ガートナー セキュリティ & リスク・マネジメント サミット 2015
~DDoS攻撃の実態と新しい防御戦略~
Takashi Sasaki
SE Manager, Japan
[email protected]
Agenda
会社紹介
セキュリティレポートサマリー
DDoS攻撃対策
Agenda
会社紹介
セキュリティレポートサマリー
DDoS攻撃対策
ARBOR NETWORKS とは
ARBOR NETWORKS とは
ARBOR NETWORKS とは
ARBOR NETWORKS とは
本社所在地:米国マサチューセッツ州バーリントン
•主要海外拠点:ロンドン、シンガポール、東京
沿革
•2000年
米国マサチューセッツ州バーリントンで設立
•2005年1月 1st ワールドワイド・インフラストラクチャ・セキュリティ レポート発表
•2008年1月 エラコヤネットワークスを買収
•2010年9月 ダナハーコーポレーションにより買収
•2013年9月
Packetloopを買収
事業内容
•次世代データセンターおよびキャリア・ネットワーク向け、ネットワーク・セキュリティ/マネージメント・ソリュー
ションの提供
主な製品
•Peakflow SP/TMS®(サービス・プロバイダ向けDDoS対策ソリューション)
•Pravail™ APS(Availability Protection System: エンタープライズ向けDDoS対策ソリューション)
•Pravail™ NSI(Network Security Intelligence: エンタープライズ向け内部脅威検知ソリューション)
•Pravail™ SA(Security Analytics: セキュリティ分析ソリューション)
Arbor Networks とは 〜15年間の軌跡〜
Arbor Networks設立
(ミシガン大学の
セキュティ研究より)
(ピアリング分析・
インフラの視認性)
DDoS Mitigation
市場に参入
10Gbps
(TMS 2700
DDoS Mitigation
: 3Gbps)
2004
2000
2002
市場全体の61%の
シェアを持ちArborは
DDoS市場のリーダに
(インフォネティクス
リサーチ社より)
2012
2008
2006
1st ワールドワイド・
インフラストラクチャ・
(世界初のグロー
(Flowベース分析によ セキュリティ・レポート
バルな脅威分析)
る業界初のキャリア
クラスのDoS検知
フィンガープリント・
ソリューション)
シェアリング・
アライアンス (FSA)
& アクティブ・スレット・
フィード (ATF)
2010
40Gbps
DDoS Mitigation
世界中最大級のネットワーク監視システム
90%
Tier1サービスプロバイダ
の90%がARBORのお客様
107
140
Tbps
14
#1
ARBORの市場ポジションは
キャリア・エンタープライズ・
モバイルのDDoS市場において
61%のシェア
[Infonetics Research Dec 2011]
ARBORの製品は
107ヶ国に展開
35%のインターネット・
トラフィックをATLASで監視
ARBORは革新的なセキュリティと
ネットワーク可視化技術を14年間に渡り提供
ATLAS
(Active Threat Level Analysis System : 脅威レベル解析システム)
Peakflow SP
ISP Network
Peakflow SP
DARKNET
ATLAS SENSOR
Peakflow SP
ISP Network
Peakflow SP
Peakflow SP
DARKNET
ISP Network
1
Peakflow SP
DARKNET
ATLAS SENSOR
ATLAS SENSOR
2

攻撃活動を発見し分類するためにダーク
ネット空間でATLAS SENSORが展開される。

ARBORのPeakflow、サードパーティおよび
脆弱性のデータと組み合わせてATLAS DATA
CENTERに送信される。

ATLAS DATA
CENTER
研究チーム(ASERT)は、そのデータを結合し
分析した結果をポータル・サイトに公開する。
・過去24時間の攻撃種類トップ
・過去24時間の攻撃における送信元など
3
140
Tbps
http://atlas.arbor.net/
ピーク時最大140Tbps の
インターネット・トラフィックを
ATLASで収集
ASERT
(Advanced Threat にフォーカスした解析チーム)
ATLAS
ハニーポット &
スパム トラップ
20を超えるマルウェアの
シェアリング・パートナー
セキュリティ・
コミュニティ
1日あたり10万個
のマルウェア・
サンプル
VM上のサンド
ボックスで
マルウェアを実行
(C&Cサーバ、ボット
ネットなどの
振る舞いを検出)
数百万の
サンプル
データベースに
レポートとPCAP
を保存
脅威追跡
24時間毎に自動的に
分析・分類された
攻撃を追跡
ATF Fingerprints
www.digitalattackmap.com
www.digitalattackmap.com
Powered by Google Ideas. DDoS data Ⓒ2013, Arbor Networks, Inc.
