Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Cloudflareのソリューションを使用して悪意のあるBot対策

クラウドフレアはより良いインターネットの構築をミッションとした、ウェブパフォーマンス及びセキュリティのリーディングカンパニーです。

現在、クラウドフレアでは約2,200万以上のWebサイト、API、SaaSサービスなどの高速化サービスおよび様々な脅威な攻撃をネットワークのエッジで防御を行っています。

クラウドフレアのネットワークでは毎月10兆件以上のインターネットリクエストが送信され、その数は全世界28億人以上のインターネットリクエストのほぼ10%を占めています。

このセッションでは、世界最大規模のネットワークを運用するクラウドフレアだからこそ可能な、パフォーマンスに影響ないDDoS攻撃防御、アプリケーションセキュリティ、ゼロトラスト・セキュリティをご紹介いたします。

- クラウドフレアのサービス概要
- 多重セキュリティによるレイヤー7攻撃の対策
- Bot managementの導入方法及び導入事例
- ダッシュボードデモ
- Q&Aセッション

  • Be the first to comment

  • Be the first to like this

Cloudflareのソリューションを使用して悪意のあるBot対策

  1. 1. Cloudflareのセキュリテイソリューションを使用して 悪意のあるBot対策 Feb 2020
  2. 2. Agenda 2 ● クラウドフレアのサービス概要 ● Bot Managementの紹介及び機能 ● ダッシュボードデモ ● 新製品の紹介 ● Q&Aセッション
  3. 3. より良いインターネット環境を構築するために・ ・ インターネットに繋がるすべての人と物に快 適性、安全性、信頼性を提供し、より良いイ ンターネット環境を構築する。 #SAVETHEINTERNET
  4. 4. We are building a Global Cloud Network to help the Internet be faster, more secure, and more reliable. インターネットをもっと速く、もっとセキュアに、そしてもっと安心して 利用するためのグローバルクラウドネットワークを構築中。
  5. 5. 200 Cities 90+ Countries 8,000 Interconnects 99% Of the Internet-connected developed world population is located within 100 milliseconds of our network Note: Data as of June 28, 2019. 5 Global Cloud Network
  6. 6. “Network Edge” as a service
  7. 7. 全てのオリジン基盤をエッジで統合管理 Crawlers, Bots 攻撃者 クラウドフレア グローバル分散 ネットワーク基盤 オリジンサーバー基盤 Visitor オンプレミス
  8. 8. 22M+ Internet properties ~10% Fortune 1000 are paying customers 1B+ Unique IP addresses pass through Cloudflare’s network every day Protecting & accelerating Internet applications across verticals Confidential. Copyright © Cloudflare, Inc.
  9. 9. 全インターネットユーザーのためのクラウドネットワーク基盤 を提供!
  10. 10. ScaleCustomers. Compute. Connectivity. Data.
  11. 11. スケールによるDDoS攻撃への対峙と有効性の根拠 ネットワークスケール: 地球上のインターネットユーザーがいる領域全体に対してデータセンターを構築し続けており、全イ ンターネットユーザーに最も近い地点で、10ms以下で通信できる全サービス基盤を配置しています。 これは全インターネット上の攻撃者にも一番近い地点という意味にもなり、大規模な分散型攻撃に対 しても有効な攻撃緩和基盤として機能します。 データスケール 既存顧客2200万以上のドメインに対して発生する、月間1.3兆回を超える攻撃をWAFでブロックして います。当社は、ここで得られる攻撃者情報をリアルタイムに解析、脅威度のスコアリングを実施、 IPレピュテーションテーブルの更新、WAFルールへの適用などをバックエンドで実施しています。
  12. 12. Cloudflare Fastly Others AWS 80.5% 5.6% 4% 9.9% Source: W3Techs.com データスケールの重要性 / マーケットシェ ア
  13. 13. パブリック IX (Internet Exchange) との高い接続性 Source: Hurricane Electric Inc
