Cloud Firewall のデフォルトの侵入防止システム (IPS) は、悪意のあるトラフィックをリアルタイムでアクティブに検出し、ブロックします。これには、悪意のある攻撃、エクスプロイト、ブルートフォース攻撃、ワーム、マイニングプログラム、バックドア型トロイの木馬、サービス妨害 (DoS) 攻撃などが含まれます。IPS は、企業のエンタープライズ情報システムとクラウドネットワークアーキテクチャを危害から保護します。また、不正アクセス、データ侵害、および業務システムやアプリケーションへの損害やダウンタイムも防ぎます。
クラウドにおける一般的なネットワーク攻撃
クラウド環境では、企業は多くの場合、パブリックネットワークや内部ネットワークからアクセス可能な重要な業務システムをデプロイします。これらのシステムには、開発環境、本番環境、データ中台などが含まれます。これらのシステムは、さまざまなネットワークセキュリティの脅威に直面しています。攻撃者はネットワークを介して侵入や不正アクセスを試み、データ侵害、サーバーリソースの枯渇、またはサービスの中断を引き起こす可能性があります。
一般的なネットワーク攻撃の種類は次のとおりです。
マルウェア攻撃:攻撃者は、ウイルス、ワーム、トロイの木馬などの悪意のあるプログラムをユーザーにダウンロードさせてクラウドサーバーに感染させます。これにより、永続化を実現したり、ラテラルムーブメント (水平展開) を実行したりします。
ポートスキャンとブルートフォース攻撃:攻撃者は自動化ツールを使用してオープンポートをスキャンし、ブルートフォース攻撃によってシステムのログイン認証情報を取得しようとします。侵入に成功した後、多くの場合、バックドア、マイニングプログラム、またはランサムウェアをデプロイします。
Web アプリケーションの脆弱性攻撃:これには、SQL インジェクション、クロスサイトスクリプティング (XSS)、クロスサイトリクエストフォージェリ (CSRF)、リモートコード実行 (RCE) などが含まれ、攻撃者はアプリケーションのバグを悪用してデータを盗んだり、コンテンツを改ざんしたり、システム権限を取得したりします。
レイヤー 4 プロトコルの脆弱性攻撃:これらの攻撃は、TCP/UDP などのトランスポート層プロトコルスタックの脆弱性を標的とします。これにより、サービス妨害や権限昇格につながる可能性があります。
データベース攻撃:Redis や MySQL などのデータベースサービスへの不正アクセスや設定ミスにより、データが盗まれたり、悪意のある命令が注入されたりします。
コマンド実行とリバースシェル:攻撃者は、システムやアプリケーションの脆弱性を悪用して任意のコマンドを実行します。また、リバースシェルを確立することもあります。これは、境界防御をバイパスしてリモートコントロールを実現するアウトバウンド接続です。
これらのリスクに効果的に対抗するために、企業は多層防御戦略を実施する必要があります。これには、Cloud Firewall の有効化、ネットワークセキュリティ構成の強化、脆弱性の迅速なパッチ適用などが含まれ、業務システムのセキュリティと可用性を確保します。
Cloud Firewall の IPS 機能
Alibaba Cloud の Cloud Firewall は、侵入防止システム (IPS) を統合し、クラウドベースのビジネスに効率的かつ精密なセキュリティ保護を提供します。リアルタイムのトラフィック検査、仮想パッチ、アウトバウンドの脅威保護、脅威インテリジェンスの統合、およびインテリジェント分析モデルを使用します。
コア機能は次のとおりです。
脆弱性エクスプロイトのブロック:5,000 を超える組み込みの基本防御ポリシーと仮想パッチにより、既知のエクスプロイトを迅速にブロックし、攻撃ウィンドウを大幅に短縮できます。
仮想パッチメカニズム:まだパッチが適用されていない脆弱性を持つ業務システムに対して、Cloud Firewall は 3 時間以内に軽減ポリシーを提供できます。このアプローチでは、システムパッチのインストールやサービスの再起動は不要で、高リスクおよびゼロデイ脆弱性からのリスクを効果的に軽減します。