Agenda
会社紹介
セキュリティレポートサマリー
DDoS攻撃対策
ワールドワイド・インフラストラクチャ・セキュリティ・レポートについて
Peakflow SP
ATLASセンサー
ハニーポット
ATLAS Data Center
ASERTによる分析
WISR
顧客への
サーベイ
今年はWISR10周年になります
セキュリティの脅威、懸念、及び緩和・検知の戦略や技術に対するセキュリ
ティコミュニティへの調査の10年
この期間に渡り、調査範囲と回答者は大きく広がりました
いくつかの明確な継続的な動向や、いくつかの新しい実態が毎年観測されてい
ます
セキュリティの脅威の進化と、それらに対抗する我々の手段にとって、とても
貴重なデータの積み上げになっています
`多くのものは変わりましたが、多くの人々は同じままです’
調査分布– 主要ビジネス
回答者の主要ビジネス
•
•
•
調査は2014年10月に行われました
287の回答を複数のビジネスマーケットから得ています
60%がインターネットサービスプロバイダになります
調査分布– 地域
回答者
地域分布
本社の場所
•
今回はアメリカ/カナダがトップの地域で、前回のヨーロッパから変わりました
–
•
ネットワークを運用している地域
その他の地域は前回とほぼ同じです
回答者の70%はネットワーク、セキュリティ、又はオペレーションの技術者です
調査分布– 提供サービス
回答者
提供しているサービス
•
•
多くの回答者が複数のサービスを提供しています
法人向けインターネットアクセス、ホスティング、コロケーション、マ
ネージド・セキュリティサービスが多くを占めています
– マネージドセキュリティサービスは前回6位から2位へと大きく上昇しています
•
全体的にそれぞれのサービスを提供してる割合が減少しています
ATLAS の分布
•
ATLASは非常に貴重なデータをアーバーの顧客と幅広いセキュリティ・コ
ミュニティに提供しています
•
330社以上の参加顧客
– 32% ヨーロッパ
– 24% 北米
– 17% アジア
– 9% 南米
– 9% その他
•
最大で120Tbpsのモニタリング
120Tbps
主な調査結果
• 最大攻撃サイズは引き続き上昇しています
2014年のDDoS:
リフレクション
攻撃の年でした…
• とても大きな攻撃が多数報告又は観測されています
• 攻撃の回数は再び跳ね上がっています
• 多くの報告者はクラウドサービスが影響を受けたことを指摘しています
• 攻撃に対抗する手段として、ACLよりIntelligent DDoS Mitigation
Solutions (IDMS) を使うという報告の数が初めて上回りました
• 今年はISP、企業、官公庁、教育機関からのデータになります
• 半分の回答者のみが、セキュリティインシデントに対して合理的な準備
企業ネットワーク
セキュリティ
をしていました
• すべての回答者において、DDoSは最大のセキュリティ脅威となってい
ます
• 半分の回答者がDDoS攻撃を経験し、又、インターネット回線が飽和す
る攻撃の割合が非常に多かったと報告しています
• 今後はAPTが最大の懸念事項となっています
主な調査結果
•トラフィックは大きく伸びているが、それでもまだ著しい量ではない
IPv6
(IPv6はIPv4の1%)
•3/4近いサービスプロバイダーは、いくつかのお客様にIPv6サービスを提供しています
•DDoS攻撃により収益を失った数が大きく増えています
データセンター
•DDoS攻撃を報告した2/3の回答者は、38%の攻撃はインターネット帯域を逼迫するも
のであったとしています
•DDoS防御の為にIDMSとACLを使う事が大きく上昇しています
DNS
•懸念される傾向としてDNSセキュリティに対する取り組みが減少しています
•回答者の僅かがDDoSによる顧客への影響があったと報告しています。
•殆どの回答者が専任のリソースを確保していますが、依然として新規雇用や雇用確保が
セキュリティ対策
問題になっています
•なりすまし対策やDDoS対策のリハーサルが削減されていることが懸念されます
•LTEは幅広く導入されています
モバイル
•少数の回答者がセキュリティ事案のために顧客が影響を受けたとしています
•攻撃はインフラに向けられて行われ、Gi/SGiが影響をうけています
最大攻撃の飛躍的な伸び
•
•
報告された最大の攻撃は400Gbpsであり、300Gbps, 200Gbps, 170Gbpsと続きます
100Gbps以上の攻撃が複数報告されていますが、このグラフでは最大攻撃のみ表して
います。
2014年はリフレクション攻撃の年でした…..
