原文はこちら
https://blogs.oracle.com/cloud-infrastructure/optimizing-cloud-based-ddos-mitigation-with-telemetry
これらの統計的な指標はHandoff CoverageおよびConsistent Coverageと呼ばれます。通常、97%以上のHandoff Coverageがあれば、ほぼ完ぺきなカバー率であることを示しています。90%を下回っていると、DDoS漏れが起きているかもしれないことを示しています。
https://blogs.oracle.com/cloud-infrastructure/optimizing-cloud-based-ddos-mitigation-with-telemetry
昨今のサイバーセキュリティ上の課題に対応するために、特定、防御、検知、対処および復旧のそれぞれの分野で十分な能力の獲得することができる、機能横断的なソリューションが必要となってきています。結果として、エンタープライズセキュリティ管理はIT部門への投資のうちの大きな割合を占めています。たびたび起こるインシデントからは、リソースが潤沢なはずの組織でも、その発揮できるはずの力をフルに活かせるようにソリューションを活用できていないということが繰り返し示されます。多くの組織が対応能力のベースラインを確保しようとするうちに、効能の管理というコンセプトの重要性が浮かび上がってきました。
今日のITリーダーたちは「実利用時の条件下で、そのソリューションはどの程度の効き目があるのか、また、どうやったら改善できるのか?」と問うています。インシデントに際しては――それがネットワーク侵入の試みなのか、フィッシングEメールなのか、DDoS攻撃なのかいずれにせよ――単に管理を行っているというだけでは十分ではありません。どのような管理がなされていて、どうしたらそれを改善できるのかの確かなデータに基づいた方法を理解する必要があるのです。
インターネット・インテリジェンス
そうした目的でOracleはセンサーのディープ・モニタリング・ネットワークを構築し、――ヴァンテージポイントと呼ばれています――世界中のインターネットのパフォーマンスとセキュリティイベント、劣化やインターネットルーティングの変化、ネットワークアノマリーに関するパブリックなデータを収集しています。Market PerfomanceやIP TroubleshootingなどのOracle Cloud Infrastructure製品は、インターネット・インテリジェンスをベースとしています。
(赤い点:ネットワーク・センサー)
Oracleのインターネット・インテリジェンス・マップはこのテレメトリにもとづいて、インターネット全体の変動を監視しています。多くの組織がその最も重要なサービスについてサードパーティプロバイダに依存するようになっている昨今、インターネットの包括的な状態の監視により、差し迫った攻撃に対して早期の警戒を可能にしてくれます。組織は危機が実際に襲ってくるまでに、対処し、用意をすることができるわけです。
Oracleのエッジ・ネットワークで収集されたデータはBorder Gateway Protocol(BGP)のルート変更や、世界で発生しているDistributed Denial-of-Service(DDoS)についての価値ある洞察を提供してくれます。DDoSがどこで発生しているか、攻撃が発生しているかどうかを含め、Oracleは1日あたり2億5千万のルート更新をモニタすることができます。ベンダが発動したクラウドDDoS防衛措置について、その効果のほどをほぼリアルタイムで測定しています。
DDoS攻撃の例
DDoSの発生をモニタしていると、攻撃がどこで起きているのか、どのくらい続いているのか、また、ルートカバレッジの効果が、ほぼリアルタイムで可視化されます。DDoS鎮静化テレメトリの重要性の例としてちょうどよいものとして、2018年の夏の終わりに起きたDDoS攻撃を見ていきましょう。
ある企業のWebサイトへのアクセスに断続的に影響をもたらしていたその攻撃は、Oracleのヴァンテージ・ポイントによって容易に特定され、またインターネット・インテリジェンス・マップ上でも可視化されていました。この例では、クラウドベースのDDoS防衛ではいつもそうであるように、あるクラウドベースのDDoS防衛プロバイダがその組織のIPブロックをハイジャックし、すべての攻撃トラフィックを専用のDDoS対処センターへとリダイレクトしました。そのIPブロックのハイジャックの間、Oracleのセキュリティチームは、そのトラフィックのルーティング変更によって引き起こされたルーティングの不安定性、レイテンシの突発的な上昇やいくつかの事象についての興味深い測定結果を得ていました。