  14. 14. 14 DNS DNS Resolver Always Online ファイアウォール ボット マネージメント DDoS プロテクション ゼロトラスト セキュリティ アナリティクスクラウドフレア アプリケーション エッジコンピュート パフォーマンスセキュリティ 信頼性 PLATFORM IoTセキュリティ SSL/TLS セキュア オリジン接続 Rate Limiting キャッシュ インテリジェント ルーティング コンテンツ最適化 モバイル 最適化 イメージ 最適化 モバイル SDK ロードバランシン グ Anycast Network バーチャル バックボーン
  15. 15. 膨大なデータ共有 インテリジェンス 深い機能の インテグレーション パフォーマンスを犠牲にし ないセキュリティ機能 クラウドフレア セキュリティの優位性
  16. 16. DDoS攻撃緩和機能の一覧 Protection OSI 自動化 個別設定が可能 Host / FQDN Layer 7 Advanced DDoS (L7) Rate Limiting –Volume based WAF – Signature based Host / FQDN Layer 3 / 4 Advanced DDoS (SYN / ACK) IP Reputation / Security Level IP Firewall Data Center Layer 3 (Magic Transit) Advanced DDoS (SYN / ACK) Traffic controls from origin via BGP. Name Server DNS Advanced DDoS (DNS) Virtual DNS Rate Limits 16
  17. 17. セキュリティ概要: マルチレイヤー型セキュリティ Passed!Request Bot Management 悪質なボットトラフ ィックを特定してブ ロック。 DNS/DNSSEC セキュアに信頼 性を提供する DNS。 SSL Certificate 専用証明書を含むSSL のプロビジョニング と管理が 簡単に行え ます。 Rate Limiting 不正なトラフィック を検知し緩和するた めのきめ細かい制御 を提供。 DDoS Protection エンタープライズ クラス DDoS攻撃 防御 WAF クラウドフレアの 全ネットワークか ら収集されるイン テリジェンス。 Argo Tunnel オリジンとの通信を暗号 化してパブリックからシ ールド。 2-5 ms ワールドクラスのセキュリティ機能をオールインワンで提 供
  18. 18. オンラインの維持 200拠点以上のデータセンターと グローバルエニーキャストネット ワークにより、高度に分散された DDoS攻撃のトラフィックを吸収 し顧客サイトの継続稼働を支援。 オリジンインフラストラクチャー の保護 エッジでのボリューメトリック攻撃を L3,4,7で検出し遮断。 異常なトラフィックを特定 HTTPリクエストからフィンガー プリントを採取して、自動緩和ル ールを使用し既知のボットネット や新たに出現したボットネットか らサイトを保護。 コントロールによる アプリケーションを保護 Rate Limitingのきめ細やかな コン トロールによって、検出の難しい アプリケーション層の攻撃をブロ ック。 Origin Server DDoS attack 攻撃の予測 2,200万のウェブサイトで共有し ている情報により、既知の不正 なシグネチャを事前にブロック 。 攻撃の規模に関わらず、課金計測なしの無制限でDDoS攻撃からの保護を提供します。 Cloudflare Data Center 18 DDoS攻撃防御ソリューション
  19. 19. OWASP ModSecurity ルールセット Cloudflare WAF ルールセット カスタム WAFルールセット ● Joomla, Drupal, Wordpressなどの 一般的なコンテンツを保護。 ● XSS, SQLi, LFI, DDoS, RCE, spamに対して対応。 ● 新しいゼロデイ攻撃の脆弱性に対 して即日ルールセット適用が可能 。 ● “オン・オフ”設定のみでルール適 用が可能。 ● 全てのルールに対してきめ細 かな調整をしながらスコアリ ングを実施。 ● SQLインジェクションとクロ スサイトスクリプティングの 脆弱性に集中した対応。 ● OWASPは米国に本部を持つ 非営利でオープンな組織。 ● ログや詳細な記述を参考にして ユーザー毎に特別なルールを作 成。 ● サポートリクエストで作成でル ール作成を代行。 ● ユーザーエージェント、URL, リ ファラー、クライアントIP、国 別など個別に対応。 ● ビジネスプランとエンタープラ ズプランのみに対応。 Cloudflare WAF ルールセット一覧
  20. 20. Cloudflare Bot Management ワンクリックで機能リリース ● 複雑な構成やメンテナンスなしに、1クリックで高速化つ正確なボット管理ソリューシ ョンが導入できます。JavaScript不要。 管理機能と柔軟な操作性 ● 固有のニーズや変化するニーズに合わせてボットの管理ルール を調整しましょう。特定のパ スやURIパターン、リクエストメソ ッド、スコア感度などのさまざまな属性でルールを定義 できます。 分析データとログ ● ドリルダウンメニュー を搭載した時系列グラフを活用で、ソリューション効果改善に繋が ります。 ● ログにはトリガーに使用されたルール、実行されたアクション、全リクエストのリクエスト メタデータが記載さ れているので、SIEMやBIアプリケーションといったサードパーティの ツールを使ってセキュリティに対する取り組みを分析す ることができます。 2,200万件以上のインターネットプロパティから収集した一部のトラフィックを機械学習に適用することで、 Cloudflareは全リクエストに対してボットである可能性を評価しています。
