NETSCOUT Arbor Edge Defenseで暗号化攻撃を阻止
今日のデジタル環境では、暗号化トラフィックは例外ではなく標準です。Transport Layer Security(TLS)1.3のような暗号化はユーザーのプライバシーとデータの完全性を保護する一方で、セキュリティチームにとって増大する課題も突きつけます。暗号化トラフィックの内部に隠れた脅威から、システムに過度な負荷をかけることなく、どのように防御すればよいのでしょうか。
暗号化DDoS攻撃の課題
脅威アクターは常に最新の防御を回避する方法を探しており、最も一般的な 分散型サービス拒否(DDoS) 攻撃手法の一つが、通常のトラフィックに見えるものの中に攻撃を紛れ込ませることです。現在、インターネットトラフィックの膨大な量がHypertext Transfer Protocol Secure(HTTPS)に依存しています。TLS 1.3トラフィックの復号には通常、プロキシベースのソリューションが必要で—これはリソース集約的であるため—多くのセキュリティ製品は暗号化セッションを効果的に検査するのに苦戦します。この盲点により、暗号化 DDoS攻撃 の検知と緩和はより困難になります。
まず遮断し、後で確認する
暗号化された攻撃トラフィックの影響を最小化する方法の一つは、復号する前に単純に破棄することです。私たちは、不要なトラフィックを迅速かつ効率的にフィルタリングするために、いくつかの手法を用いています。
- 既知ソースのブロック: 多くの攻撃者は現在、HTTPS攻撃の送信元を隠すためにオープンなインターネットプロキシを使用しています。私たちはこれらの送信元を継続的に追跡しており、 ATLAS Intelligence Feed(AIF)を活用した対策により、自動的にブロックできます。
- TLS攻撃の防止: この対策はTLSハンドシェイク(暗号化前)を確認し、標準的なユーザー行動に従わないTLSセッションをブロックできます。
- TCP接続の制限: この対策は、各送信元からのTCP接続の挙動を確認します。過剰に多くの接続を開いたり、TCP上で悪用的な挙動を行ったりする送信元はブロックできます。
- レートベースの保護: 通常、攻撃者は正当なユーザーよりも多くのトラフィックを送信するため、これらの保護はそれらの送信元を識別し、自動的にブロックできます。
- 選択的復号: 暗号化トラフィックの挙動が正当なユーザーを模倣する場合に、より高度な攻撃を復号して対処するために使用します。
全面的な復号が常に答えとは限らない理由
すべてのトラフィックを復号するのは現実的ではありません。計算コストが高く、システムリソースを急速に枯渇させる可能性があります。必要なのは、よりスマートなアプローチ—本当に必要な場合にのみ復号の取り組みを集中させる方法です。
NETSCOUTのソリューション:選択的復号
NETSCOUTの Arbor Edge Defense(AED) は、選択的復号によって強力なソリューションを提供します。ネットワークエッジに配置されたAEDは、脅威インジケーターとクライアント検証に基づいて、どのトラフィックを復号するかをインテリジェントに判断します。
仕組みは次のとおりです。
- インテリジェントな復号: トラフィックが流入すると、AEDは正当なクライアントトラフィックを識別し、復号を必要とせずにそのまま通過させます。
- 疑わしいトラフィックの復号: 検証されていない暗号化トラフィックのみを復号し、DDoSの脅威について分析します。
- カスタマイズ可能な復号: ユーザーは特定の保護グループやレベルに対して復号を有効化でき、リソースを無駄にすることなく、狙いを定めた検査が可能になります。
NETSCOUT
選択的復号のメリット
効率的なリソース活用:疑わしいトラフィックに復号を集中し、システム性能を維持
スケーラブルな保護:スループットを損なうことなく、暗号化された脅威に対する大規模防御を実現
柔軟な設定:サービスや脅威レベルのニーズに合わせて復号ポリシーを調整
結論
暗号化トラフィックが増え続けるにつれ、よりスマートなセキュリティソリューションの必要性も高まります。NETSCOUT AEDの選択的復号アプローチは、性能を犠牲にすることなく、暗号化DDoS攻撃に対して効率的かつ効果的に防御できるよう、組織を支援します。
詳細はこちら Arbor Edge Defense。
翻訳元: https://www.csoonline.com/article/4117454/smarter-ddos-security-at-scale.html
