Nmap、Masscan、PNScan などの Web スキャナーは、クラウドインフラストラクチャのオープンポートや公開されているサービスを探索します。収集されたデータ (サービスの種類、バージョン、構成など) は、偵察フェーズにおいて攻撃者に攻撃対象領域の詳細なマップを提供します。このアクティビティを早期にブロックすることで、その後の標的型攻撃のリスクを軽減できます。
Cloud Firewall の侵入防止システム (IPS) には、ポートスキャンやサービスプロービングのアクティビティを検出してブロックするルールが含まれています。デフォルトでは、これらのルールは [監視] モードで実行されます。このモードでは、トラフィックをブロックせずに検出をログに記録します。このデフォルト設定により、[ブロック] モードに切り替える前にアクティビティを監視し、誤検知がないことを確認できます。
潜在的な影響
偵察トラフィックがブロックされない場合、次のような影響を受ける可能性があります。
| 影響 | 説明 |
|---|---|
| 公開されているポートとサービス | 攻撃者は、どのポートがオープンで、どのサービスが実行中であるかを特定し、後続の攻撃のためのターゲットリストを作成します。 |
| サービスのフィンガープリント | サービスの詳細なバージョンと構成データにより、攻撃者はご利用の環境に合わせたエクスプロイトを選択できます。 |
ブロック情報検出活動
次の 2 段階のアプローチを使用して、情報検出ルールを [監視] モードから [ブロック] モードに切り替えます。[監視] モードから開始することで、ブロックする前に内部セキュリティ監査などの正当なスキャンアクティビティを特定できるため、承認されたトラフィックの中断を回避できます。
前提条件
開始する前に、次のものが揃っていることを確認してください。
Cloud Firewall コンソールへのアクセス権
IPS 設定を変更する権限
ステップ 1:[監視] モードでの検出の確認
ブロックする前に、一定期間、情報検出ルールを [監視] モードで実行して、正当なスキャンアクティビティを特定します。
Cloud Firewall コンソールにログインします。
[防止設定] > [IPS 設定] に移動します。
[基本保護] セクションで、[設定] をクリックします。
[基本保護] ダイアログボックスで、関連するルールが [監視] に設定されていることを確認します。
検出ログを確認して、誤検知がないかチェックします。
ステップ 2:[ブロック] モードへの切り替え
正当なトラフィックに影響がないことを確認した後、ルールを [ブロック] モードに切り替えます。
Cloud Firewall コンソールにログインします。
[防止設定] > [IPS 設定] に移動します。
[基本保護] セクションで、[設定] をクリックします。
[基本保護] ダイアログボックスで、一部またはすべての情報検出ルールのモードを [監視] から [ブロック] に変更します。
[OK] をクリックします。
これにより、Cloud Firewall はポートスキャンとサービスプロービングの試みをアクティブにブロックし、攻撃者がインフラストラクチャに関する偵察データを収集するのを防ぎます。