X

クラウド・セキュリティの考え方、コンプライアンス、製品・サービス(データベースセキュリティ・IDaaS・WAFなど)

どのように洗練された行動分析がボット攻撃を阻止するか

原文はこちら (著者 : Laurent Gil)
https://blogs.oracle.com/cloud-infrastructure/how-sophisticated-behavioral-analytics-thwarted-a-bot-attack-v2


Oracle Cloud Infrastructure Web Application Firewall(WAF)は、数か月前に主要なECサイトへの悪意のあるボット攻撃を特定し、軽減しました。

この記事では、洗練された行動分析によって攻撃をどのように阻止したか、それが core-to-edge セキュリティ戦略の重要な要素である理由を紹介します。

攻撃手法

EC業界では一般的であるように、顧客のWebサイトは2つの要素に分かれています。

  • パンフレットウェアサイト:購入商品の選択を含むホームページ
  • コマースエンジン:実際のトランザクションが実行されるバックエンド固有のもので、ユーザーID管理とペイメントゲートウェイが含まれます。

パンフレットウェアサイトとコマースサイトの両方が同じドメインで、顧客は2つのコンポーネントの違いは意識しません。 この場合、両方のコンポーネントは、さまざまな国やタイムゾーンの別々のクラウド環境がホストされています。

顧客のパンフレットウェアサイトの一般的なトラフィックパターンは、夜間はほとんどトラフィックがなく、顧客が利用する日中はトラフィックが増加します。攻撃を受けた当日は、一般的なトラフィックパターンに比べて、昼間のわずかなトラフィックの増加が見られました。

トラフィックの急上昇は、48時間のトラフィックにわたって、サイトのパンフレットウェアコンポーネントにはっきりと表示されます。

コマースサイトでは、疑わしいトラフィックが急増しました。1秒あたりのリクエストの規模を見てください。コマースサイトのほうがパンフレットウェアサイトより2桁高いのです。

通常は、顧客のアプリケーションは約8000万から9000万のリクエストを受けています。この攻撃は非常に洗練され、分散されたボットネットによって、約1000万件の追加リクエストが行われました。Oracle Cloud Infrastructure WAF によって、ボットネットは自動的に識別し、悪意のあるものとして分類してブロックしました  。ボットネットの主な目的は、一時的に在庫保有をすることによって人為的に価格を引き上げることで、それにより競合他社のサイトでの顧客の購入を促しました。

アタック検出

Oracle Cloud Infrastructure WAFは、オラクルの大容量のエッジ・ネットワークを利用してリアルタイムでトラフィックを分析します。これは、トラフィックをクライアントのWebプロパティにプロキシするグローバルに分散されたPOP(Point of Presence)です。

不審なアクティビティが検出されると、WAFのボット管理機能は自動的に分類して、人以外の流入トラフィックをブロックしようとする対策を実行します。ボットネットの高度さに応じて、アプリケーションセキュリティエンジンが自動的に対策を選択します。

Oracle Cloud Infrastructure WAFは、ボットトラフィックの急増を自動的に識別してブロックしました。

攻撃の洗練度とプラットフォームが選択した対抗策は注目に値します。 多くの場合、大規模なボットネットは脅威インテリジェンス層(ボットネットのIPアドレスが既知であり、組織のコンソーシアムによってブラックリストに登録されている場合)またはJavaScript防御層(トラフィック要求に一般的なインターネットブラウザの典型的なJavaScriptエンジンがない場合、ボットとして分類)によって識別されます。

この場合、Oracle Cloud Infrastructure WAFは自動的に起動し、デバイス・フィンガープリント・チャレンジとヒューマン・インタラクション・チャレンジの2つの高度な対策を使用して、疑わしい悪意のあるボットを識別、およびブロックしました。次の図は、これら2つの対策を使用して悪意のあるトラフィック全体が軽減されたことを示しています。

この例では、IPブラックリスト、WAFルール、JavaScriptチャレンジなどの従来のボット管理技術を使用してボットネットをブロックすることは出来ませんでした。

