ウェブサービス攻撃への対応 against シャオチーニン(Xiaoqiying)
PLURA
🏗️概要
ウェブサービスを保護するために必須の製品は、ウェブアプリケーションファイアウォール(WAF) です。
ネットワーク型侵入防止システム(NIPS, Network-based Intrusion Prevention System)と併用される場合もありますが、
NIPSは現代の環境では適さず、ネットワークの複雑化により障害のリスクを高めるため、むしろ除去が推奨されます。
ウェブアプリケーションファイアウォール(WAF)の限界
WAFが防げなかった攻撃はどうなるのでしょうか?
- WAFはアカウント乗っ取り攻撃であるクレデンシャルスタッフィング(Credential Stuffing) に対応できません。
- また、WAFが見逃した攻撃をNIPSが検知できる可能性は非常に低いです。
SIEMソリューションの役割
統合セキュリティイベント管理(SIEM)ソリューションは、すべてのイベントを収集し、相関分析によって異常を検知します。
しかし、SIEM自体には分析機能がなく、セキュリティ製品から検知情報を含むログを収集することで機能します。
例:
| セキュリティ機器 | 通過 (pass) | ブロック (deny) | 本文情報 |
|---|---|---|---|
| ファイアウォール (Firewall) | O | O | X |
| ネットワーク型侵入防止システム (NIPS) | O | O | X |
| ウェブアプリケーションファイアウォール (WAF) | O | O | O |
リクエストボディ(Post-body)とSIEMの限界
リクエストボディ(Post-body)とは?
- ブラウザ上で入力されたデータをウェブサーバーに送信するデータ領域です。
- 例: ログイン時に入力されるIDとパスワードなど。
- 攻撃者はここにSQLインジェクションやクロスサイトスクリプティング(XSS) といった悪意のあるデータを挿入する可能性があります。
問題点: リクエストボディはウェブサーバーログに記録されません。
ウェブログは、接続元IP、ブラウザの種類、クッキー、アクセス経路などのヘッダー情報のみ記録するため、
SIEMがウェブログを分析しても異常を検知することが難しい構造的な限界があります。
PLURA-SIEMの解決策
PLURA-SIEMは、特許技術を活用してリクエストボディ(Post-body) をウェブログに記録し、分析することで異常を検知します。
この革新的な機能により、SIEMソリューションの限界を克服し、より効果的な攻撃対策を提供します。
✍️要約
- WAFはクレデンシャルスタッフィング攻撃に対応できない。
- SIEMソリューションはウェブログだけでは異常を検知することが難しい。
- リクエストボディ(Post-body)はウェブログに記録されない。
- PLURA-SIEMはリクエストボディを記録し、分析することで異常を検知する。