アウトバウンドの悪意のあるトラフィックの保護:侵害されたホストと悪意のある C&C (コマンド & コントロール) サーバー間の通信、マイニングのためのアウトバウンド接続、異常なデータ窃取などの動作を検出およびブロックします。これにより、内部の脅威の拡散と機密情報の漏洩を防ぎます。
脅威インテリジェンスの統合:Alibaba Cloud のグローバルなセキュリティ認識システムに基づいて、信頼性の高い脅威インテリジェンスをリアルタイムで同期します。これには、悪意のある IP アドレス、悪意のあるドメイン名、C&C アドレス、スキャンソース、ブルートフォース攻撃ソースなどが含まれ、動的かつ精密な保護を提供します。
インテリジェントな脅威識別:Alibaba Cloud が蓄積した膨大な量の攻撃サンプルと行動データから構築された機械学習モデルを活用します。これにより、未知の脅威や新しい攻撃パターンを識別し、対応する能力が強化されます。
これらの機能を利用することで、Cloud Firewall の IPS は、ビジネス運用を中断することなく、ネットワーク層およびアプリケーション層で、プロアクティブ、継続的、かつ自動化されたセキュリティ保護を提供します。
Cloud Firewall の侵入防止は、TLS インスペクションをサポートしており、インターネット境界で暗号化されたアウトバウンドトラフィックを復号して検査します。インバウンドトラフィックについては、Web Application Firewall を使用して保護してください。
脅威インテリジェンス機能
Alibaba Cloud の脅威インテリジェンスは、多次元のデータフュージョンとインテリジェントな分析を通じて生成され、信頼性の高いインテリジェンス情報を保証します。
データソース
クラウド全体の攻撃イベント:パブリッククラウドおよびパートナーネットワークにデプロイされたセンサーが、攻撃トラフィックとサンプルをリアルタイムでキャプチャします。
大量の匿名化されたセキュリティトラフィックログ:匿名化されたネットワークトラフィックを分析することにより、攻撃パターンと悪意のある接続が抽出されます。
グローバルなオープンソースの脅威インテリジェンス:権威ある業界団体やセキュリティコミュニティからのオープンソースインテリジェンス (OSINT) が統合され、検証されます。
パートナーとのインテリジェンス共有:キャリア、クラウドコンピューティングベンダー、その他のセキュリティ組織と信頼できるデータが交換されます。
生成方法と識別基準
多次元関連分析:IP アドレス、ドメイン名、URL、ファイルハッシュ値、攻撃手法などの情報が包括的に分析され、完全な脅威グラフを構築し、誤検知を削減します。
インテリジェント分析エンジン
ビッグデータと機械学習モデル:行動分析と異常検知モデルを使用して、大量のデータから疑わしい悪意のあるパターンや新たな脅威ファミリーを自動的に識別します。
エキスパートルールシステム:セキュリティ専門家によって洗練された精密な検出ルールを使用して、既知の脅威タイプを迅速かつ正確に照合します。
動的レピュテーションスコアリング:活動履歴、分布範囲、脅威タイプ、信頼度などの要因に基づいて、各脅威インジケーターの動的レピュテーションスコアが計算されます。
手動レビューと検証:価値の高い、または複雑な脅威の状況については、専門のセキュリティ分析チームが最終的なレビューと認定を行い、インテリジェンスの精度と信頼性を保証します。
脅威インテリジェンスのコアカテゴリ
Alibaba Cloud の脅威インテリジェンスは、ネットワークインタラクションの主要な要素を中心に構築されており、IP 脅威インテリジェンス、ドメイン名脅威インテリジェンス、URL 脅威インテリジェンスの 3 つのカテゴリに分類されます。IP 脅威インテリジェンスは、トラフィックの方向に基づいて、さらにアウトバウンドとインバウンドの脅威インテリジェンスに分類されます。
アウトバウンド IP 脅威インテリジェンス
照合オブジェクト:内部ネットワークがアクティブにアクセスする宛先 IP アドレスと照合します。
コアバリュー:内部ホストが侵害されているか (たとえば、トロイの木馬に感染しているか、ボットネットの一部であるか)、またはコンプライアンスに違反する、あるいは悪意のあるアウトバウンド動作 (マイナープールや C&C サーバーへのアクセスなど) があるかどうかを検出するために使用されます。
