ほとんどの攻撃者はあなたを狙っていません。 少なくとも、最初はそうではありませんでした。 攻撃者は通常、悪用しようとしている特定の脆弱性を示す組織を標的とする前に、非常に広範なアプローチを採用します。 あなたが特に価値の高いターゲット(金融機関、大手小売店、政府機関など)でない限り、それはあなたに関することではありません。 おそらくあなたはたまたま求められている弱点を持っているだけでしょう。確かに、攻撃を受けているときにはそれほど慰めにはなりません。
全体像を見ると、攻撃者は通常、全体的に同じ種類のものを探しているため、理論上は知識の共有が非常に有益になります。 しかし、ほとんどの組織では、a) 業界の過去のセキュリティ イベントからの教訓を取り入れる、または b) 他の人が同じ失敗を回避できるように匿名で経験をフラグ付けする、いずれかのメカニズムが導入されていないため、これは実際にはうまくいきません。 したがって、実際に存在する新しい(または既知の)脆弱性を悪用した現在の攻撃キャンペーンに関する情報は、十分に広まらず、同じ根本的な脆弱性と悪用に起因する侵害関連の見出しが常に見られます。 たとえば、2017 年に WannaCry の被害者のうち、問題があると広く報告されていた EOL / サポート対象外のソフトウェアを実行していた人は何人いたでしょうか? 答え:たくさん。
公平に言えば、その多くは文脈上理解可能です。 攻撃を受け、侵害される可能性があり、緊急インシデント対応のプレッシャーに対処しているとき、そして同時に、事実が判明するまでインシデントに関する情報を封じ込めようと最善を尽くしている法務部門の監視下にあるとき、セキュリティ専門家が最初に考えることは、より広範なコミュニティに情報を提供することではありません。 あなたが圧倒的なストレスを感じておらず、まだ十分に利他的な気持ちを持っていると仮定すると、仮に周囲の業界を助けるために何ができるでしょうか? 発見したファイルをVirusTotalで共有することも選択肢の 1 つですが、組織 (そしておそらくもっと深刻なのは仕事) を保護するというより緊急のタスクに戻る前に、ファイルをそのままにしておくことしかできないでしょう。 理想的には、危機への対応を迅速に支援できる、熟練した増援チームを用意しておく必要があります。 情報を分析し、即時の緩和ガイダンスを提供し、あなた(および他のネットユーザー)が将来の攻撃を防御するためにネットワークをより適切に準備できるよう支援できる専門の専門家。
F5 を入力します。 お客様の場合、サポート契約には緊急インシデント対応支援が無料で付いてきます。 これにより、最も重要な瞬間に必要な支援を受けられるようになるだけでなく、複数の組織の経験を分析、集約、抽象化して、より大きなグループの改善につなげる道も開かれます。 差し迫った脅威に直面している場合は、F5 テクニカル サポートに電話をかけてセキュリティ イベントが発生していることを伝えるだけで、F5 セキュリティ インシデント対応チーム (SIRT) に直接転送されます。 このグローバル チームは、豊富なインシデント対応経験を持つセキュリティ エンジニア (12 以上の言語をサポート) で構成されており、24 時間 365 日対応可能です。 将来の出来事に備えるために、関連するより広範なセキュリティ トピックに必ず立ち返ることになりますが、F5 SIRT の主な目標は、被害を食い止め、ビジネスのための長期的な緩和ソリューションを開発する時間を確保することです。
F5 SIRT のグローバル担当者は、 Advanced WAF (Proactive Bot Defense、CAPTCHA などを含む)、 AFM 、IP Intelligence (IPI)、GeoIP、さまざまなブルート フォース保護オプション、その他のオプションなど、F5 製品または顧客環境で提供されるサービスによって可能になる広範な緩和オプションを選択することもできます。また、必要に応じて F5 のSilverlineチームと連携したり、クラウドベースの DDoS または WAF 保護の追加を推奨したりすることもできます。 該当する場合、これらのソリューションおよびその他のソリューションは F5 セールスを通じて入手できます。