リフレクション/アンプ攻撃に使用されたサービス
2014年はリフレクション攻撃の年でした…
•
DNSは歴史的に反射・増幅攻撃に使われる主要のサービ
スでした
•
NTPは2014年著しく広まりました
–
•
100Gbps以上の攻撃が93回、
200Gbps以上の攻撃は5回
SSDPは7月以降著しく増えました
–
–
•
NTP
25000回/月の攻撃が10,11,12月に
観測されています
最大は131Gbpsでした
SSDP
他のプロトコルも依然として懸念されます
2014年7月
ATLAS – 前例の無い大容量の攻撃
• 観測された最大の攻撃は325Gbpsで、前回と比較して32%上昇
– 2014年1月、2月、8月、12月の最大の攻撃は、2013年の最大の攻
撃より大きかった
• ATLASでは2013年と比較して、2014年は100Gbpsを超える攻
撃を4倍以上観測
DDoS : 攻撃対象
• 回答者の顧客がもっとも共通
する攻撃のターゲット
• インフラに対する攻撃の割合
は引き続き上昇しています
•
昨年と変わらず、エンドユー
ザーとイーコマースがトップ
•
金融関係は、官公庁、オンラ
インゲームに続き5位へ
DDoS : 攻撃のタイプ
•
•
•
HTTPとDNSはアプリケーショ
ンレイヤー攻撃のトップ
•
HTTPSに対する攻撃は、回答
者の割合が低下
攻撃の65%はボリュームによる攻撃でやや上昇
– リフレクション攻撃が多かったことによる
回答者の9割がアプリケーションレイヤー攻撃を受け
たと回答
– アプリケーションレイヤー攻撃の割合としては
4%減少
DDoS : 動機と頻度
• 一ヶ月に21回以上攻撃を受けたという回答
が著しく上昇
– 今回
•
トップ3の攻撃の動機は前回と同じ
–
•
イデオロギー、ハクティビズム、社会
的・政治的主義・主張、が主な要因
ゆすりや、市場操作、偽装工作を
動機とする攻撃は引き続き上昇し
ています
38%
前回
25%
企業から見たDDoS攻撃
•
•
回答者の半分近くが攻撃を受け、
うち40%はインターネット接
続が飽和
攻撃対象の29%はアプリケー
ションレイヤー
–
–
•
DDoSにより33%以上がファイヤー
ウォールのダウンを経験
•
運用経費、信用損失、収益減がビジ
ネスにおける最も大きな影響
81% HTTP
58% DNS, 57% HTTPS
Agenda
会社紹介
セキュリティレポートサマリー
DDoS攻撃対策
企業からみたDDoS攻撃対策方法
クラウドによるDDoS防御サービス
ISP/DCによるDDoS防御サービス
企業での自己防衛
どうやって対策するの
がいいんだろう・・・
サービス別にみる防御できるDDoS攻撃
クラウドによるDDoS防御サービス
• 超大型DDoS攻撃(但し多くの制限)
ISP/DCによるDDoS防御サービス
• 大型DDoS攻撃(〜100Gbps)
• アプリケーションレイヤー攻撃(サービスによる)
企業での自己防衛
• 回線帯域までのDDoS攻撃
• アプリケーションレイヤー攻撃
ISPによるDDoS検知・防御サービス
ISPではDDoS検知・防御デバイスを複数のお客
様で共用し、リーズナブルな価格でサービスを
提供する事を実現しています。
ISP
お客様_D
お客様_A
お客様_B
お客様_C
ボリューム攻撃の対策 (BGPオフランプ)
xFlowによる
トラフィックモニタリング
NetFlow/sFlow
Control
Enterprise
Data Center
ボリューム攻撃の対策 (BGPオフランプ)
DDoS検知!
