攻撃対象となるアプリ: DDoS 攻撃の永続的な力
アプリケーションは会社の顔です。 最近では顧客の好意は一瞬で得られるか失われるかするため、いかなる形であれダウンタイムは許されません。 業務を遂行できない1秒ごとに、金銭的損失や評判の損失につながる可能性があります。
混乱や損害をもたらす新しいサイバー攻撃は数多く存在しますが、最も顕著な(そして混乱を招く)脅威の 1 つとして、明らかに「昔ながらの」脅威が残っています。
分散型サービス拒否 (DDoS) 攻撃は新しいものではありません。 実際、サービス拒否攻撃に似た最初の既知の事件は、1974年にイリノイ大学の13歳の少年が学習管理システムに接続された端末でいっぱいの部屋をダウンさせたときに発生したと報告されています。
それ以来時代は変わりましたが、DDoS 攻撃は進化を続け、勢力を増し、大混乱を引き起こし続けています。 これは特にCOVID-19の影響下で当てはまり、過去2四半期の業界レポートでは世界中で大幅な増加が報告されています。
しかし、パンデミック以前から、DDoS の脅威は増加傾向にありました。 たとえば、 F5 セキュリティ インシデント レスポンス チームのデータの最近の分析では、2019 年にサービス プロバイダーに対して行われたすべての攻撃の 77% が DDoS 関連であったことが報告されています。 2017年は約30%でした。
リスクは何ですか?
DDoS 攻撃には通常 3 つの形式があります。 最も一般的な攻撃は、ボリュームフラッドとも呼ばれる高帯域幅攻撃です。 大量のトラフィックが標的の被害者のネットワークに送信され、大量の帯域幅を消費してユーザーのアクセスが拒否されることを目的としています。
さらに、プロトコル攻撃(「コンピューティング」攻撃または「ネットワーク」攻撃と呼ばれることもあります)は、プロトコルの弱点または通常の動作を悪用してサービスを拒否します。 これらは通常、ICMP (インターネット制御メッセージ プロトコル)、TCP (トランスポート制御プロトコル)、UDP (ユーザー データグラム プロトコル) などの OSI レイヤー 3 およびレイヤー 4 プロトコルです。 目的は、ネットワークまたは中間リソース (ファイアウォールなど) の計算能力を使い果たし、サービス拒否を達成することです。
最後に、おそらく最も困難なのは、ネットワーク自体ではなく、Web サーバー、Web アプリケーション プラットフォーム、および特定の Web ベースのアプリケーションをターゲットとするアプリケーション層攻撃 (OSI レイヤー 7 攻撃とも呼ばれます) です。 これは、攻撃者がサーバーをクラッシュさせ、Web サイトまたはアプリケーションにアクセスできないようにしようとする場合です。 これらの攻撃は、既知のアプリケーションの脆弱性やその基盤となるビジネス ロジックを標的にしたり、HTTP/HTTPS (Hypertext Transfer Protocol/Secure) や SNMP (Simple Network Management Protocol) などの上位層プロトコルを悪用したりする可能性があります。 この種の攻撃は、多くの場合、帯域幅をあまり使用せず、必ずしもトラフィックの突然の増加を示すわけではないため、誤検知なしに検出して軽減することが非常に困難になります。 アプリケーション層攻撃は、1 秒あたりのリクエスト数で測定されます。
セキュリティ チームが直面している最大の課題の 1 つは、DDoS 攻撃がいかに簡単に開始されるかということです。オンライン リソースが多種多様であるため、ボタンをクリックするだけでほぼ誰でもサイバー犯罪者になることができます。 料金を支払って、好きなターゲットを攻撃できるサービスもあります。 ハクティビスト、不満を抱いた元従業員、既成のコードを利用する「スクリプトキディ」、国家の行為者など、誰もがこれに取り組んでいます。
残念ながら、標的になることを完全に回避する方法はありませんが、組織をより適切に保護するために実行できる手順がいくつかあります。
安全を保つ
まず第一に、DDoS 対応計画を策定することが重要です。 これは、インシデント対応のすべてのステップ (人、プロセス、役割、手順など) を概説したプレイブックである必要があります。
アプリベースの DDoS 攻撃を効果的に軽減するには、すべての組織が次のことを行う必要があります。
- 典型的なトラフィックの動作を学習し、その洞察を活用して異常を排除します。
- 正確にしてください。 正当なアクティビティの急増と攻撃を区別できれば、リスクを増大させることなく、望ましいユーザー エクスペリエンスを維持できます。 侵害を受けているシステムのパフォーマンスを可視化することは非常に重要です。
- 悪質な行為者を見つけます。 アプリケーション層攻撃では、接続が確立されます。 これは、攻撃のソースを見つける機会があることを意味します。
- 攻撃シグネチャを生成します。 大規模なプロキシ サーバーが関与している場合は、攻撃元をブロックすると、正当なユーザーのアクセスが遮断される可能性があります。 攻撃に対する固有のシグネチャを使用すると、きめ細かいレベルでブロックできます。 攻撃の弱点を見つけて、それを脅威の攻撃者に対して使用することができます。
特定の DDoS 保護ソリューションを実装する場合は、常に組織が攻撃を受ける頻度 (またはその可能性)、攻撃を防御するための社内のスキルセット、利用可能な予算、ネットワークの容量と制限に基づいて決定する必要があります。 展開オプションには以下が含まれます。
- オンプレミス。 オンプレミスの DDoS ソリューションは、ネットワーク容量が中程度の攻撃 (10 ~ 50 Gbps の範囲) を処理でき、定期的に攻撃がターゲットになっており、社内に熟練した DDoS 緩和担当者がいる場合に機能します。
- アウトソーシングソリューション。 ネットワーク回線が 10 Gbps を超える攻撃に対応できず、攻撃のリスクが低く、オンプレミス ソリューションを管理するための社内専門知識がない場合は、DDoS スクラビング センター (アウトソーシング サービス) をお勧めします。
- ハイブリッドDDoS。 ネットワーク容量を超える大規模な DDoS 攻撃が頻繁に発生し、社内の緩和に関する専門知識が限られている場合は、ハイブリッド モデルを選択して、オンプレミスの DDoS ソリューションと組み合わせてマネージド サービスを使用できます。
これらの推奨事項に加えて、ネットワーク トラフィックを監視および分析するファイアウォールと侵入検知システムを使用して、ネットワーク インフラストラクチャが保護されていることも確認する必要があります。 さらに、マルウェア感染を抑制するためのウイルス対策ソリューションの使用や、可用性の維持に役立つ負荷分散と冗長性の使用も推奨されます。
同時に、リモート管理を管理ネットワーク(インターネット全体ではなく)に制限したり、インターネットに接続されたネットワーク ポートとサービスを頻繁にスキャンしたりするなど、技術的および管理上の制御を見逃さないことが重要です。
誰もが DDoS を真剣に受け止め、いつかは攻撃を受けることを想定して、ビジネス目標と密接に連携した計画と緩和策を講じる必要があります。