで、組織は堅牢で効率的な DDoS防御ソリューションを構築し、重要なサービスと運用のセキュリティを確保できます。
A10 Defendは、 最新のDDoS防御に対応しており、拡張性、経済性、精度、インテリジェントを備えた総合的なDDoS防御ソリューションです。このソリューションは、次の4つの主要コンポーネントで構成されています。
- A10 Defend Detector:自動化されたトラフィック ベースラインとプロファイリングを備えた高性能なフローベースのネットワーク異常検知機能により、正確かつ迅速な攻撃識別を実現します。スマートな被害者識別技術により、被害者が存在する範囲をIPまたはサブネットワークの範囲にリアルタイムで絞り込みます。
- A10 Defend Mitigator:機械学習を活用したインテリジェントな自動 DDoS緩和機能です。精度、拡張性、パフォーマンスにおいて業界をリードしています。A10独自のマルチモーダルかつソースベースの保護戦略に基づいて構成されています。膨大な脅威インテリジェントのリスト容量(最大9,600万エントリ)、段階的な自動緩和レベル エスカレーション技術を備えた5段階の適応型緩和ポリシー、自動化されたゼロデイ攻撃パターン認識機能(ZAPR) など、様々な機能を備えています。
- A10 Defend Threat Control:コマンド&コントロール (C&C)、シャドーサーバを含むDDoSボットネット、リフレクタなどのDDoSに特化した脅威や武器に関する実用的な情報と分析を提供し、プロアクティブな防御戦略を可能にします。
- A10 Defend Orchestrator:A10 Defendコンポーネント全体の自動DDoS防御を管理および制御します。DDoS防御のためのダッシュボードとコンソールを提供し、攻撃が終了するとインシデントレポートを生成します。
