ブログ

WAF を高度なものにするものは何ですか?

脅威の状況が進化するにつれて、セキュリティ管理と対策も進化する必要があります。 データ損失や漏洩に対する最も高度な境界脅威はアプリケーション層で発生するため、ほとんどの次世代ファイアウォール (NGFW) や侵入防止システム (IPS) の有効性は大幅に低下します。 この影響は、ほとんどの通信が、特に大規模な場合、NGFW や IPS で十分にサポートされていない暗号化されたデータ チャネルに移行しているという事実によってさらに悪化します。 Web アプリケーション ファイアウォール (WAF) は、SSL/TLS の完全な復号化を備え、アプリケーション層で各 HTTP 要求を分析するように特別に設計されています。

近年、ほとんどの WAF テクノロジーは、関連する NGFW や IPS テクノロジーと同様に、パッシブ フィルター ベースの検出システムとしてほとんど変わっていません。 WAF システムは、プロトコル準拠 (適切な形式のリクエストを保証) と署名比較 (既知の悪意のあるコンテンツがないことを保証) を適用して、潜在的な攻撃をフィルタリングしてブロックします。 ハイジャックやブルートフォース攻撃に対抗するためにセッションとユーザーの認識を可能にする追加機能が追加され、ボットネット、匿名化ツール、その他の脅威などの既知の悪質なソースを除外するために IP レピュテーション フィードが適用されます。 これらは依然としてデータセンター境界における大部分が受動的なテクノロジーであり、クライアントを照会する能力は非常に限られています。

 現在の脅威の状況については、いくつか分かっていることがいくつかあります。

  • ほとんどの脅威は本質的に自動化されています。 攻撃者は脆弱性のスキャンを自動化します。 チケットやスニーカーの購入など、リソースの蓄積を自動化し、グレーマーケットで転売できるようにします。 分散型サービス拒否 (DDoS) 攻撃は完全に自動化されており、一般的になった 1Tbps 以上の攻撃トラフィック量を可能にします。 自動化は、正常なトラフィックを模倣して検出されないように設計されていることが多いため、検出が困難です。 CAPTCHA などのテクノロジーは、このような自動化を検出するために使用されてきましたが、これらの検証方法は時間の経過とともに効果がなくなり、正当なユーザーのエクスペリエンスに影響を与えます。
     
  • クレデンシャル スタッフィングは、過去の侵害から得られた数十億の既知のユーザー名とパスワードの組み合わせを活用する特定の種類の自動化された攻撃です。 最近の脅威レポートによると、盗まれた資格情報の使用は、2017 年に最も多く発生したアプリケーション攻撃の種類でした。 これらの攻撃は、インターネットの一般ユーザーが一般的に行っているパスワードの再利用を狙ったものです。 クレデンシャル スタッフィングは、要求が通常通りに見えるだけでなく、ブルート フォース攻撃として検出されないように設計されていることが多く、検出が特に困難です。
     
  • マルウェアは蔓延しており、ブラウザやそのブラウザを操作するユーザーの弱点を悪用するために使用されます。 マルウェアには、電子メールの添付ファイルからソーシャル メディアや広告内の悪意のあるリンクまで、さまざまな配信方法があります。 これらの侵害されたマシンは、DDoS、データ盗難、リソースの蓄積を目的として他の Web サイトを攻撃するために使用されます。 クライアント マシンが経験豊富な IT 情報セキュリティ チームによって管理されていない限り、利用できる検出および軽減の方法は限られています。
     
  • DDoS 攻撃は、本質的に単なるボリューム攻撃ではありません。 多くの攻撃は、アプリケーション スタック、アプリケーション サーバー、ミドルウェア、またはバックエンド データベースのどこかでリソース枯渇を引き起こすように設計されています。 トラフィックはほとんどの標準的な入力検証チェックに準拠しているため、これらの状態を検出することは困難です。


簡単に言えば、これらの攻撃は、いかなる形でも不正な形式に見えないことが多いため、従来の WAF 検出メカニズムのほぼすべてを回避します。 IP アドレスのレピュテーション フィードは、ケーブル モデム、IoT デバイス、パブリック クラウド サーバー インスタンスなど、簡単に侵害されるターゲットがほぼ無尽蔵に存在するため、有効性が限られています。 ソース アドレス情報は急速に変化するため、クラウド ソース フィードであっても、これらの攻撃ベクトルに典型的な自動化レベルに対抗するにはあまり効果的ではありません。 これらの脅威に対抗するには、より高度な Web アプリケーション ファイアウォールが必要であることは明らかです。

幸いなことに、 Advanced WAFテクノロジーはすでに利用可能であり、しばらく前から提供されてきました。 F5 は、2009 年に Web スクレイピング保護が導入されてから約 10 年前、オンライン小売業者から価格データをスクレイピングしようとするボットを CAPTCHA なしで検出する技術を開発しました。 F5 は、このテクノロジーを徐々に進化させ、2015 年に導入された Proactive Bot Defense と呼ばれるものに拡張しました。 プロアクティブ ボット ディフェンス (PBD) を使用すると、要求元のクライアントを照会して、正当なブラウザを使用する人間のユーザーが存在することを確認できます。 これは、IP アドレスによって既知のボットネットをブロックすることに依存するよりもはるかに効果的なソリューションです。

F5 は、新しい F5 Advanced WAF 製品により、市場をリードする WAF テクノロジーを拡張し、アプリケーション セキュリティ環境で見られる進化する脅威に対抗するために必要な機能を追加しました。 高度な WAF には以下が含まれます。

  • プロアクティブなボット防御。 PBD は、最先端のフィンガープリンティングとチャレンジ/レスポンス技術を他の動作分析と組み合わせて使用することで、自動化された脅威をセッションレベルで検出してブロックすることを可能にします。
     
  • レイヤー 7 の動作 DoS検出と防御。 Advanced WAF は、トラフィックを動的にプロファイリングし、異常なトラフィック パターンのシグネチャを作成して、レイヤー 7 DoS 攻撃がアプリケーションに影響を与える前に阻止します。
     
  • DataSafe資格情報保護。 DataSafe は、ページのコンテンツを動的に暗号化し、マルウェアによって引き起こされるマン・イン・ザ・ブラウザ攻撃を防止します。 DataSafe は、ブラウザでユーザーを保護するために、入力された資格情報を動的に暗号化します。
     
  • Anti-Bot モバイル SDK統合。 Proactive Bot Defense で使用される技術は、正当なブラウザを識別するために機能します。 モバイル アプリの場合、ブラウザーは存在しません。 Anti-Bot Mobile SDK を使用すると、組織はモバイル API エンドポイントでも高度な技術を使用してボットに対抗できます。


F5 Advanced WAF は、現在市場で入手可能な最も高度なアプリケーション セキュリティ機能を提供する専用のセキュリティ プラットフォームです。 F5 は、最も高度な攻撃さえも軽減する最先端のアプリケーション セキュリティ ソリューションを提供することに尽力しています。 今後、 Advanced WAFプラットフォームのさらなる進歩にご期待ください。