具体的なタイプと特徴の説明:
タイプ
一致する特徴と脅威の説明
Tor ノード
既知の Tor ネットワークの出口、入口、またはリレーノードの IP アドレスと一致します。内部ホストからのアクセスは、データ窃取やコマンド & コントロールなどの悪意のある活動を隠すための匿名化された通信の試みを示している可能性があります。
マイニング
暗号通貨マイニングのトロイの木馬が通信する IP アドレス、またはパブリックまたは隠されたマイナープールの IP アドレスと一致します。このような IP アドレスへのアクセスは、システムにコンピューティングリソースを消費するマイニングプログラムが埋め込まれている可能性があることを示します。
C&C
ボットネット、リモートアクセス型トロイの木馬、ランサムウェアなどのマルウェアの C&C サーバーの IP アドレスと一致します。侵害されたホストはこれらの IP アドレスにアクセスして、攻撃命令を受信したり、データを送り返したりします。
APT
高度な持続的脅威 (APT) グループが所有または使用するインフラストラクチャの IP アドレスと一致します。このような IP アドレスへのアクセスは、システムが組織的かつ標的型の高度な攻撃を受けている可能性が最も高いことを意味します。
リバースシェル
過去にリバースシェル接続を受信したことが観測されている IP アドレスと一致します。内部ホストからのアクセスは、ファイアウォールをバイパスするアウトバウンドのリバースコントロールチャネルを確立しようとする試みを示している可能性があります。
フィッシング
フィッシングサイトをホストするために使用されるバックエンドサーバーの IP アドレスと一致します。このような IP アドレスへのアクセスは、ユーザーがフィッシングリンクをクリックし、詐欺サーバーとの接続を確立したことを意味する可能性があります。
悪意のあるダウンロードソース
ウイルス、トロイの木馬、スパイウェアなどのマルウェアを配布するために使用されるサーバーの IP アドレスと一致します。このような IP アドレスへのアクセスは、悪意のあるペイロードがダウンロードまたは更新されていることを示している可能性があります。
インバウンド IP 脅威インテリジェンス
照合オブジェクト:外部ネットワークから内部資産にアクティブにアクセスする送信元 IP アドレスと照合します。
コアバリュー:ネットワーク境界、サーバー、およびアプリケーションシステムを標的とする外部からの攻撃をリアルタイムで検出および警告するために使用されます。
具体的なタイプと特徴の説明:
タイプ
一致する特徴と脅威の説明
スキャン
ポートスキャン、サービスプロービング、ネットワークマッピングなどの偵察行為を示す IP アドレスと一致します。これは、攻撃が開始される前の典型的な準備活動です。
ブルートフォース攻撃
SSH、RDP、FTP、データベース、Web ログインポータルなどのサービスに対して多数のログオン試行を行う IP アドレスと一致します。
エクスプロイト
Apache Log4j2 や EternalBlue などの既知の脆弱性を悪用する攻撃を行う IP アドレスと一致します。特徴には、特定の攻撃ペイロードやエクスプロイトチェーンのトラフィックの送信が含まれます。
SQL インジェクション
データベースを操作しようとして、Web アプリケーションのパラメーターに悪意のある SQL コードを注入する IP アドレスと一致します。
コード実行
Web アプリケーションやサービスの脆弱性を悪用して、リモートでシステムコマンドやコードを実行しようとする IP アドレスと一致します。
Webshell
webshell ファイルをアップロードしようとしたり、既知の webshell バックドアと通信したりする IP アドレスと一致します。
XSS 攻撃
Web ページに悪意のあるスクリプトを注入するためにクロスサイトスクリプティング攻撃を行う IP アドレスと一致します。
ドメイン名脅威インテリジェンス
照合オブジェクト:内部ホストが解決またはアクセスするドメイン名と照合します。
