攻撃者は日々、同じ IP アドレスを使用して組織に悪意のあるペイロードを仕掛けています。Fastly のネットワークインテリジェンスに見る脅威レポートによると、攻撃トラフィックの54%は NLX によって先制的に検知されています。NLX はこのインサイトを活用し、すべての Next-Gen WAF のお客様に先制的なセキュリティレイヤーを提供します。
攻撃開始前に攻撃者を阻止
Fastly の NLX は悪意のある IP アドレスを事前にフラグ付けし、組織が被害が発生する前に対策を講じられるようにします。グローバルな Web アプリケーションおよび API の保護 (WAAP) のセキュリティプロバイダーとして、ハイテク、ファイナンスサービス、メディア & エンターテインメントなど多様な業界にまたがるお客様のグローバルな攻撃状況を、大規模に可視化できます。この強みを生かし、私たちは膨大な攻撃データを取り込み、検証済みの悪意のある IP が他のお客様のアプリケーションへ到達する際に特定できます。共有された攻撃データはネットワーク効果を生み、すべてのお客様の集合知が各組織のセキュリティ強化に貢献します。
先制的なセキュリティレイヤーを構築
NLX は Fastly の Next-Gen WAF 向けに開発された特許取得済みの手法に基づいて構築されています。
9万を超えるアプリケーションが Fastly の Next-Gen WAF によって保護されており、顧客リクエストを月間4.1兆件検査しています。受信リクエストは正当または悪意のあるものとして解析され、匿名化された攻撃データは Next-Gen WAF のクラウドエンジンによって継続的に収集されます。
特定の IP アドレスからの攻撃がしきい値に達すると、その IP アドレスは今後の判断のために NLX フィードに追加されます。続く24時間以内にその IP アドレスが別の Fastly Next-Gen WAF 顧客のアプリケーションにアクセスすると、その IP アドレスが潜在的に悪意があることを識別するために、攻撃者のクライアントにシグナル (SIGSCI-IP) が付加されます。顧客が SIGSCI-IP シグナルを確認すると、個別のカスタムルールを適用したり、他のルールと組み合わせたりして、その IP アドレスが攻撃を仕掛ける前にブロック、制限、またはモニタリングできます。
フィードの鮮度を保つため、SIGSCI-IP シグナルは24時間 IP リストに残ります。その間、IP が行うリクエストはすべて、ログに SIGSCI-IP シグナルが記録されます。IP は24時間後に NLX から削除され、悪意が再び観察されるまで通常どおり扱われます。
新たな脅威に対応
トラフィックにはさまざまなレベルの危険があり、ルールセットもそれを反映できます。シグナルは可視性を高め、カスタムルールを可能にする強力なツールです。SIGSCI-IP シグナルが IP アドレスに適用されると、実務者は自動的に以下のルールを作成できます。
IP アドレスによるサービスへのアクセスをブロック
攻撃機会を最小限に抑えるために IP をレート制限
Fastly のリアルタイム分析、または Elastic、Datadog、Slack などの DevOps ツールとの統合により、セキュリティ担当者に IP 監視のアラートを通知
シグナルは単独でも強力ですが、組み合わせることで、最終決定に対する信頼性を高める多層的なルールセットを構築することができます。モニタリングやレート制限など、目立たない NLX シグナルを用いた初期予防措置を講じると同時に、条件を満たした場合に IP アドレスを即座にブロックする複合ルールのレイヤーを作成します。この機能により、セキュリティ実務者は新しい情報が入手可能になった際に、トラフィックを柔軟に管理できるようになります。NLX によって悪意のある IP アドレスとして分類されたものを即座にブロックしたり、独自のルールセットをレイヤー化したり、あるいはその中間的な方法を採用したりするなど、ロジックは完全にカスタマイズ可能です。
信頼できるインテリジェンスに基づいて行動
自動トラフィック判断を行うには、提供されたデータへの信頼が必要です。NLX は Next-Gen WAF の高精度な SmartParse 技術を活用し、解釈を必要としないインサイトを生み出します。SmartParse は文脈認識型検知技術を用いて、リクエストが悪意のある行動につながるかどうかを迅速かつ正確に判断します。非常に高精度で、ほぼ90%の顧客が Next-Gen WAF をブロックモードで運用しています。
従来のIPレピュテーションインテリジェンスツールは、対応が困難なIPにリスクスコアを割り当てます。例えば、IPが40点または80点のスコアでタグ付けされた場合にどのルールを実装するかを決定することは、多くの場合、定期的な調整を必要とする困難な作業です。NLXがIPを悪意のあるものとして検知すると、組織がより迅速に影響力のある意思決定を行い、セキュリティ実務者の時間を節約するために利用できる信頼性の高いシグナルが生成されます。
正規のトラフィックを高速化
時代遅れの情報を使って検知を「強化」する時代は終わりました。NLX は IP アドレスを24時間フラグ付けし、悪意のある活動が再び確認されるまでフラグを解除することで、正規のトラフィックへの影響を最小限に抑えます。NG-WAF は、このシグナルに時間制限を設けることで、以前にタグ付けされた IP アドレスが削除された後も、購入、フォームへの入力、その他の正当なリクエストを行うことを妨げることなく、関連する攻撃に集中できるように支援します。
例えば、悪意のある行為者は、地元のコーヒーショップなど、正規のトラフィックが流れる公共ネットワークを利用することがあります。事前にその IP のリクエストをブロックしたい場合もありますが、トラフィックが正常に戻ったら正当なリクエストを許可したいでしょう。NLX シグナルの動的な性質は、組織がブランドの評判を守り、顧客により良い体験を提供するのに役立ちます。なぜなら、実際の顧客は悪意ある行為の影響を受けにくいからです。
コミュニティモデルは大きな強みです。NLX は、他の多くの企業が得られていないより深いインサイトを提供する点で、革新的です。これにより、Fastly のプラットフォーム保護能力が、より高度なレベルに達していることをビジネス部門に示すことができます。
アプリケーションセキュリティの先制的なレイヤー
Fastly の NLX は、Next-Gen WAF のプロアクティブなレイヤー7の保護を補完する、先制的なセキュリティレイヤーを提供します。すべての Next-Gen WAF パッケージに付属する NLX は、IP レピュテーションインテリジェンスに対する最新の集合的アプローチを可能にします。NLX、および Fastly の Web アプリケーションおよび API の保護製品/サービスの詳細については、お気軽にお問い合わせください。