洗練された自動ボット管理

この攻撃でボットの大部分をブロックしたヒューマン・インタラクション・チャレンジは、正当な訪問者の行動分析に基づいて各Webアプリケーションの通常の利用パターンを特定し、標準的な利用行動、アクティビティ、頻度から逸脱するボットにカスタマイズ可能なセキュリティ保護体制を提供します。これが、人工知能のサブセットである機械学習が役立つところです。

ヒューマン・インタラクション・チャレンジが最大限の可能性を発揮するためには、学習モデルを取り入れる必要があります。このモデルは、既知の署名、リクエストヘッダー、共通のIPアドレス、リクエスト言語、およびその他の要素を組み合わせて、正当なユーザーの行動のプロファイルを作成します。トラフィックがこれらの既知の動作パターンに違反すると、トラフィックはチャレンジフラグが立てられ、ブロックされます。

デバイス・フィンガープリント・チャレンジは、50を超える属性に基づいて、仮想ブラウザと実際のブラウザの両方のハッシュ署名を生成します。これらの独自のシグネチャは、リアルタイムの相関関係を悪用して悪意のあるボットを識別してブロックします。

ボットネットは何をしているか

ボットがカート詰めとして知られている攻撃を実行していたのではないかと思います。この場合、ボットはアイテムを予約していましたが、購入は完了していませんでした。これにより、システムはこれらの商品を支払い保留中の在庫から除外し、他の商品の価格を引き上げました。在庫が限られているために商品が売り切れたり、価格が高すぎたりするため、ユーザーはサイトを離れていました。

次の図に示すように、ボットネットはさまざまなIPアドレスと原産国を使用していました。画像はトラフィックあたりの上位国を示しています。ボットネットは通常、さまざまな場所によく配布されていることに注意してください。これは、この攻撃を実行した侵入先のコンピュータが拡散していることを意味します。これはハッキングチーム自体の地理的位置を示すものではありません。

場合によっては、死後のボットの活動の痕跡を見つけることができます。以下は、侵入されたボットネットホストの1つで見つけたファイルの例です。これは、動的な価格設定が誤ったトラフィックによってどのように操作される可能性があるかを示しているようです。

結論

ボット技術がますます洗練されるにつれて、それを止めるために使用される技術も同様に進歩しなければなりません。基本的なボット保護は依然として必要ですが、サイバーセキュリティの将来には、新たな脅威に対する完全な保護のための自動化が組み込まれている必要があります。セキュリティチームが、疑わしい活動の最も早い兆候が検出されたときに防御を有効にするのには、スマートなシステムとプロセスを選択して利用することが重要です。

Oracle Cloud Infrastructureの最先端のセキュリティ戦略は、さまざまな外部および内部の脅威からユーザーと組織を保護し、イベントを共通管理し、アラート、および緩和策の統合を組み込みます。多くの場合、今回紹介したケースのように、攻撃は何百万ものボット要求を行います。攻撃をすばやく識別して対処できるように、瞬時に大容量を動員する必要があります。オラクルの最先端のコンピューティングとインフラストラクチャのキャパシティは、非常にスケーラブルでほぼ無限です。

今回のケーススタディでは、顧客アプリケーションは4,500マイル離れた国の2つの異なるクラウドプロバイダによってホストされています。企業は、オンプレミスのレガシーシステムとそのプライベートクラウドと組み合わせて、複数のクラウドプロバイダーを使用することが増えています。したがって、Oracle Cloud Infrastructure WAFは、アプリケーションがホストされている場所(Oracle Cloud、Amazon Web Service、Microsoft Azure、Google Cloud Platformなど)およびそれらのネットワーク配信メカニズム(コンテンツ配信など)とは独立して機能するように設計されています。

この設計はセキュリティとパフォーマンスにとって特に重要です。なぜなら、1つのプラットフォームがすべてのイベントと監視に関するグローバルなビューを提供し、すべてのアプリケーションに対する独自の保護層として機能するからです。

Be the first to comment

Comments ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.