DDoS 攻撃は規模が拡大しているが、対応の規模も拡大している
今日の DDoS (分散型サービス拒否) 攻撃との戦いは、数年前とは大きく異なります。攻撃の規模はかつてないほど大きくなっていますが、攻撃に対処するために利用できる帯域幅やリソースの速度よりも速く拡大しているわけではありません。したがって、サービスに影響を与える DDoS 攻撃を防ぐために、実のところは、組織にとってこれまでよりも良い状況にあります。
平均的な攻撃の規模は大きくなってますが、高帯域幅攻撃の精度はまだ低いままです。ほとんどの場合、大規模な攻撃であるほど、使用される攻撃ベクトルの精度は低くなります。そのため、「高度な」または「マルチベクトル型」 DDoS 攻撃というブランディングが行われてきました。つまり、被害者はたびたび変化する複数のベクトルと戦わなければならないということです。
しかし、業界ではこの課題を解決するために多くのことを行っています。以前の記事の中で扱ったベストプラクティスと、セキュリティに対する最新のアプローチを備えた CDN を探すことによって、さらに多くの方法でアプリケーションを保護できます。これについては、この記事の中で説明します。
DDoS 攻撃に対する業界の成熟したアプローチ
攻撃者が DDoS 攻撃を開始すると、多くの場合、攻撃者は複数のネットワークを通過して被害者に到達します。これらの攻撃の影響が大きくなるにつれて、ネットワークプロバイダーはこのようなタイプの攻撃を中継する際に、攻撃者が参加するのを許可しなくなりました。
例えば、今年初めに Amazon で報告された2 Tbpsのよく知られている最大規模の攻撃では、攻撃者は Connectionless Lightweight Directory Access Protocol (CLDAP) を使用するトラフィックを標的にしていました。業界は、インターネット全体でそのプロトコルで行われているトラフィックの量を制御することで迅速に対応しました。
しかし、それは業界全体での対応を引き起こした最初のプロトコル攻撃ではありません。NTPやSSDP、その他のアンプ/リフレクションベクトルを使用した攻撃も確認されています。業界の組織は、ネットワーク上の「危険にさらされている」デバイスをスキャンしたり、Shadowserver Foundation などの組織と提携して、組織のセキュリティと保護に役立つ脅威データをタイムリーに提供するすることで、よりプロアクティブな対策も講じています。
DDoS 攻撃や脅威アクターの特定、準備、防御に関与する組織間のコラボレーションもますます一般的になってきました。NANOG、MAAWG、および業界固有の Industry Sharing and Analysis Center (ISAC) を含むいくつかの業界グループには、DDoS の戦術、技術、手順 (TTP) に焦点を当てたワーキンググループがあり、ベストプラクティスと経験を共有しています。これらはすべて、組織的な準備と戦略の採用に貢献しています。
DDoS 攻撃に対する最新の CDN のアプローチ
業界の対応と同様に、CDN の中には DDoS 攻撃に対する防御のために、より最新のアプローチを取っているものもあります。Secure DevOps とセキュリティツールによって、検知までの時間 (TTD) と問題対処までの時間 (TTM) の点で、DDoS 固有の KPI に関して全体的に改善が進み、ビジネスの稼働時間とカスタマーエクスペリエンスが向上しました。しかし、ネットワーク全体に組み込まれたリアルタイムの可視性とセキュリティを備えた CDN を使用することで、Web サイトやモバイルアプリケーションの配信とパフォーマンスを保護し、そして最適化することができます。
インテリジェントなネットワーク : DDoS 攻撃の規模が拡大するにつれて、利用可能な帯域幅も拡大するため、CDN が DDoS 攻撃を「吸収」できるようになります。例えば、100 Tbpsの能力を上回る Fastly のネットワークは、前述の最大の攻撃の能力を十分に上回っています。多くの攻撃はブロックを回避するためにリアルタイムで進化するため、リアルタイムで見て適応できるインテリジェントなアーキテクチャは非常に価値があります。例えば、グローバルデプロイ時間の平均が約13秒 (2019年3月31日現在) の場合、1分以内に72台の POP にポリシーを適用できます。
より安全なトラフィック : IP レベルやポートレベルでのブロックは、オーバーブロックのリスクがあり、注目度の高いサイトの重要なビジネスイベント中に効果的な対策を行うには、必要な粒度レベルが足りない可能性があります。より最新の CDN では、より高度なブロックが可能です。例えば、HTTP トラフィックと HTTPS トラフィックのみをサイトに戻すことで、高度な保護を実現しています。これは、出回っている大規模な攻撃の多くは単純で、HTTP と HTTPS を利用していないためです。
可視性 : 見えないものは止められません。HTTP (S) トラフィックは、特に攻撃を受けている場合に、大きな視点で見ることが難しい可能性があります。また、バイラルキャンペーンで聞こえるとどろきと DDoS 攻撃または不正なボット動作の間には、微妙な境界線が存在するかもしれません。必要なのは、リアルタイムで柔軟なログ機能です。これにより、運営者は攻撃を軽減するための優れた可視性を手に入れることができ、イベントの影響を最小限に抑え、ビジネスを継続し、サイトへのアクセスが必要な正規ユーザーのエクスペリエンスを保護できます。
よりスマートなロジック : 既存の CI/CD サイクルに適合する API ファーストのプラットフォームを使用すると、セキュリティ組織やアプリケーション組織内で現在発生している手動プロセスを自動化できます。このような統合は、検出時間や対応時間を最小限に抑え、DDoS 攻撃がビジネスに悪影響を及ぼすリスクを大幅に低減するなど、成果を上げるための原動力となります。
次世代の CDN がもたらすその他のセキュリティ上のメリットについてご関心をお持ちでしたら、最新 CDN ガイド : 現代の開発者のためのセキュリティをご覧ください。