署名とは何ですか?
一般的に、署名とは「書面またはデジタル署名」を指します。 プログラミングの文脈では、シグネチャとは、メソッドの名前、パラメータの型、数、順序、戻り値の型など、メソッドを識別するために使用される情報を指します (定義はプログラミング言語によって異なる場合があります)。 ただし、コンピューター セキュリティの文脈では、シグネチャは、マルウェアや不正アクセスなどの悪意のあるアクティビティの特徴的なパターンを指します。 これらのパターンを集約したファイルはシグネチャ ファイルと呼ばれ、シグネチャを使用して攻撃を検出してブロックする機能はシグネチャ機能と呼ばれます。
シグネチャを使用して攻撃を防御する場合は通常、ブラックリスト アプローチに従います。ブラックリスト アプローチでは、既知の脅威のリストが維持され、危険なアクティビティがブロックされます。 これにより、既知の攻撃に対して確実かつ迅速に対応できるという利点が得られます。 ただし、このアプローチには、ブラックリストにまだ含まれていない未知の攻撃や新しい脅威に対処できないという制限があります。
この制限に対処するには、ブラックリスト アプローチとホワイトリスト アプローチを組み合わせることをお勧めします。 ホワイトリストを使用すると、明示的に許可されたアクティビティのみが許可されます。 ホワイトリスト上のアクティビティを許可し、ブラックリスト上のパターンをブロックし、その他すべてを検証が必要なグレーゾーンとして扱うことで、より包括的な防御戦略を実現できます。
F5 の BIG-IP は、攻撃パターン用のブラックリスト型シグネチャと正当なトラフィック用のホワイトリストの両方を活用し、攻撃を効果的に検出して防止します。