分散サービス拒否(DDoS)攻撃は笑い事ではありません。悪意のあるトラフィックでネットワークをあふれさせ、アプリケーションをダウンさせて、正規ユーザーがサービスにアクセスするのを妨げます。 DDoS 攻撃は、売上の損失、放棄されたショッピング カート、評判へのダメージ、ユーザーの不満といった結果を頻繁にもたらします。 このブログ シリーズの最初のパートでは、分散サービス妨害 (DDoS) 攻撃が発生する前に準備すべき手順のいくつかを説明しました。
いつ攻撃されるかをコントロールすることはできませんが、以下に説明するステップに従うことにより、攻撃の影響を最小限に抑え、復旧への道を歩み、再びこの問題が起こることを防止することができるでしょう。 そのためには、組織内の主要なステークホルダーに警告を発し、攻撃を受けていること、そしてそれを軽減するためにどのようなstepareが取られているかを説明する必要があります。
主要な利害関係者の例としては、組織のCISO、セキュリティ・オペレーション・センター(SOC)、ネットワークITディレクター、オペレーション・マネージャー、影響を受けるサービスのビジネス・マネージャーなどが挙げられます。
おそらく攻撃と戦うのに手一杯でしょうから、この警告は短く、要点だけに絞った方がよいかもしれません。
主要な情報 (わかる範囲で):
- 何が起きているか
- いつ攻撃が始まったか
- どの資産 (アプリケーション、サービス、サーバーなど)が攻撃されたか
- どの資産 (サービス、サーバー、サーバーなど) が攻撃されたか
- どの資産が攻撃されたか
- どの資産が攻撃されたか
- どの資産が攻撃されているか
- ユーザーや顧客への影響
- 攻撃を軽減するためにどのような手順が取られているか
イベントの進展や新しい情報が入手可能になったら、関係者に情報を提供し続けること。
セキュリティ プロバイダに通知する
組織内の関係者に通知するのと同時に、セキュリティ プロバイダに警告し、セキュリティ プロバイダ側で攻撃に対処するためのあらゆる手順を開始することをお勧めします。
セキュリティ プロバイダーは、インターネット サービス プロバイダー (ISP)、Web ホスティング プロバイダー、または専用のセキュリティ サービスである場合があります。 ISP は、ネットワークに到達する悪意のあるネットワーク トラフィックの量を最小化するのに役立つかもしれません。一方、Web ホスティング プロバイダーは、アプリケーションへの影響を最小化し、サービスをスケールアップするのに役立つかもしれません。 同様に、セキュリティ サービスには通常、DDoS 攻撃に対処するための専用ツールがあります。
サービスについて事前に定義された契約がない場合、または DDoS 保護サービスに加入していない場合でも、どのように支援できるかを確認するために連絡する必要があります。
対策を有効にする
何らかの対策を実施しているのであれば、今こそそれを有効にする時です。
アプローチの1つは、IPベースのアクセス制御リスト (ACL) を実装して攻撃ソースからのすべてのトラフィックをブロックすることです。 これはネットワーク ルーター レベルで行われ、通常、ネットワーク チームまたは ISP のいずれかが処理することができます。 この方法は、攻撃元が単一である場合、または攻撃元が少数である場合に有効な方法です。
攻撃のターゲットがアプリケーションまたは Web ベースのサービスである場合、アプリケーションの同時接続数を制限することも可能です。 この方法は、レート制限として知られており、Web ホスティング プロバイダや CDN によって頻繁に好まれている方法です。 ただし、この方法では、悪意のあるユーザートラフィックと正当なユーザートラフィックを区別することができないため、誤検出が多くなりがちであることに注意してください。
専用の DDoS 保護ツールを使用すると、DDoS 攻撃に対して最も広い範囲をカバーすることができます。 DDoS 保護対策は、データ センターのアプライアンスとして、クラウド ベースのスクラビング サービスとして、またはハードウェア デバイスとクラウド サービスを組み合わせたハイブリッド ソリューションとして展開できます。 しかし、場合によっては、経路外のハードウェア デバイスや手動で起動するオンデマンド緩和サービスなどのツールは、顧客が積極的に開始する必要があるかもしれません。
前述のように、専用のセキュリティ ソリューションを導入していない場合でも、ほとんどのセキュリティ サービスでは、攻撃時に緊急導入することができます。 このような導入には、多くの場合、高額な費用がかかったり、後でサービスに加入しなければならないことがあります。 しかし、他に選択肢がない場合は必要かもしれません。
攻撃の進行を監視する
攻撃中は、その進行を監視して、時間の経過とともにどのように発展するかを確認する必要があります。
その間に評価すべき重要な質問をいくつか紹介します。 ネットワーク レベルのフラッドなのか、アプリケーション層の攻撃なのか。 攻撃の規模はどの程度ですか (ビット/秒とパケット/秒の両方で)。
Assess Defense Performance
最後に、攻撃が進行し、対策が展開されているとき、その継続的な効果を測定する必要があります。
セキュリティ・ベンダーは、サービス・レベル・アグリーメント(SLA)文書を提供し、そのサービス義務を約束するはずです。
- Time-to-Mitigate は、ベンダーがどれだけ早く攻撃を止めることを約束したかを測定します。
- Consistency-of-Mitigation メトリクスは、一方では、どれだけうまく攻撃を止めているかを測定します。 この指標は通常、ネットワークへの侵入を許可された悪意のあるトラフィックの比率として定義されます。
セキュリティが SLA の義務を果たしていない、あるいはさらに悪いことには、攻撃をまったく阻止できていないことがわかったら、今こそ変更を加える必要があるかどうかを評価する時です。
ラドウェアの「Hackers Almanac」をダウンロードして詳細をご覧ください。
Download Now