  21. 21. OWASP Core Ruleset Managed Rules Firewall Rules WAF DDoS Protection Layer 7 attacks Layer 4 attacks Layer 3 attacks Bot Management Credential Stuffing Content Scraping Content Spam Inventory Hoarding Credit Card Stuffing App DDoS SQLi, XSS and more Zero-day and new vulnerabilities IP Geo restrictions, Zone Lockdown, User Agent and more 包括的にアプリケーションの保護
  22. 22. 固定料金サービス ● 隠れたコストは一切なし。 プロフェッショナルサービ スとしての課金はなし。 Traffic/Bandwidth Time 固定料金 ● トラフィックのスパイクによる 予期せぬコストからの解放 ● 正常及び攻撃トラフィックが発 生した場合でも固定料金でご請 求いたします。
  23. 23. クラウドフレアの優位性 DNS DDoS FirewallTLS CDNRate Limiting WAF Argo ワールドワイドで約10%のHTTPインター ネットトラフィックと39%のDNSクエリ 処理。 200+箇所のデータセンターで 35TB+のキャパシティを提供。 Cloudflare Datacenter • 簡単導入と設定。 • 予測可能な固定料金。 • 全インターネットユーザー向けにサービスプランを提供 。 • 巨大グローバルネットワークとスケール。 • パフォーマンス & セキュリティの統合ソリュー ション。 • ネットワーク脅威データのインテリジェンス。 Origin Server 2,200万+の顧客基盤と月間1兆5,000億 PVを支えるトラフィックのルー ティング。
  24. 24. Cloudflare Botマネージメント 悪質なボットの検知及び検査は2,200万ドメインの インテリジェンスを使用して、ワンクリックで設定可能
  25. 25. ボット(Bot)とは? ● 人と言葉を交わさなくても、一定のタスクを 自動的に実行する ● 人間のように反応する ● ユーザーとチャット、コンテンツのスキャン 、Webサイトとのやりとりの自動化
  26. 26. ボットの進化 ● 簡易な情報収集 ● 限定した固定IPからの アクセス ● 繰り返し同一の攻撃パタ ーン ● 簡単に検知可能 Basic Bots ● 人間のように行動を行い、 お客様のブラウザーや トークンのハッキング ● 対策を行うには、脅威イン テリジェンス、行動分析、 機械学習、及びフィンガー プリントが必要 Sophisticated Bots ● 個人情報や認証情報の盗難 、不正ログインによる詐欺 行為でビジネスに影響 ● ボットネットはIPアドレスを 変更したり、ボットに感染 した端末から遠隔操作 ● スクリプトによるチャレン ジやハニーポットなどで対 策 Mature Bots
  27. 27. ボットの種類 PartnerSearch Engine Crawlers CopyrightSite Monitoring Feed Scraper Spam Click Fake Googlebots Botnet Good Bots Good Bots Bad Bots
  28. 28. Bot対策に行ったソリューション ● Rate Limit ● WAF ● 二重認証 ● 内製のセキュリティツール ● Javascriptによるボット検知
  29. 29. ユースケース及び機能
  30. 30. 悪質なボットによるユースケース 不正入手したパスワードを使用し て、自動ログインにより機密情報 の悪用. Webサイトに公開されてる情報の 取得 掲示板や記入フォームに悪意のあ るコンテンツの投稿 クレデンシャルスタッフィング Webスクレイピング スパムボット 不正購入や高価転売などの不正な商品 の購入 不正な高額転売や購入 クレジットカードの不正利用 ギフトカードの不正入手や盗難 クレジットカードなどの不正利用 アプリケーション層 DDoS攻 撃 サイトの遅延、ネットワーク帯域幅や CPUなどのリソースの消費
  31. 31. Bot Managementのアーキテクチャ WAF Rules Behavioral Analysis Customers and Legitimate Visitors Bad Bot Partner Bot Good Bot Browser Mobile Machine Learning Fingerprinting Web/App Server Cloudflare Bot Management DDoS+RateLimiting API Workers
