データシート

Fastly Attribute Unmasking

セキュリティDDoS 対策

Fastly DDoS Protection適応性の高い Attribute Unmasking 技術を活用し、アプリケーションに対する DDoS 攻撃を自動的に検出して識別し、軽減します。

内容

Attribute Unmasking データシート

Fastly DDoS Protection支える適応性の高い技術

適応性の高い Fastly の Attribute Unmasking は、アプリケーションや API を標的とする DDoS 攻撃を自動的に検出して識別し、軽減します。Fastly 独自の同技術は非常に精度が高く、数秒で DDoS 攻撃を軽減できます。これは Fastly DDoS Protection の中核を成す技術であり、以下の3つの基本原則に基づいて構築されています。

  1. 悪意のあるトラフィックを迅速かつ正確に検出することからすべてが始まる

  2. 誤検知の回避を優先し、緩和対策を安全に実行できるようにする

  3. 欺瞞的な防御戦略を採用し、攻撃者が利用できる情報を最小限に抑える

悪質なトラフィックを迅速かつ正確に検出

Attribute Unmasking において最も重要なのは迅速な検出です。ほとんどの攻撃は、1秒あたりのリクエスト数 (RPS) が0から数百万、数億へと急激に増加し、1分以内に終了することも珍しくありません。90日以上に及ぶデータから Fastly が確認した攻撃を見ると、人間が攻撃に気付き、対応できるようになる前に攻撃が終わっているケースが多いことが分かります (図1)。  

Fastly Attribute Unmasking Graph01

図1 : 観測された攻撃の持続時間 (秒)

  • 90%の攻撃で持続時間が150秒以下

  • 50%の攻撃で持続時間が52秒未満

可能な限り素早く攻撃を軽減するため、Fastly DDoS Protection は、容量が少なく必然的にボトルネックとなる一元化された機能ではなく、グローバルエッジ全体で属性のマスク解除処理と決定を実行します。Fastly のソフトウェア定義ネットワークにより、専用のハードウェアやルーターなどの他のコンポーネントへの依存を排除できます。これにより、正当なトラフィックに影響を与えることなく迅速に処理、分析、診断し、効果的に対応するパワーと柔軟性が Attribute Unmasking にもたらされます。

精度の高い検出

高度な攻撃は正当なトラフィックに紛れることが多いため、攻撃を識別してオーガニックトラフィックと区別することは容易ではありません。仮にチームが手動で攻撃を識別できたとしても、攻撃を軽減するために多くの負担 (時間、リソース、コンピューティング、ビジネスへの悪影響など) が強いられることになります。Attribute Unmasking は、レイヤー3およびレイヤー4のヘッダー、TLS 情報、レイヤー7の詳細などの包括的な特性リストから、正確に攻撃者の ID を抽出します。これには IP アドレス、http プロトコル、TLS プロパティ、地理的位置情報、ネットワークエグレス/イングレスルートなどの特性が含まれます。  インバウンドリクエストからメタデータを取り込み、攻撃の形状や規模に合致するトラフィックの形状と規模に一致する要素を抽出します。ほぼすべての攻撃には固有の特性があるため、このプロセスは、攻撃者を検出して攻撃を軽減するための最も正確で安全な方法です。 

さらに Attribute Unmasking はモジュール型システム上に構築されているため、新種の攻撃が発見されても、それに対処するのに新しいメカニズムを一から開発する必要がなく、検出機能と防御機能を素早く強化することが可能です。Rapid Reset 攻撃のような新しい攻撃を受けた場合、Fastly は新しい関数を検出とレスポンスのモジュールに追加し、新種の攻撃にも驚くほど短時間で対処します。 

何よりも、DDoS 攻撃を迅速かつ正確に検出して自動的に軽減するため、DDoS 攻撃の発生を心配する必要がなくなります。

安全な緩和策

自動化されたシステムには、誤検知が発生し、正当なトラフィックがブロックされるリスクがつきものです。自動化されたシステム単独、または人為的エラーとの組み合わせにより、長い間システム停止が発生してきましたが、ポリシーが緩すぎると、実際の攻撃を見逃してしまいます。

