＊本内容は、米国A10 Networksが発行したブログ記事の抄訳版です。原文はこちらよりご確認ください。

セキュリティ担当者は、日々生成される膨大な量のサイバー攻撃データの処理に忙殺されています。しかしそのデータは、関連付けを行って有用なインテリジェンスに変換しなければ、すぐに防御のために活用することはできません。

そもそも脅威インテリジェンスとは、繰り返し使用された攻撃エージェントの情報と、脆弱性のある数百万件のIPアドレスやホストのデータを組み合わせたものです。セキュリティ担当者は、プロアクティブにDDoS防御を強化していくために、この脅威インテリジェンスを使用します。

未来を示す新しいDDoS攻撃可視化マップ

A10は、DDoSの脅威状況を可視化し、次に起こり得るDDoS攻撃に備えるのに役立つ「DDoS Threat Intelligence Map」を一般公開しました。既に発生したサイバー攻撃のみを示す従来の脅威インテリジェンスマップとは異なり、A10のDDoS Threat Intelligence Mapは、次のDDoS攻撃がどこから来るかを予測するための情報を提供します。

この情報をA10のDDoS対策専用アプライアンス「Thunder TPS」や、次世代アプリケーション・デリバリー・コントローラー「Thunder ADC」、ハイパフォーマンスセキュリティプラットフォーム「Thunder CFW」と組み合わせることで、DDoS攻撃に対する事前対策が行えるようになります。また、DDoS Threat Intelligence Mapは、他社製のSIEM製品など、A10製品以外にもA10の脅威インテリジェンスを提供できます。

*DDoS Threat Intelligence Map

DDoS Threat Intelligence Mapで何がわかるのか？

もしも未来を予測することができたら対処は簡単なことでしょう。しかし、DDoS攻撃が起きる理由やタイミングは分かりません。DDoS攻撃は起こりえるものだ、ということだけが分かるだけです。ただ、DDoS攻撃に使われるエージェント（DDoS Threat Intelligence Mapでは、"Weapon"と表記）がどこにあるかを知ることができれば、より効果的な防御策をとることができます。DDoS Threat Intelligence Mapの中核となる、A10の脅威インテリジェンスチーム 「A10 Research」とサイバーセキュリティソフトウェア開発企業「ThreatSTOP」によるA10の「DDoS Threat Intelligence Service」は、DDoS攻撃のエージェントとして使用される数百万のIPアドレスを識別します。

数千件のブラックリストのみをサポートする従来のDDoS防御とは異なり、A10のDDoS Threat Intelligence Mapは、動的にアップデートされる数百万のエントリの脅威オブジェクトのリストが反映され、攻撃が発生する前に対処できるようにするための脅威インテリジェンスを提供します。この脅威インテリジェンスには、リフレクション攻撃のエージェントや、拡散するIoTボット、過去24時間にアクティブに使用されたDDoSボットネットのIPアドレスが含まれます。

さらには、表示する攻撃エージェントのカテゴリ (DNSエージェントやIoTボットなど) を選択したり、潜在的に攻撃が起こりうる要素を持つ位置情報を確認したり、ほぼリアルタイムのDDoS脅威フィードから新たに識別または廃止されたエントリを調べたりすることが可能です。

DDoS Threat Intelligence Mapの見方

• 白い点は、識別済みの潜在的なDDoS攻撃エージェントの位置情報を示します。
• 緑の点滅は、新たにDDoS攻撃エージェントとして識別され、追加されたものを示します。
• 青い点滅は、脅威フィードから削除されたDDoS攻撃のエージェントを示します。
• 認証されていない要求に応答したり、アンプ攻撃に悪用されたりする脆弱性を抱えている次のサーバー数を示します。
• "MEMCACHED" の値は、公開状態となっている分散メモリーキャッシュサーバーの数を示します。
• "SNMP" の値は、公開状態となっているSNMP (Simple Network Management Protocol; 簡易ネットワーク管理プロトコル) サーバーの数を示します。
• "DRONES" の値はMiraiなどのDDoS攻撃で悪用されるIoTボットネットの数を示します。
• "DNS OPEN RESOLVERS" の値は公開状態となっているDNSサーバー（オープンリゾルバ）の数を示します。
• "NTP" の値は公開状態となっているNTP (Network Time Protocol) サーバーの数を示します。
• "SSDP" の値は公開状態となっているSSDP (Simple Service Discovery Protocol) サーバーの数を示します。
• "ASN #" は、公式に登録された自律システムの番号 (AS番号) を示します。
• "ASN ORG" は、脅威エントリが存在するASNの所有者を示します。

A10のDDoS脅威インテリジェンスサービスの活用について

A10のThunder TPSシリーズは、上記のリアルタイムで更新されるDDoS脅威インテリジェンスサービス「DDoS Threat Intelligence Service」を利用できます。数万件のみのDDoSエージェントリストを提供する従来のDDoS対策のインテリジェンスサービスと異なり、A10のDDoS Threat Intelligence Serviceには、約1億件の既知のオブジェクトのクラスリストが含まれています。このリストにはDDoS Threat Intelligence Mapに表示される悪意あるオブジェクトも含まれます。Thunder TPSはまず、これらDDoS攻撃エージェントのブラックリストを参照します。

また、DDoS Threat Intelligence Serviceには、脅威だけでなく数千万件の信頼できるオブジェクトのホワイトリストも含まれています。これにより、正規のトラフィックを妨げるような誤検知を防ぎます。最大級のDDoS攻撃の脅威リストと高いDDoS緩和の精度を持つThunder TPSにより、組織のDDoS攻撃からの保護を実現します。