Target:Host/32
NetFlow/sFlow
Control
Enterprise
Data Center
ボリューム攻撃の対策 (BGPオフランプ)
DDoS検知!
Target:Host/32
NetFlow/sFlow
Control
Enterprise
攻撃トラフィックを緩和
Data Center
正規な通信を転送
ボリューム攻撃の対策 (常時引き込み)
NetFlow/sFlow
Control
Enterprise
Data Center
特定のサーバーに対する通信は
常にTMSへ引き込んでおくことも可能
DDoS攻撃対策で最初にするべき事
ISPへ相談しましょう!!
• サービスの有無
• 防御できるDDoS種別
• サービスコスト
でもその前に・・・
DDoS攻撃に対するセキュリティポリシー
大規模な攻撃から防御する
• 大規模の定義 = 10Gbps(?), 50Gbps (?)
• 攻撃種別
• NTPアンプ
• DNSアンプ
• SSDPアンプ
• SYNフラッディング
• UDPフラッディング
コスト見合い
• サービスコスト
• 導入コスト
• 運用コスト
アプリケーションレイヤー攻撃から
防御する
• GET/POSTフラッディング
• Slow系攻撃
• SSLネゴシエーション攻撃
• DDoS over SSL (証明書の管理)
特定サーバー・デバイスに対する防御
攻撃を防御するまでの時間
• 10分以内、5分以内、3分以内、リア
ルタイム
• WEBサーバー
• DNSサーバー
• SMTPサーバー
• FW/IPS
• LSN/NAT
ISPはすべてを解決してくれましたか?
アプリケーションレイヤーDDoSが不安
処理能力に不安
どこまでのDDoS攻撃に耐えるべきか
セキュリティポリシーを見直しましょう
自ら防御する手段を
検討しましょう
DDoS攻撃対策ソリューション
DDoS検知
Service Provider
DDoS防御
(アプリケーションレイヤー)
企業
DDoS防御
ISPで防御しきれないアプリケーショ
ンレイヤーDDoS攻撃は、オンプレミ
スで防御する方法が効果的です。
SSLサーバー証明書を導入して、複雑
攻撃からも防御が可能です。
マルウェアに感染していませんか?
C&C
サーバー
①接続
②実行指令
マルウェア感染デバイス
マルウェア感染による攻撃
企業
場合によっては、企業内に潜伏してい
るMalwareに感染したデバイスが知
らないうちに、他の企業を攻撃してい
るかもしれません
C&Cサーバーとの通信をシャットダウン
C&C
サーバー
C&Cサーバーとの
通信をブロック
企業
Malware感染したデバイスがC&C
サーバーへ接続できないようにするこ
とによって、将来起きうるサイバー攻
撃(被害)を未然に防ぐ事が可能です
アーバーネットワークスのソリューション
企業ネットワークのモニタリング
大規模ネットワークのモニタリング
Peakflow SP
DDoS防御
インターネット
Pravail NSI
企業ネットワーク/
データセンター
Pravail APS
不正アクセス遮断
Pravail SA
Peakflow TMS
DDoS攻撃・検知/防御
APT/高度な攻撃・マルウェア感染・
ゼロディ攻撃検知・対策
ご清聴ありがとうございました
お問い合わせ
Arbor Networks
電話:03-3525-8040
Email:[email protected]
ダウンロード

~DDoS攻撃の実態と新しい防御戦略~ ガートナーセキュリティ & リスク