コアバリュー:攻撃者はしばしば動的ドメイン名を使用して IP アドレスを切り替え、ブロックを回避します。ドメイン名インテリジェンスは、ドメイン名上に構築された悪意のあるインフラストラクチャへのアクセスを、より持続的かつ効果的に検出します。
具体的なタイプと特徴の説明:
タイプ
一致する特徴と脅威の説明
Dnslog ドメイン名
攻撃検出やデータ窃取によく使用される DNS ログプラットフォームのドメイン名と一致します。人間によるものではない異常なアクセスは、システムに脆弱性 (ブラインドインジェクションや RCE など) があり、それが正常に悪用され、意図しない DNS 解決の漏洩につながったことを意味する可能性があります。
ダークウェブプロキシ
ダークウェブ (Tor ネットワークなど) へのアクセスを提供する Web プロキシドメイン名 (Tor2web タイプなど) と一致します。このようなドメイン名へのアクセスは、多くの場合、ダークウェブサービスへのアクセスの開始点となります。
ブラックホールドメイン名
悪意のある活動や乱用により、セキュリティベンダーやキャリアによって DNS レコードが「ブラックホール」(無効なアドレス) に解決されたドメイン名と一致します。アクセス試行は、内部ネットワークにマルウェアまたは設定エラーが存在する可能性があることを示します。
マイニング
マイニングスクリプトやトロイの木馬が接続するマイナープールのドメイン名や更新サーバーのドメイン名と一致します。
C&C
C&C サーバーに静的 IP アドレスの代わりにドメイン名を使用するマルウェアファミリーに関連付けられたドメイン名と一致します。
APT
APT グループが長期的な活動のために登録および使用する専用ドメイン名と一致します。
フィッシング
銀行やソーシャルプラットフォームなどの正当な組織になりすましたフィッシングサイトのドメイン名と一致します。
悪意のあるダウンロードソース
マルウェアを配布するために使用されるドメイン名と一致し、多くの場合、URL 短縮サービスや CDN によって隠されています。
URL 脅威インテリジェンス
照合オブジェクト:内部ホストがアクセスする完全な Web ページアドレス (URL) と照合します。
コアバリュー:アクセス先を正確に識別し、正当なクラウドサービスや共有 IP アドレスでホストされている特定の悪意のあるページを特定します。
具体的なタイプと特徴の説明:
タイプ
一致する特徴と脅威の説明
マイニング
Web マイニングスクリプト (Coinhive のようなスクリプトなど) が埋め込まれた特定のページや、マイナープールの管理ページの URL と一致します。
C&C
トロイの木馬やボットネットのコントロールパネルまたはデータ交換インターフェイスとして機能する特定の URL パスと一致します。
APT
APT 攻撃活動で使用される特定の URL と一致します。たとえば、武器化されたドキュメントのダウンロードリンクやエクスプロイトページなどです。
フィッシング
アカウント認証情報や支払い情報を盗むために使用される、非常に現実的な特定のフィッシングページの URL と一致します。
悪意のあるダウンロードソース
悪意のある実行可能ファイル (.exe、.dll)、スクリプト、またはドキュメントに直接リンクするダウンロードリンクと一致します。
Cloud Firewall の IPS 保護の仕組み
Cloud Firewall は、クラウドネットワークリンク上にインラインでデプロイされます。これらのリンクには、インバウンドおよびアウトバウンドのインターネットトラフィック、NAT 境界、VPC 間のトラフィック、およびクラウドとオンプレミスデータセンター間の接続が含まれます。次の図は、ネットワークアーキテクチャを示しています。
Cloud Firewall を通過するすべてのネットワークトラフィックは、転送される前に IPS エンジンとアクセス制御リスト (ACL) エンジンによってフィルタリングされます。
Cloud Firewall は、ディープパケットインスペクション (DPI) エンジンを使用してネットワークトラフィックを検出および識別します。DPI エンジンは、トラフィック内のプロトコルを識別し、パケットを解析できます。IPS 攻撃と脅威インテリジェンスを処理するために、Cloud Firewall はストリームおよびパケットフィルタリングを実行します。トラフィックが脅威エンジンモード (観察モード、ブロックモード - 緩い、ブロックモード - 中程度、または ブロックモード - 厳格) および IPS ルールアクションと一致する場合、攻撃パケットはドロップまたは許可されます。これにより、攻撃のリアルタイムアラートとブロックが提供されます。