SIRT チームは、トラフィック フローを変更するために迅速に開発および展開される F5 のプログラム可能なiRulesに特に精通しています。 どれくらい早く? 問題の複雑さは常に影響しますが、カスタマイズ可能な iRules は数分以内に準備でき、顧客は数時間以内に導入できます (もちろん、適切な緊急変更管理手順に従います)。
簡単な例を見てみましょう。 F5 の顧客は、F5 デバイスをフロントとする RDP サーバーに対するブルート フォース攻撃を経験していました。 サーバーはインターネットに公開されており、ビジネスをサポートするためにアクセス可能である必要がありましたが、アクセス可能なのは特定のネットワーク範囲のみでした。 この攻撃を軽減するために、F5 SIRT と共同で iRule が開発されました。この iRule は、データ グループを使用してクライアント IP を一連の「既知で信頼できる」外部ネットワークと照合し、それらのネットワーク以外から発信されたトラフィックをすべてドロップする手段として使用しました。 これにより、攻撃が適切に軽減され、顧客のセキュリティ体制が改善されました。 さらに、このアプローチでは、信頼済みリストからネットワークを追加または削除する機能が維持され、顧客は GUI で特定のデータ グループを構成できるため、将来同様の攻撃を防ぐことができます。
インシデント調査の過程で、これまで実際に確認されたことがない、または十分に理解されていない新しいエクスプロイト、キャンペーン、マルウェア、脆弱性などの関連詳細が発見された場合、F5 SIRT は会社全体のチームのネットワークにアクセスして、追加の視点を得ることができます。 このアプローチにより、F5 の脅威研究者、セキュリティ製品開発者、その他の専門家の知識が効果的に集約され、調査結果が分析され、今後の修復策が強化されます。 特定の要素が、より広範な業界に利益をもたらすために公開するのに適している場合、特定の顧客または特定のインシデントに関する詳細は公開されません。 詳細は、 PyCryptoMinerの場合と同様に、特定の脅威の発見と動作に限定されており、該当する場合は一般的なガイダンスも提供されます。
F5 の専門家チームが支援を待機していること、また攻撃を受けた場合に必要な支援を受けるまでに煩雑な手続きや書類作業が不要であることがわかっているため、インフラストラクチャをより適切に保護および管理できます。 さらに、他の顧客が同じ運命をたどる必要がなくなるというメリットもあります。実際、貴重な知識を共有するというこのアプローチにより、組織も長期的に安全になります。
それで、F5 にとって何のメリットがあるのでしょうか? 当然のことながら、当社は企業が事業を成功裏に安全に運営することを望んでおり、顧客の成功が F5 の成功の原動力となります。 さらに、セキュリティ イベントは標的の組織に影響を及ぼすだけでなく、その顧客やパートナー、場合によってははるかに広範囲に波及することもあると認識しています。 (例を挙げると、ユーザーは複数のサイトで同じまたは類似のパスワードを使用することが多く、セキュリティ インシデントの範囲が大幅に拡大します。たとえば、Sony と Yahoo のユーザーは、両方のアカウントで 59% の割合で同じパスワードを使用していることが判明しました。) あまり誇張せずに言えば、この波及効果はインターネット上でビジネスを行っているすべての人に影響を及ぼす可能性があります。 (もう一つ余談: 調査によると、現在オンライン上のユーザー 1 人あたり平均 3 件の侵害されたレコードが存在することがわかっています。
私たち業界は、関連する攻撃の詳細と重要な学習内容を共有する機会を作ることで、システムを脆弱にしている根本的な問題にうまく対処できるようになります。 F5 SIRT では、まず、顧客が自らの立場も向上させながら、社会全体の利益に有利な形で貢献できるように位置付けることから始まります。
詳細情報や F5 セキュリティ インシデント レスポンス チーム (SIRT) への問い合わせについては、 Web ページをご覧ください。