迅速な検出と正確なシグネチャ抽出を基盤とする Attribute Unmasking により、正当なトラフィックに影響を与えることのない安全な緩和機能を実装できます。この緩和機能は常時オンの状態にあり、徹底的な検証とコードレビューのプロセスを経ているため、影響はなく常に安全であると見なされます。Attribute Unmasking は、複数の同期攻撃によって圧倒されることはなく、複数の攻撃を同時に軽減できるため、どのような攻撃を受けてもサービスのパフォーマンスと可用性が維持されます。

欺瞞的防御策

DDoS 攻撃において、情報は力です。攻撃者はネットワークに関する知識や以前の攻撃から得たインサイトを参考に、次の攻撃の実行方法を決定します。これは常に進化し続ける猫とネズミのゲームに似ています。攻撃者から情報を隠すと、攻撃方法を変更する必要性や、どのように変化させるべきかを判断するのに、攻撃者はより多くの労力を費やすことになります。プラットフォームの大半は攻撃を検知すると、迅速に応答して攻撃者の接続を切断するか、または別の方法でプラットフォームへのアクセスを拒否します。これにより、攻撃者は自分の攻撃が特定され、同じアプローチを再度試みた場合、より簡単に特定され、ブロックされてしまうことに気づきます。そのため Attribute Unmasking は攻撃者に送り返されるあらゆるタイプの情報を、意図的に最小限に抑えます。 

Attribute Unmasking仕組み

以下は、Fastly のお客様に対する DDoS 攻撃を Attribute Unmasking によって検出、識別、軽減するプロセスを簡略化した例です。Attribute Unmasking は、トラフィックパターンに異常な急増がないか、常にお客様のトラフィックを監視します (図2)。 

Fastly Attribute Unmasking Graph02

図2 : サンプル攻撃の検出

攻撃が検出されると、Attribute Unmasking はミリ秒単位で動作し、攻撃曲線に最も一致する属性が見つかるまで個々の属性を検証します (図3)。

Fastly Attribute Unmasking Graph 03

図3 : 個々の属性の検証

Attribute Unmasking は、攻撃曲線に最も一致する最初の属性を見つけるとすぐにプロセスを繰り返し、別の特性を組み合わせて攻撃トラフィックの増加をより正確に示す方程式を構築します。この手法では、この方程式に属性が追加されるたびに、モデルをさらに改善するために必要な自由度が縮小されます。このプロセスは、Attribute Unmasking が攻撃トラフィックの増加に一致する一意の方程式を作成し、攻撃者固有の ID を確実にブロックするまで継続されます (図4)。

Fastly Attribute Unmasking Graph04

図4 : 属性セットの検証

このようなプロセスは計算負荷が高いように思われるかもしれませんが、Fastly のグローバルエッジのパワーとスピードにより、検出、識別、緩和が数秒で実行されます。この例は単一の攻撃でしたが、異なる悪意のあるアクターによる複数の標的型攻撃に対しても同時に防御できます。

DDoS 攻撃の巧妙さと頻度が高まり続ける中、複雑なソリューションや手動のソリューションでは効果的に対処することが不可能です。Attribute Unmasking はアプリや API を標的とする DDoS 攻撃を正確に検出、識別、軽減する自動ソリューションです。Attribute Unmasking は Fastly DDoS Protection の中核を成す技術であり、まったくチューニングなしで数秒で効果を発揮します。そのため、効果的なセキュリティを確保するためにリソースを費やす必要がなくなり、攻撃によるパフォーマンスや可用性への影響をエンドユーザーが感じることもなくなります。Fastly DDoS Protection がアプリケーションに対する DDoS 攻撃の影響を自動的に軽減する方法について詳しくは問い合わせください。

Fastly試してみませんか ?

問い合わせ
Fastly
© Fastly 2024