「DDoS Threat Intelligence Map」の情報をA10のDDoS対策専用アプライアンス「Thunder TPS」や、次世代アプリケーション・デリバリー・コントローラー「Thunder ADC」、ハイパフォーマンスセキュリティプラットフォーム「Thunder CFW」と組み合わせることで、DDoS攻撃に対する事前対策が行えるようになるという。また、「DDoS Threat Intelligence Map」は、他社製のSIEM製品など、A10製品以外にもA10の脅威インテリジェンスを提供できるという。
「DDoS Threat Intelligence Map」で何がわかるのか?
DDoS攻撃が起きる理由やタイミングは分からないが、DDoS攻撃に使われるエージェント(「DDoS Threat Intelligence Map」では、"Weapon"と表記)がどこにあるかを知ることができれば、より効果的な防御策をとることができる。
「DDoS Threat Intelligence Map」の中核となる、A10の脅威インテリジェンスチーム 「A10 Research」とサイバーセキュリティソフトウェア開発企業「ThreatSTOP」によるA10の「DDoS Threat Intelligence Service」は、DDoS攻撃のエージェントとして使用される数百万のIPアドレスを識別するという。
数千件のブラックリストのみをサポートする従来のDDoS防御とは異なり、「DDoS Threat Intelligence Map」は、動的にアップデートされる数百万のエントリの脅威オブジェクトのリストが反映され、攻撃が発生する前に対処できるようにするための脅威インテリジェンスを提供する。この脅威インテリジェンスには、リフレクション攻撃のエージェントや、拡散するIoTボット、過去24時間にアクティブに使用されたDDoSボットネットのIPアドレスが含まれる。
さらに、表示する攻撃エージェントのカテゴリ(DNSエージェントやIoTボットなど)を選択したり、潜在的に攻撃が起こりうる要素を持つ位置情報を確認したり、ほぼリアルタイムのDDoS脅威フィードから新たに識別または廃止されたエントリを調べたりすることが可能だという。
「DDoS Threat Intelligence Map」の見方
- 白い点は、識別済みの潜在的なDDoS攻撃エージェントの位置情報を示す。
- 緑の点滅は、新たにDDoS攻撃エージェントとして識別され、追加されたものを示す。
- 青い点滅は、脅威フィードから削除されたDDoS攻撃のエージェントを示す。
-
認証されていない要求に応答したり、アンプ攻撃に悪用されたりする脆弱性を抱えている次のサーバー数を示す。
- MEMCACHED:値は公開状態となっている分散メモリーキャッシュサーバーの数を示す。
- SNMP:値は、公開状態となっているSNMP(Simple Network Management Protocol:簡易ネットワーク管理プロトコル)サーバーの数を示す。
- DRONES:値はMiraiなどのDDoS攻撃で悪用されるIoTボットネットの数を示す。
- DNS OPEN RESOLVERS:値は公開状態となっているDNSサーバー(オープンリゾルバ)の数を示す。
- NTP:値は公開状態となっているNTP(Network Time Protocol)サーバーの数を示す。
- SSDP:値は公開状態となっているSSDP(Simple Service Discovery Protocol)サーバーの数を示す。
- ASN #:公式に登録された自律システムの番号(AS番号)を示す。
- ASN ORG:脅威エントリが存在するASNの所有者を示す。
