某クラウド型サイバー攻撃防御ツールを無償で検証する機会があったので、その検証結果をまとめてみます。
まずは、そのツールの防御の仕組みから説明すると、各種ログをクラウドに送信する・防御指令をクラウドから受信するエージェントをサーバーに導入し、有効化することで防御されるツールになります。エージェントは防御指令を受信するとiptablesにDROP文を書き込むことで実際の防御が行われます。なので、iptablesの有効化が必要になります。なお、書き込まれたDROP文は一定期間を経過すると正常なアクセスを弾くことがないように自動的に削除されます。そういう仕組みだと知った上で以下の検証結果をお読みください。
今回の検証用にAWSでCentOS7を使ってテストサーバーを構築しました。構築は2016年3月3日に行い、ある程度不正アクセスが増えるのを待って5月23日からツールのテストを開始しています。
まず、不正アクセスと思われるアクセスの件数について、一定期間の平均で比較してみます。前の数字がツール導入前の平均で、後ろの数字がツール導入後の平均になります。
- SSH 8.784 → 8.892
- HTTP 17.892 → 16.838
- SMTP 330.054 → 238.703
SSHに関しては若干増加、HTTPに関しては若干減少、SMTPに関しては大幅減少という結果になっています。
詳しく分析すると以下の通りになります。なお、これは私共の独自の分析となりますことを御了承ください。
SSHに関しては、元々テストサーバー自体が公開鍵認証方式なので攻撃を受けにくい(1回試して終わる)という事で実質的に差が見られない状況になったものと思われますが、実際には数多くのブルートフォース攻撃を防いだ模様です。そういう通知のメールが多数来ていたので。ただ、どうしてもログを分析してから防御をかけるという性格上、不正アクセスのログが最低1件は残ってしまうので、その影響で件数的には減らないというのもあるかもしれません。そういった意味ではパスワード認証のサーバーを運用している場合はブルートフォース攻撃による乗っ取りを防ぐという意味で非常に有用であると言えるでしょう。
HTTPに関しては、幾つかの攻撃を防いでいることが通知メールから確認できています。例えば、ディレクトリトラバーサルや、WordPressのプラグインを探索する行為に対して防御の通知が来ていました。ただ、これもまたログを分析してからの防御になる関係上防げないのもあるようです。テストサーバーではWordPressを導入していたのですが、WordPressへのブルートフォース攻撃は全く防御できませんでした。理由としては正常アクセスと見なされてしまう(HTTPステータスで200になる)為のようです。また、同様にSQLインジェクションとクロスサイトスクリプティングの脆弱性を探索するようなアクセスを独自にしてみましたが、HTTPステータスが200だったせいか防御までに時間が掛かりました。これに関しては、実際の探索時には何らかのエラーになる可能性が高いので通常は防げるものと思われます。ただし、既知の脆弱性を突く場合は一発で成功してしまう可能性が高いので、防御できなさそうです。
SMTPに関しては、日ごとの分析だと有意差は見られていませんが、今回のツールは同じツールを使っている他のサーバーでの攻撃に関しても対象全サーバーに対して防御指令を送ってくれる仕組みになっているそうなので、そういった意味では暗黙の防御的なものが働いている結果と見ることは出来ます。実際、SMTPに関しての防御通知は全く来ていなかったのですが、平均値では大きく下がっているところを見ると防御されていたと言ってもいいと思います。
皆さんの興味があるところと言えばHTTPによる各種脆弱性の対応等だと思われますので、ちょっとだけ解説を付け加えます。
まず、今回防御できなかったWordPressへのブルートフォース攻撃については乗っ取りを防ぐ方法はありますので、大きな問題ではありません。また、既知の脆弱性に対する防御等はWAF(Apacheだとmod_security等)で防ぐことは可能ですので、WAFの併用は不可欠になると考えています。そういった意味では一つのツールに頼るのではなく、複数のツールの併用で攻撃を防ぐことは可能であると考えます。今回のツールの優位なところはクラウド型であるので、導入コストが非常に低廉であることと、運用コストも低廉であることが挙げられます。なので、WAFに関しても先に挙げたようなオープンソースを使うことで低廉に構築できる方法がありますので、それとの併用で全体としても低廉にサイバー攻撃の防御を行うことは可能かと思います。
今回の検証結果のまとめとしては以下の通りになります。
- パスワード認証の場合は乗っ取りを防ぐことは可能とみられる
- DoS攻撃(DDoS含む)はある程度防げそうな印象である
- HTTPに関してはWAFとの併用をした方が良い
- うまくツールを組み合わせることで低廉な防御態勢を構築することは可能
興味がある企業様がいらっしゃいましたら、お問い合わせ頂ければ説明にお伺い致します。