BLOG

実際に起こる前に、脅威キャンペーンを可視化する

Navpreet Gill サムネール
Navpreet Gill
Published September 08, 2022


2022年版アプリケーション戦略の状況レポート(以下の図1)で指摘されているように、現在、ほとんどの企業組織が平均200~1,000個のアプリケーションを使用しています。これらのアプリケーションは、複数のパブリック/プライベート クラウドとデータ センタにまたがっている可能性が高いため、アプリケーションの可用性と安全性を維持することは困難です。

図1:2022年版アプリケーション戦略の状況
図1:2022年版アプリケーション戦略の状況

この1年で、Log4jSpring4Shellなど、広範囲にわたり多く悪用された脆弱性が発見されました。セキュリティ チームは、連日連夜、既存のアプリケーションの脆弱性を特定して緩和するだけでなく、エクスプロイトから保護し、被害を軽減するために必死に努力してきました。しかし残念なことに、すべての脆弱性が報告および分類されているわけではないため、F5では主要な脆弱性しか把握していません。NIST.govは、2021年に発生した25,646個の脆弱性の約28%が同年に報告されなかったことを指摘しています。

多くの組織が脆弱性管理プログラムを導入しており、運用システムに少なくとも月1回は定期的にパッチを適用しています。しかし、大きな問題は、重大な脆弱性が9~12時間ごとに公開されていることです(F5 Labs調べ)。また、重大な脆弱性が毎日3つほど公開されていることも指摘されています。脆弱なコードが悪用されるという懸念は、DevOpsおよびSecOpsの専門家向けの標準的な認知リソースであるOWASP Top 10で対処されています。「脆弱で古くなったコンポーネント」は最新のOWASP Top 10リスト(2021年)に入っており、以前のリスト(2017年)の重大度ランキングから上昇しています。

多くの場合、標的型脅威キャンペーンは、既知の脆弱性と悪用された脆弱性を使用して、エクスプロイトや組織的な脅威キャンペーンを開始します。これらの脅威キャンペーンは巧妙で、検出が非常に困難な場合があります。また、これらの一部のケースでは、組織が攻撃や脅威キャンペーンの阻止を目的とした制限の厳しいセキュリティ ポリシーを採用するために、「過度に方向転換」する可能性があります。これにより、正当なユーザーであっても、日常業務に必要なリソースからブロックされるというリスクが発生し、特に小規模または人員不足のセキュリティ チームにとっては、差し迫った問題になる可能性があります。

しかし、他にも選択肢があります。脆弱なコードを介したアプリケーションとAPIの組織的な悪用を軽減できる優れたアプローチは、Web Application Firewall(WAF)を導入することです。既知の脆弱性のパッチ適用が遅れても、WAFが最も重要なアプリケーションとAPIを組織的な脅威キャンペーンの攻撃やエクスプロイトから保護します。しかし当然ながら、脅威キャンペーンに乗り出す攻撃者などは特に狡猾であり、脅威キャンペーンを隠す方法を知っています。そのため、強化されたWAFからでさえ脅威キャンペーンが見つかることはありません。では、実際のユーザーをブロックしたり、作業体験に悪影響を与えたりすることなく、WAFによって高度な脅威による標的型攻撃に対処するにはどうすればよいのでしょうか。

F5は、F5 Threat Campaignsを含むインテリジェントなセキュリティ脅威サービスを提供しています。F5 Threat Campaignsは、F5 BIG-IP Advanced WAFのサブスクリプション アドオンであり、F5 Distributed Cloud WAFおよびNGINX App Protect WAFに含まれています。F5 Threat Campaignsは、高度な機械学習とハニーポットによるセキュリティ分析を使用して、一般的な脅威やエクスプロイトから組織を保護します。F5 Threat Campaignsでは、アクティブな脅威キャンペーンの性質と目的に関するインサイトも提供します。今日の組織は、アクティブな脅威キャンペーンを自動的に検出してブロックする管理機能によって、WAFを含む既存のセキュリティ管理の効率を高めることができる、最新の実用的な脅威インテリジェンスを必要としています。それはまさにF5 Threat Campaignsが行っていることなのです。

SecOpsチームは、F5 Threat CampaignsとF5 WAFソリューションを使用して、組織、アプリケーション、およびAPIを保護する、きめ細かく制御されたセキュリティ ポリシーを設定できます。このサービスは、攻撃を事前に検出して阻止することで、巧妙化した脅威キャンペーンからアプリケーションやITインフラストラクチャを保護するのに役立ちます。F5 Threat Campaignsは、機械学習によって、最初は異質のものに見える脅威フィードを取得して相互に関連付けるため、組織的な脅威キャンペーンのネットワークの全体像が明らかになるまで、さまざまな攻撃とエクスプロイトの間の共通点を探ることができます。これによってセキュリティ チームは、既存の脆弱性を使用する攻撃やエクスプロイトをターゲットにして軽減できます。

F5 Threat Campaignsアーセナルの最新機能であるF5 Threat Campaignsワールド マップ(以下の図2)が、数日前にリリースされました。これはF5.comで公開されており、誰でも閲覧および使用できます。インサイトとテレメトリが一緒に表示されるため、サイバー攻撃キャンペーンを的確に把握できます。このマップは拡大表示できるため、閲覧者は進行中の脅威キャンペーンの状況を深く掘り下げて検討できます。

図2:F5 Threat Campaignsマップ
図2:F5 Threat Campaignsマップ

新しいF5 Threat Campaigns Mapに加え、F5 Threat Campaignsでは以下を実現しています。

  • F5の実用的な脅威インテリジェンスを活用したライブ アップデート
  • 誤検知がゼロに近いことによるWebアプリケーション セキュリティの強化
  • 費用対効果の高いモデルによる確実なリスク軽減
  • 脅威ハンティングからの解放
  • 正確で関連性のある脅威フィードの可視化

Log4jエクスプロイトの対処から軽減までの準備段階で、F5は保護、ルール、およびポリシーの更新をいくつかリリースし、お客様や一般の人々と積極的に何度も話し合いました。さらに、同じ週にアクティブなLog4jエクスプロイトに対処するためのF5 Threat Campaignsもリリースしました。F5 Threat Campaignsをご利用のお客様も、脅威フィードでSpring4Shellの脆弱性を悪用する攻撃を検出し、脅威を阻止して軽減できました(以下の図3)。

図3:F5 Threat CampaignsフィードがSpring4Shellのような悪用可能な脆弱性を検出
図3:F5 Threat CampaignsフィードがSpring4Shellのような悪用可能な脆弱性を検出

Log4jやSpring4Shellなどの脆弱性を使用した組織的なキャンペーン、攻撃、エクスプロイトに関するライブ フィードが用意されている、新しくリリースされたF5 Threat Campaignsマップにアクセスすると、F5のインテリジェンス サービス(F5 Threat Campaignsを含む)を使用して、WAFで標的型攻撃を軽減し対処することもできます。

BIG-IP Advanced WAFにF5 Threat Campaignsのサブスクリプションを追加する方法、また、F5 Distributed Cloud WAFやNGINX App Protect WAFソリューションでF5 Threat Campaignsをご使用いただく方法については、チャネルパートナーまたはF5アカウントマネージャへ、お気軽にお問い合わせください。