DDoS 攻撃に備える : 攻撃者に見つかる前に取るべき5つのステップ
このメールはシンプルで、単刀直入です : 「我々は Fancy Bear だ。おまえの会社を次の DDoS 攻撃の標的として選択した」
分散型サービス拒否 (DDoS) 攻撃に対する防御で保護されていない企業サーバーは、アプリケーションのパフォーマンスを低下させるように設計されたネットワークリクエストと大量のパケットを組み合わせた30分間の激しい攻撃を1日以内に受けることになります。
このようなセキュリティ上の課題と向かい合う準備はできていますか。
真の脅威
これは理論的なシナリオではありません。2019年11月、ニュージーランドのコンピューター緊急事態対策チーム (CERT NZ) は、攻撃者がランサムウェアによる身代金の要求を電子メールで送信し、その後被害者のサーバーに対する短い攻撃を行っていることに対して注意を促し、同国の金融セクターに警告を発しました。CERT NZによると、身代金の支払いを拒否した企業に対する大規模な追加攻撃はありませんでしたが、その可能性はあったとのことです。
当然ながら、Fastly は、DDoS 攻撃に備えて企業がどのような対策を講じるべきかについて、お客様からガイダンスのリクエストを定期的に受けています。レイヤー3やレイヤー4の攻撃または増幅を利用した大規模なデータフラッドは、一般的に Fastly の POP によってネットワークのエッジで遮断されます。しかし、レイヤー7の攻撃は、アプリケーションを標的とし、オリジンシステムをあふれさせる可能性があるリクエストを発行するなど、多くの場合、他のネットワークトラフィックに溶け込もうとするため、より集中的な防御が必要になります。
ここでは、このような攻撃に備えるために実践できる5つのベストプラクティスをご紹介します。
1. 計画を立て、計画をテストし、計画を更新する
企業は、攻撃が起こる前に計画を立てておく必要があります。Fastly は以下を行うことを推奨します。
攻撃の影響を受ける可能性のあるサーバーとアプリケーションを把握する。
これらの資産へのアクセス喪失による損害額を見積もる。
各資産の管理責任者を把握する。
特定の資産に対する攻撃がどのようなものかを理解する。
攻撃を軽減するためのマニュアルを作成する。
企業は、攻撃に備えて計画を立てるだけでなく、定期的に演習を実施し、攻撃の検出、対応、軽減の責任者をステークホルダーが把握できるようにする必要があります。
2. 必要になる前に人間関係を構築する
攻撃の最中に、クラウドプロバイダー、Web アプリケーションファイアウォール (WAF) プロバイダー、または DDoS の対策企業などの適切な連絡先を探している時間はありません。主要なサービスプロバイダーの適切な人材との人間関係を構築し、その情報をマニュアルに記載します。
Fastly の場合は、アカウントマネージャー (support@fastly.com) にご連絡ください。または共有 Slack チャンネルに投稿してください (適切な場合)。
3. 必要なログを記録していることを確認する
正当なお客様を締め出すことなく DDoS 攻撃に対応するためにはログが不可欠です。そのため、ログに IP アドレスや位置情報データなどの必要な情報が含まれていることを確認し、会社または DDoS 防御プロバイダーが不正なトラフィックをフィルタリングできるようにします。
また、攻撃中にログにアクセスできることも確認してください。ログデータをクラウドに保存することは合理的ですが、DDoS 攻撃によってクラウド資産へのアクセスが切断されると、問題が発生する可能性があります。
4. オリジンを保護する
DoS (サービス拒否攻撃) により、お客様および従業員によるオンライン資産へのアクセスがブロックされます。攻撃を緩和すると、ビジネスは回復しますが、データの漏洩や消去などの、実際にデータのオリジンに損害を与える攻撃は、企業に重大なダウンタイムを発生させます。このような攻撃を受けると、会社が倒産に追い込まれる可能性があります。
そのため、企業はビジネスの継続に必要な情報を保持するグラウンドトゥルースサーバーであるオリジンを常に保護しておく必要があります。例えば、Fastly を利用することで、オリジンサーバーを過負荷にする可能性のあるキャッシュミスからオリジンサーバーを守ることができます。
5. すばやいデプロイのための防御策を準備する
環境が、アプリケーション変更の提案からそれをデプロイするまでの一連のアクションの影響を受けるのであれば、重要な変更を迅速に実施できるシステムが必要になります。
アクセス制御リストの変更、特定の IP アドレスのブロック、または特定のサービスへのレート制限リクエストなど、どれを行うにしても、攻撃中に状況を変化させるには、これらの変更をすばやく行う必要があります。Fastly では、標準 VCL フィルタを発行し、カスタムの VCL 保護ルールを作成して、複雑なアプリケーション攻撃の影響を制限できます。
DDoS 攻撃は、いつかはあなたの会社に影響を与えるでしょう。アプリケーションチームとセキュリティチームは今しばらく時間をかけて、脆弱性を迅速に修復し、攻撃を軽減するプロセスが整っているかを確認する必要があります。ライブデモに参加して、Fastly がどのように役立つかご確認ください。