伝播に要する時間、およびルーティング変更の完了度合を観察することにより、いくつかのユニークな品質測定ができます。この例では、AS(Autonomous System)はふたつの(IPアドレスの)プレフィックスをアナウンスしています。
以下の図が示すように、アナウンスメントの変更にも関わらず、あるISP経由のルートが防御されずに残っており、一部の攻撃トラフィックを通してしまっています。DDoS防衛プロバイダは現地時刻16時頃に攻撃を受けているIPブロックにインターセプトしました。
DDoS攻撃の漏れ
その企業が利用しているDDoS防衛プロバイダがDDoS攻撃の大部分の鎮静化に成功しているにも関わらず、Oracleのツールが示しているのは、おおよそ1時間にわたって攻撃のわずかな部分が依然として企業に向かい続けていたということです。これはDDoS攻撃の漏れと呼ばれます。
とてもパワフルなクラウドベースのDDoS防衛プロバイダが攻撃に対処しているのにもかかわらず、攻撃の一部がその企業のデータセンターにまだ向かっていたため、その企業のインターネットアセットはこの時間依然オフラインのままでした。
トレースルートの結果を見れば、全てのルートがDDoS防衛を経由していたわけではないことがさらにわかりやすくなります。ロンドンとフランクフルトからのふたつのトレースは、一部のトラフィックは(すべてのトラフィックがクラウドベースのDDoS防衛プロバイダを経由するのではなく)依然としてあるISP経由となっていたことが確認できます。
注意:このことは、DDoS漏れの責任がそのISPにあったということを意味しません。実際にはむしろ正反対です。インターネットの大部分は自己調整するネットワークであり、トラフィックは時折それまでに通ったことがなかったコアロケーション経由でルーティングされます。ルーティングテーブルは(Tier 1プロバイダとISPによる)頻繁な調整が必要で、そうしたルーティング調整は常に伝播に時間を要するものです、この例のように。
DDoS業界の多くの仲間たちと同様に、OracleセキュリティチームもIPハイジャックとハイジャックの継続時間を測定することができました。Oracleの測定結果に記録されている低い品質スコアも、DDoS漏れが起きていたことを示しています。
Prefix | Prefix Owner (under attack) | AS or prefix owner | DDoS Provider | AS of provider | Handoff Coverage | Consistent Coverage |
xxx.xxx.xxx.0/24 | [organization] | xxxxx | [DDoS provider] | yyyyy | 64.39 | 95.53 |
これらの統計的な指標はHandoff CoverageおよびConsistent Coverageと呼ばれます。通常、97%以上のHandoff Coverageがあれば、ほぼ完ぺきなカバー率であることを示しています。90%を下回っていると、DDoS漏れが起きているかもしれないことを示しています。
The Handoff Coverage impact is shown in the following image:以下の図を見ると、Handoff Coverageのインパクトがわかります:
この例で示している通り、Handoff CoverageとConsistent Coverageは、アナリストとセキュリティスタッフがクラウドベースDDoS鎮静化ソリューションの効果を測定するうえで重要な指標です。特に、これらの指標はダウンタイムを引き起こすイニシャルHandoffの間に、依然として企業に向かって漏れてくる残存攻撃トラフィックを検知することに役立ちます。
まとめ
すべての産業にまたがって企業はDDoS攻撃の危険にさらされています。鎮静化は広く利用可能ですが、しかしそれほど適用されてはいません。鎮静の際の漏れはインフラに影響を与えかねず、ミッションクリティカルな機能の利用不能につながりかねません。
組織のセキュリティベースラインを把握し、確実にするためには、ソリューションを構築したあとにその効能を測定し続けることがとても重要です。OracleがDDoS鎮静化のために提供しているもののような、外部モニタリングから収集されたテレメトリの利用は、エビデンスベースの最適化追求のひとつのかたちです。