Cloud Firewall がサポートする攻撃タイプ
IPS 脅威エンジンモードの設定方法の詳細については、「IPS 設定」をご参照ください。
攻撃タイプ | 攻撃による被害 | 推奨される保護設定 |
異常な接続 | 攻撃者はスキャナーを使用してサーバー上のオープンポートを特定する可能性があります。サーバーが不正なデータベースポートやその他の認証情報が脆弱なサービスを公開している場合、攻撃者はデータ損失や侵害を引き起こす可能性があります。たとえば、Redis への不正アクセスは一般的なリスクです。Redis データベースが適切に保護されていない場合、攻撃者は機密データにアクセスしたり、データベースを破損させたりする可能性があります。 | ご利用のビジネスで MySQL や SQL Server などの多くの非 Web アプリケーションを実行しており、ポート 80、443、8080 以外を公開している場合は、シェルコードや機密コマンド実行など、非 Web アプリケーションに対する攻撃のルールがトリガーされるかどうかに注意してください。 ご利用のビジネスで前述の非 Web アプリケーションを実行していない場合は、IPS 脅威エンジンで ブロックモード - 厳格 を有効にしてください。 |
コマンド実行 | 攻撃者が悪意のあるコマンドを実行すると、マシンを制御したり、機密データを盗んだり、他のシステムを攻撃したりする可能性があります。たとえば、Log4j の脆弱性を悪用すると、リモートでコマンドを実行でき、システムに深刻なセキュリティ脅威をもたらします。 | [緩い] モードは、Web アプリケーションに対する最も一般的および稀なリモートコマンド実行攻撃を軽減し、日常的な保護ニーズを満たします。ただし、リモートコマンド実行攻撃は最も有害な攻撃の 1 つであるため、[中] モードでさまざまなコンポーネントにわたるルールヒット数を監視してください。 ご利用のビジネスが複雑で、多くの非 Web アプリケーションを公開している場合は、IPS 脅威エンジンで ブロックモード - 厳格 を有効にしてください。 |
スキャン | ネットワークスキャンは、マシンやネットワークデバイスに過負荷をかけ、サービスの中断や不安定さを引き起こす可能性があります。これにより、システムがクラッシュしたり、利用できなくなったりする場合があります。 | ご利用のビジネスで SMB 名前付きパイプが有効になっているかどうかを判断してください。このプロトコルは、ファイル共有などの機能をサポートします。ご利用のビジネスで SMB 名前付きパイプが不要な場合は、この機能を無効にして潜在的なセキュリティリスクを軽減してください。 SMB 名前付きパイプを使用する必要がある場合は、IPS 脅威エンジンで ブロックモード - 中程度 または ブロックモード - 厳格 を有効にしてください。 |
情報漏洩 | 情報漏洩は個人のプライバシーを侵害する可能性があります。機密性の高い個人識別用情報、連絡先の詳細、財務情報が悪意を持って利用される可能性があります。 | 情報漏洩の定義はビジネスによって異なるため、ブロックモード - 中程度 および ブロックモード - 厳格 モードでのルールヒット数に注意してください。 まず、観察モード を有効にし、24 時間や 1 週間などのビジネスサイクルにわたって誤検知を監視します。観察モード で正当なトラフィックが悪意のあるものとして誤ってフラグ付けされなかった場合は、IPS 脅威エンジンで ブロックモード - 中程度 または ブロックモード - 厳格 を有効にしてください。 |
