ブログ

インテリジェンスを活用して現実世界の攻撃から保護する (労力ゼロ)

ジョエル・コーエン サムネイル
ジョエル・コーエン
2022年12月14日公開

Webapplicationsに対する攻撃は、その方法と目的が大きく異なります。 攻撃には、日和見的なスキャンベースの攻撃から、標的を絞った高度なキャンペーン、スクリプトキディから強力な支援を受けたハッカー組織まで、さまざまなものがあります。 このような広範囲の攻撃には、小屋の屋根が雨から守るのとまったく同じように、階層化して強固なセキュリティを提供できる包括的なセキュリティ ツール セットが必要です。 現在標準となっている WAF の定番の保護、署名、ルールは、「雨」の大部分を阻止するのに非常に役立ちます。 しかし、高度な、さらには標的を絞った攻撃キャンペーンに対しては不利な立場にあります。 F5 Labs の調査によると、毎日約 3 件の重大な脆弱性が公開されており、組織が対応するのは不可能です。

攻撃キャンペーンとは、通常は特定のターゲットに対して、一定期間にわたって定義された目的を持って調整され計画された脅威活動およびエクスプロイトです。 ターゲットは、名前の付いた組織だけでなく、Web インフラストラクチャの種類である可能性もあります。

キャンペーンを検出して軽減することは困難です。 その主な理由は 2 つあり、キャンペーンが通常の WAF ルールとシグネチャを回避するように巧妙に設計されているか、またはキャンペーンを検出するには包括的で粗いセキュリティ ポリシーを構成する必要があり、その結果誤検知が発生し、セキュリティ チームが圧倒され、膨大な攻撃に気付かないリスクが生じる可能性があることです。

おそらくこれは皆さんの多くにとって目新しいことではないかもしれませんが、皆さんがこの投稿を読んで解決策を探している理由はそこにあるかもしれません。 F5 の Threat Campaigns はそのようなソリューションの 1 つであり、ここではその仕組みについて説明します。

F5 Threat Campaigns は、現在進行中の攻撃キャンペーンを、誤検知をほぼゼロにして正確に検出し、ブロックするインテリジェンス サービスです。 同社は、脅威アクターによって絶えず攻撃され標的とされているハニーポットの世界規模のネットワークなどを含むツール群を駆使し、実際に行われている攻撃の発見、分析、解明に専念するセキュリティ専門家チームを活用しています。

F5 Threat Campaigns は、現在進行中の攻撃キャンペーンが企業に到達する前に、迅速かつ予防的な保護を提供します。 F5 Threat Campaigns の使用は簡単で、追加の構成なしでオンにするだけで済みます。 諜報機関は、脅威キャンペーンの性質と目的に関する豊富な背景情報を提供します。 F5 がリリースした最新のキャンペーンが自動的に更新されます。

F5 Threat Campaigns は、 F5 BIG-IP Advanced WAFのサブスクリプション アドオンであり、F5 Distributed Cloud WAF および F5 NGINX App Protect WAF に含まれています。 

F5 脅威キャンペーンの各規定は、サイバー攻撃者によって実行されたと実際に検出された攻撃キャンペーン用に明示的に作成されています。 これは、たとえば、複数の脆弱性やエクスプロイトを一般的な方法で検出しようとする広範なシグネチャ アプローチとは異なります。

特定のキャンペーンに重点を置くことで、誤検知の可能性を排除しながら、実際に進行中の攻撃に対してメンテナンスの手間の少ない保護を提供します。 さらに、誤検知のリスクが低く、キャンペーンの精度が高いため、F5 の新しいキャンペーン エントリのリリース サイクルは速く、実際の攻撃で検出されてから顧客が攻撃から保護されるまでの時間が短くなります。

F5 脅威キャンペーンは、攻撃キャンペーンの性質、攻撃の目的、applicationsに及ぼすリスク、攻撃者の意図に関する追加の洞察を提供します。 これにより、セキュリティ オペレーターは、何が、どのように、誰によって攻撃される可能性があるかをより適切に理解し、リスクを評価できるようになります。

F5 Threat Campaigns は、単一またはランダムな攻撃を検出することを目的としていないことを理解することが重要です。 代わりに、通常は大量に検出される現実世界の攻撃に焦点を当てており、これはユーザーにとってより広範囲にわたるリスクを意味します。 単一またはランダムな攻撃の例としては、単一の攻撃者が 1 つのサイトでインジェクションを実行した場合や、ペンテスターが理論上は悪用される可能性があるが実際の攻撃では使用されたことのない CVE を試した場合などが挙げられます。

そのため、F5 Threat Campaigns のようなインテリジェント サービスは、シグネチャなどの他の WAF 保護を補完するものであり、置き換えるものではありません。 これは、誤検知や調整を必要とせずに、現実世界の攻撃に対する特定の保護を提供する追加レイヤーです。 F5 は、Threat Campaigns などのセキュリティ ソリューションを階層化することで、攻撃者が侵入できる隙間をカバーする強固なセキュリティをapplicationに提供できます。

今年初め、 F5 脅威キャンペーン世界地図がリリースされ、洞察とテレメトリが一緒に提示され、企業がサイバー攻撃キャンペーンの可視性を高めるのに役立ちました。 ブログ投稿で、Navpreet Gill 氏は「F5 脅威キャンペーンの世界地図は、洞察とテレメトリを一緒に表示することで、サイバー攻撃キャンペーンの可視性を高めるのに役立ちます」と述べています。

F5 Threat Campaignsのサブスクリプションを BIG-IP Advanced WAFに追加する方法、または F5 Distributed Cloud WAF または NGINX App Protect WAF ソリューションで F5 Threat Campaigns を今すぐ使い始める方法の詳細については、チャネル パートナーまたは F5 アカウント マネージャーお問い合わせください。