ブログ

BlackNurse とクラウドビジネス攻撃の否定

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2016 年 11 月 17 日公開

今週、新しい(風変わりな)攻撃が広まっています。 「新しい(っぽい)」と言ったのは、攻撃自体はそれほど独創的ではないからです。 ICMP 攻撃は 90 年代から存在しています。 また、私が「比較的新しい」と言うのは、この攻撃が、インターネットの半分へのアクセスを妨害してニュースになるような、注目を集める大規模な攻撃とはまったく対照的だからです。 これは、よく知られ、広く使用されているファイアウォールに対する DoS 攻撃 (「D」が 2 つではなく 1 つであることに注目してください) であり、ほとんど労力をかけずにビジネスを停止させることができます。

BlackNurseと呼ばれるこの ICMP (ping!) 攻撃 (これまでのところ明らかな理由は見当たりません) がどのように機能するかについて、詳しく説明するつもりはありません。 このトピックについては、すでに多くのリソースと解説が利用可能です。 脅迫投稿、 エル レグ、 TDC SOC、 または ネットレセックまず第一に。 私が注目したかったのは、この攻撃がビジネス、特にクラウドベースのアプリに大きく依存しているビジネスに壊滅的な混乱をもたらす可能性があるということです。 

これは、単に外部からアプリへのアクセスを妨害するだけではなく、内部からアプリへのアクセスを妨害するものだからです。 TDC SOC は、レポートの中で、特にこの点を指摘しています。 「攻撃が進行中の場合、LAN 側のユーザーはインターネットとの間でトラフィックを送受信できなくなります。」

LAN側。 これがファイアウォールのビジネス面です。

私たちは、ファイアウォールを、攻撃者を企業ネットワークから締め出すための戦術的な対応策と見なす傾向があります。 それらは城の周りの壁であり、川沿いの土嚢であり、猛烈な火災を食い止めようと荒野に築かれた防火帯です。 しかし、ファイアウォールは長い間、企業内で二重の目的を果たしてきました。つまり、内部からのアクセスも制御してきたのです。 これは当初、若者のインターネットへのアクセスを制限するために使用されていましたが、現在でも、内部資産に感染したマルウェアやウイルスによる「電話による自宅への侵入」の試みに対する予防措置を可能にするメカニズムとして使用されています。

 

 

2015 年第 4 四半期 CARR クラウド使用状況の推移 627

今日では、クラウドベースの生産性向上アプリが普及しており、内部からのアクセスが求められています。 クラウドベースのアプリを使用する場合は、インターネットへのアクセスが必要になります。 Salesforce.com をご覧ください。 同意します。 Google ドキュメント。 ソーシャルメディア。 企業がアクセスする必要がある、企業外に存在するアプリケーションのリストはどんどん増え続けています。 Skyhigh Networks のこの気の利いたグラフが示すように、ビジネスにおけるクラウドベースのアプリケーションの使用は着実に増加しています。 実際、2015 年第 4 四半期のレポートでは、「平均的な組織は現在 1,154 のクラウド サービスを使用している」と述べられています。

ビジネスは間違いなくクラウドに依存しています。

つまり、これらのサービスへのアクセスが中断されると、あらゆるビジネスにおける重要なパフォーマンス指標の 1 つである生産性に壊滅的な打撃を与えます。

したがって、BlackNurse のような攻撃は、実行が比較的簡単で、1 台のラップトップしか必要としないにもかかわらず、その比較的単純さにもかかわらず、非常に破壊的です。 このような攻撃の目的は単純で、リソースを消費することです。 ファイアウォールや Web サーバーをターゲットとする低速攻撃は、リソースを拘束してデバイスが正当な要求に応答できないように設計されています。 問題は、このような攻撃はボリューム攻撃よりも検出が難しいことが多いことです。 トラフィック量が多いことが目立ちます。 警報と赤色灯が鳴り、人々は何が起こっているのかすぐに理解します。 私たちは過去 10 年間、このような攻撃に対抗する方法の理解に多大な労力を費やしてきましたが、幸いなことにその能力は向上しています。

しかし、低くて遅い攻撃を検出するのはより困難です。 CPU が突然 100% で停止し、応答しなくなります。 ソフトウェアの問題である可能性があります。 ハードウェアの問題である可能性があります。 いろいろ考えられます。 ログを精査して、この種の攻撃を示す少量のパケットを見つけるのは、干し草の山の中の針を探すような問題です。 研究者によると、BlackNurse 攻撃はわずか 15 ~ 18 Mbps しか生成しません。 はい、その通りです。 その小節には「G」はありません。 これは 1 秒あたり約 40 ~ 50K パケットであり、現代のファイアウォールにとっては大したことではありません。 対照的に、Dyn に対して記録された DDoS 攻撃は 1 Tbps の範囲で測定されました。 それは「T」で、「G」よりも大きく、「M」よりもはるかに大きいです。

このような攻撃に対する答えは通常、ファイアウォール サービスが「限られたリソース」などの古い概念に制約されず、簡単に自動的に拡張できるクラウドにアプリケーションを移行することです。 ただし、そうではありません。企業には依然として、企業のファイアウォールの背後にそれらのアプリ (およびその他のアプリ) にアクセスする必要がある従業員がいるからです。 そして、ターゲットがユーザーと「クラウド」の間にある企業のファイアウォールである場合、ユーザーのアクセスが妨害されることになります。

低下するのは生産性です。

企業は、受信トラフィックだけでなく送信トラフィックも妨害する攻撃によって引き起こされる潜在的に危険な状態を認識する必要があります。 BlackNurse にはすでにかなり単純な緩和策がありますが、緩和がそれほど単純ではないものもある可能性があります。  ファイアウォールの外側のアプリと同様にファイアウォールの内側のアプリにも依存する世界では、このような攻撃の可能性を注意深く検討する必要があります。

まだ評価していない場合は、自社が「クラウド」内のアプリにどの程度依存しているか(または依存することになるか)を評価し、日常業務の遂行を妨害することを目的として特別に設計された脅威に対して、それらのアプリへのアクセスを最も効果的に保護する方法を評価する時期が来ています。