ブログ

脅威キャンペーンを目の前で確認できるようになりました

ナヴプリート・ギルのサムネイル
ナヴプリート・ギル
2022年9月8日公開


F5 のapplication戦略の現状レポートで指摘されているように、現在、ほとんどの企業組織は平均して 200 ~ 1,000 個のapplicationsを使用しています (下の図 1)。 これらのアプリは複数のパブリック/プライベート クラウドやデータ センターにまたがっている可能性が高いため、アプリの可用性とセキュリティを維持することは困難です。

図1: F5applicationの現状レポート 2022
図1: F5applicationの現状レポート 2022

昨年だけでも、 Log4jSpring4Shellなどの脆弱性が広範囲に広がり、悪用されるケースが増えています。 セキュリティ チームは、既存のアプリの脆弱性を特定して軽減するために、悪用から保護し、損害を最小限に抑えるために必死に努力しながら、昼夜を問わず週 7 日間働いています。 残念ながら、すべての脆弱性が報告され、分類されているわけではないため、私たちが耳にするのは重大な脆弱性についてだけです。 NIST.gov は、2021 年に報告された脆弱性の総数 25,646 件のうち、約 28% の脆弱性が報告されなかったと指摘しました。 

多くの組織では、成熟した脆弱性管理プログラムを導入しており、少なくとも毎月、運用システムにパッチを適用することが日常的に行われています。 しかし、 F5 Labs の調査によると、大きな問題は、重大な脆弱性が 9 ~ 12 時間ごとに公開され、さらに 1 日にほぼ 3 件の重大な脆弱性が公開されていることです。 脆弱なコードが悪用されるという懸念は、DevOps および SecOps プロフェッショナル向けの標準的な認識リソースである OWASP Top 10 でも取り上げられています。最新の OWASP Top 10 リスト (2021 年) では「脆弱で古いコンポーネント」が取り上げられており、以前のリスト (2017 年) から深刻度ランキングが上がっています。

多くの場合、標的型脅威キャンペーンでは、既知の使用済みの脆弱性を悪用して、エクスプロイトや協調的な脅威キャンペーンを開始します。 これらの脅威キャンペーンは高度化しており、検出するのが非常に困難です。 また、これらのケースの一部では、組織は攻撃や脅威キャンペーンをブロックするために、非常に制限の厳しいセキュリティ ポリシーを採用するために「過剰な方向転換」を行う可能性があり、正当なユーザーでさえ日常業務に必要なリソースからブロックされるリスクを負うことになります。 これは、特に小規模または人員不足のセキュリティ チームにとっては非常に差し迫った問題となる可能性があります。

ただし、選択肢はあります。 脆弱なコードによるapplicationsと API の協調的な攻撃を軽減できる優れたアプローチの 1 つは、Webapplicationファイアウォール (WAF) を導入することです。 組織が既知の脆弱性の修正に時間がかかっている場合でも、 WAF は、組織的な脅威キャンペーンによる攻撃や悪用から最も重要なアプリと重要な API を保護することができます。 しかし、もちろん、脅威キャンペーンを開始する悪意のある人物や犯罪者は、特に狡猾でずる賢く、最もよく調整された WAF からさえも検出されないような方法で脅威キャンペーンを隠蔽します。 では、WAF は実際のユーザーをブロックしたり、作業エクスペリエンスに悪影響を与えたりすることなく、これらの高度な脅威による標的型攻撃に最も効果的に対処するにはどうすればよいですか?

F5 は、F5 Threat Campaigns を含むインテリジェントなセキュリティ脅威対策サービスを提供しています。 F5 Threat Campaigns は、F5 BIG-IP Advanced WAFのサブスクリプション アドオンであり、F5 Distributed Cloud WAF および NGINX App Protect WAF に含まれています。 F5 Threat Campaigns は、高度な機械学習とハニーポットを備えたセキュリティ分析を使用して、組織を一般的な脅威や悪用から保護します。 F5 脅威キャンペーンは、アクティブな脅威キャンペーンの性質と目的に関する洞察を提供します。 今日の組織には、アクティブな脅威キャンペーンを自動的に検出してブロックするコントロールにより、WAF を含む既存のセキュリティ コントロールの有効性を高めることができる、ライブで実用的な脅威インテリジェンスが必要です。 そして、それがまさに F5 Threat Campaigns が行うことです。 

F5 Threat Campaigns と F5 WAF ソリューションを使用すると、SecOps チームは組織、アプリ、API を保護するきめ細かく制御されたセキュリティ ポリシーを設定できます。 このサービスは、攻撃を事前に検出してブロックすることで、巧妙化した脅威キャンペーンからアプリと IT インフラストラクチャを保護します。 F5 Threat Campaigns は、機械学習を使用して、最初は異なるように見える脅威フィードを取得して相関させ、さまざまな攻撃とエクスプロイト間の共通点を見つけ、調整された脅威キャンペーンのネットワークの全体像が明確になるまで相関関係を分析できます。 これにより、セキュリティ チームは既存の脆弱性を悪用する攻撃や悪用をターゲットにして軽減することができます。 

F5 脅威キャンペーンの最新機能であるF5 脅威キャンペーン世界地図(下の図 2) が、ほんの数日前にリリースされました。 これは F5.com で公開されており、誰でも閲覧および使用することができ、洞察とテレメトリが一緒に表示されることで、サイバー攻撃キャンペーンの可視性が向上します。 このマップは拡大して表示できるため、視聴者は進行中の脅威キャンペーンを詳細に把握できます。

図2: F5 脅威キャンペーンマップ
図2: F5 脅威キャンペーンマップ

新しい F5 脅威キャンペーン マップに加えて、F5 脅威キャンペーンには以下が含まれます。

  • F5 からの実用的な脅威インテリジェンスによるライブ更新
  • 誤検知がほぼゼロでウェブapplicationのセキュリティが向上
  • 費用対効果の高いモデルによる確実なリスク軽減
  • 脅威ハンティングはもう不要
  • 正確で関連性の高い脅威フィードの可視化

Log4j エクスプロイトに対処し、最終的に軽減するまでの間、F5 はいくつかの保護、ルール、ポリシーの更新をリリースし、顧客や一般の人々と積極的に頻繁にコミュニケーションを図りました。 F5 は同じ週に、アクティブな Log4j エクスプロイトに対処するための F5 脅威キャンペーンもリリースしました。 F5 Threat Campaigns の顧客は、脅威フィード内の Spring4Shell の脆弱性を悪用した攻撃を検出し、脅威をブロックして軽減することもできました (下の図 3)。

図3: F5 Threat Campaignsフィードは、Spring4Shellのような悪用可能な脆弱性を検出します。
図3: F5 Threat Campaignsフィードは、Spring4Shellのような悪用可能な脆弱性を検出します。

Log4j や Spring4Shell などの脆弱性を利用した協調キャンペーン、攻撃、エクスプロイトに関するライブ フィードを備えた、新しくリリースされた F5 脅威キャンペーン マップにアクセスすることで、F5 インテリジェンス サービス (F5 脅威キャンペーンを含む) を使用して WAF を強化し、標的型攻撃を軽減および対処できるようになります。

F5 Threat Campaigns のサブスクリプションを BIG-IP Advanced WAFに追加する方法、または F5 Distributed Cloud WAF または NGINX App Protect WAF ソリューションですぐ F5 Threat Campaigns の使用を開始する方法の詳細については、チャネル パートナーまたは F5 アカウント マネージャーにお問い合わせください。