DoS 攻撃 | サービス妨害 (DoS) 攻撃は、サーバーやネットワークデバイスに過負荷をかけ、サービスの中断や不安定さを引き起こす可能性があります。システムがクラッシュしたり、利用できなくなったりすることさえあります。 | このタイプの攻撃は、直接的な影響は比較的小さいです。ご利用のビジネスで原因不明のサービス中断やサービス拒否が発生していないか監視してください。発生していない場合は、ブロックモード - 緩い モードを維持できます。 ご利用のビジネスで高いサービスレベルアグリーメント (SLA) 要件がある場合は、IPS 脅威エンジンで ブロックモード - 中程度 または ブロックモード - 厳格 を選択してください。 |
オーバーフロー攻撃 | オーバーフロー攻撃は、サーバーやネットワークデバイスに過負荷をかけ、サービスの中断や不安定さを引き起こす可能性があります。システムがクラッシュしたり、利用できなくなったりすることさえあります。 | オーバーフロー攻撃は、主にバイナリの入力検証が不十分なことに起因します。これにより、パラメーター渡し中にメモリ境界外エラーが発生し、コマンド実行や情報漏洩などのさらなる攻撃が可能になる可能性があります。オーバーフロー攻撃から保護する場合は、非 Web アプリケーション攻撃に関連するルールヒット数に注意してください。 ご利用のビジネスが主に Web ベースの場合は、ブロックモード - 緩い モードを選択できます。ご利用のビジネスに多くの非 Web アプリケーションが含まれている場合は、IPS 脅威エンジンで ブロックモード - 中程度 または ブロックモード - 厳格 を選択してください。 |
Web 攻撃 | Web 攻撃は深刻なセキュリティ脅威です。攻撃者は標的のマシンを制御したり、機密データを盗んだり、ビジネスの中断を引き起こしたりする可能性があります。 | リモートコマンド実行に加えて、一般的な Web アプリケーション攻撃には、SQL インジェクション、クロスサイトスクリプティング (XSS)、任意のファイルアップロードなどがあり、これらは OWASP Top 10 にリストされています。カナリアリリースおよび公式リリースフェーズの両方でルールを厳密にテストしてください。日常業務では、IPS 脅威エンジンで ブロックモード - 中程度 または ブロックモード - 厳格 を有効にしてください。 |
バックドア型トロイの木馬 | バックドア型トロイの木馬は、被害者のマシンへの永続的なアクセスを提供する危険なマルウェアです。システムの脆弱性にパッチを適用した後でも、攻撃者はアクセスを維持する可能性があります。バックドア型トロイの木馬を通じて、攻撃者は感染したシステムを長期間監視し、機密データを盗むことができます。その存在は、法的責任、訴訟、罰金、および評判の損害につながる可能性もあります。 | トロイの木馬の通信では、暗号化、難読化、エンコーディングなどの敵対的防御技術がよく使用されます。Strict モードでは、検出とブロックはより弱い特徴に依存するため、特別な注意が必要です。日常業務では、IPS 脅威エンジンで [中] モードを有効にすることを推奨します。 バックドア型トロイの木馬の通信では、暗号化、難読化、エンコーディングなどの敵対的防御技術が頻繁に使用されます。Strict モードでは、弱い特徴に基づく検出とブロックを注意深く監視してください。 日常業務では、IPS 脅威エンジンで ブロックモード - 中程度 または ブロックモード - 厳格 を有効にしてください。 |
ウイルスとワーム | ウイルスやワームは、被害者のマシンへの継続的なアクセスを提供する永続的なマルウェアです。システムの脆弱性にパッチを適用した後でも、攻撃者はアクセスを維持する可能性があります。ウイルスやワームを通じて、攻撃者は感染したシステムを長期間監視し、そのデータを盗むことができます。その存在は、法的責任、訴訟、罰金、および評判の損害につながる可能性もあります。 | これらのイベントは通常、ホストの侵害を示します。観察モード でルールがトリガーされた場合は、トレーサビリティ分析を実行して攻撃元を特定し、適切な対策を講じてください。ルールがトリガーされない場合、ホストはリスクなく正常に動作している可能性が高いです。IPS 脅威エンジンで ブロックモード - 中程度 を有効にしてください。 |