  32. 32. 24 時間表示 ● 悪質なボット ● ユーザーによる通信 ● グッドボット (Google, Bing, Alexa等)
  33. 33. 24 時間表示 (7x Spike) ピーク時にボットのリクエスト数が7倍増加
  34. 34. 機械学習 2,200万以上のドメインやAPIのトラフィックを確認 1日あたり 7,500億件以上の HTTP リクエスト 1日あたり10億件以上のIPアドレスがネットワークを通過 全リクエストに対してボットである可能性の評価 悪質なボットの特徴を分析及び紐付け Behind the scenes: GPU クラスターにClickhouse及びCatboostの構成
  35. 35. 行動分析 サイト固有のリクエストの異常を検出にあたり、ベースラインを確認 全てのリクエストがベースラインとどの程度異なるのかをスコアリングを 行います。
  36. 36. フィンガープリント 2,200万以上のドメインやAPIのトラフィックを確認 1日あたり 7,500億件以上の HTTP リクエスト 人間の通信とは異なる、ボットの特徴を自動的に検知 悪質なボットの場合、低いスコアリングを設定
  37. 37. Botルールの設定 ログインページにクレデンシャルスタッフィング攻撃からの設定: ● cf.bot_management.score は各トラフィックの検査を行 い、0ー100でスコアリングを行います ● 初期設定はスコアリングを30で設定を行い、平均的に良い 結果のフィードバックがあります ● 誤検知が多い場合、設定数値を下げます ● 検知漏れが発生した場合、設定数値を上げます ● cf.bot_management.verified_bot はGoogleのような Goodボットを除外
  38. 38. 緩和オプション * might require integration on your side if (clientTrustScore <= 30) { await sleep(1000); var options = { "cf" : { "cacheTtl" : 30 } };
  39. 39. アナリティクス及びレポート機能
  40. 40. AngelList / ケーススタディ AngelList はシリコンバレーを拠点 に、スタートアップと投資家を繋ぐ オンラインプラットホームを運営す る。 Angelistはあらゆるスター トアップの発掘や投資などにあ たり、企業グループ全体の成長 にあたり、必要なツールを探し ています。 “Using machine learning across tens of millions of websites, Cloudflare is able to immediately identify unauthorized bots that are abusing our website. Their mitigation strategies block bots without impacting real users - our false-positive rate is now less than 0.01%.” Tony Bruess, Engineer 結果 http://cfl.re/angellist-case-study • Cloudflareは月間でangel.coに対して6億6千万リクエストの検査及びスコアリン グを行った • 導入の1ヶ月後、 Cloudflareは55万のIPアドレスからのアクセスに対して、3,900 万のCaptchaチャレンジを行った。 総リクエストに対して誤検知は 0.0033%にな ります。 • Botマネージメント導入の結果、スタートアップの有益情報が守られました。 チャレンジ • AngelList は競合による候補者やスタートアップなどのプロフィール情報やメタ ーデータ、投資案件やスタートアップのキャリア募集などのスクレイピングを検 知 • AngelList’s 内製ツールは安定して外部からの許可してないボット活動や悪質のボ ットをブロック出来なかった • AngelList は550,000件の IPアドレスからターゲットにあった.
  41. 41. ボットのカスタマイズレポート エンタープライズプランを ご利用のお客様にはボット の分析レポートを提供 Get in touch with your account team today! Top 5 zones for automated requests お客様のドメインにカスタマイズしたボットのレポートの提供
  42. 42. ダッシュボードデモ (Bot Management)
  43. 43. クラウドフレアの新製品の紹介 Confidential. Copyright © Cloudflare, Inc.
  44. 44. Cloudflare for Teams Access Gateway 社内向けのゼロトラストセキュリ ティ. Cloudflareのグローバルネッ トワーク上で運用 より高速で、管理も利用も簡単に なった、セキュアWebゲートウェ イ
  45. 45. レガシー構成 Cloudflare ソリューション Cloudflare for Teams
  46. 46. 46 Thank you!

×