マイニング動作 | マイニングは、マシンの帯域幅とコンピューティング能力を消費する悪意のある行為です。システムのコマ落ちやパフォーマンスの低下を引き起こし、アプリケーションの応答時間が遅くなり、ユーザーの生産性とエクスペリエンスに悪影響を及ぼします。 | これらのイベントは通常、ホストの侵害を示します。観察モード でルールがトリガーされた場合は、トレーサビリティ分析を実行して攻撃元を特定し、適切な対策を講じてください。ルールがトリガーされない場合、ホストはリスクなく正常に動作している可能性が高いです。IPS 脅威エンジンで ブロックモード - 中程度 を有効にしてください。 |
リバースシェル | リバースシェルは、被害者のマシンへの永続的なアクセスを提供する危険な攻撃ツールです。システムの脆弱性にパッチを適用した後でも、攻撃者はアクセスを維持する可能性があります。リバースシェルを通じて、攻撃者は感染したシステムを長期間監視し、そのデータを盗むことができます。その存在は、法的責任、訴訟、罰金、および評判の損害につながる可能性もあります。 | これらのイベントは通常、ホストの侵害を示します。観察モード でルールがトリガーされた場合は、トレーサビリティ分析を実行して攻撃元を特定し、適切な対策を講じてください。ルールがトリガーされない場合、ホストはリスクなく正常に動作している可能性が高いです。IPS 脅威エンジンで ブロックモード - 中程度 を有効にしてください。 |
その他 | 不正なアウトバウンド接続と関連する攻撃、および他のカテゴリに分類されない攻撃が含まれます。 |
|
IPS 保護モード
脅威エンジンは、監視モードとブロックモードの 2 つのモードで動作します。基本防御ポリシーまたは仮想パッチのルールが一致した場合に実行されるアクションは、設定された脅威エンジンモードによって異なります。たとえば、[ブロックモード - Strict] を設定した場合、一致したほとんどの基本防御および仮想パッチのルールはトラフィックをブロックします。脅威エンジンモードについては、以下で説明します。
カテゴリ | シナリオ | 特徴 | 例 | |
監視モード | 保護なし。 | 攻撃動作を記録し、アラートを生成するのみです。ブロックモードは攻撃動作をブロックします。 | Apache Tomcat チャンクリクエストのリモート DoS (CVE-2014-0075)、Atlassian Jira SSRF 攻撃 (CVE-2019-16097)、Godlua バックドアソフトウェア通信。 | |
ブロックモード | 緩いモード | 粗い粒度の保護を提供します。誤検知率が低いルールをカバーし、誤検知に敏感なビジネスシナリオに適しています。 | 明確なエクスプロイトキーワードとキーパラメーター、明白な攻撃メッセージと動作、そして誤検知のリスクが最小限です。 | Struts 2 リモートコード実行 (CVE-2018-11776)、Spark REST API 不正アクセス (CVE-2018-11770)、Jenkins リモートコマンド実行 (CVE-2018-1000861)。 |
中モード | [緩い] と [Strict] の中間の保護粒度を提供します。標準的なルールでの日常的な運用およびメンテナンスに適しています。 | 各攻撃タイプをカバーし、複数のエクスプロイト分析手法を包括的に適用します。これらの標準ルールには、誤検知のリスクはほとんどありません。 | Oracle WebLogic Server リモートコード実行 (CVE-2020-2551)、Microsoft Windows RDP クライアントリモートコード実行 (CVE-2020-1374)、SMBv1 DoS 攻撃 (CVE-2020-1301)。 | |
Strict モード | 最も細かい粒度の保護を提供します。ほぼすべてのルールをカバーします。[中] ルールセットと比較して、誤検知率が高い可能性があり、セキュリティ保護のために偽陰性率を低くする必要があるシナリオに適しています。 | スタックオーバーフローやバッファオーバーフローなどの高リスクの脆弱性。ほとんどは、プロトコル分析、キーワード一致、複数ステップのジャンプ、およびキーワードオフセットによる確認が必要なレイヤー 4 の脆弱性です。 | Squid Proxy HTTP リクエスト処理バッファオーバーフロー (CVE-2020-8450)、Nginx 0-Length ヘッダーリーク DoS (CVE-2019-9516)、Oracle WebLogic | |