Edgio WAAPルール–混沌とした順序の作成

私の一日は現在および潜在的な顧客からの質問で満ちている。 私が答えるのが好きなのは、WebアプリケーションとAPI保護(WAP)とセキュリティルールセットを非常に正確にしている理由である。 過去数年間に発生した新たな攻撃ベクトルと脆弱性の猛攻撃を考慮する場合、正確性が重要である。 実際、Cybersecurity and Infrastructure Security Agency(CISA)は最近、66件の脆弱性を既知の脆弱性カタログに追加した。また、新しいCVEは2022年に前年比25%以上増加している。 セキュリティとパフォーマンスに懸念を持っているのはCISAだけではない。 最近の調査によると、企業は誤検知、誤検知、アラート疲労の軽減、セキュリティ管理の改善を望んでいる。 では、Edgio WAAPルールをより効果的にするものは何か? 高いレベルでは、WAAPルールとマネージドルールを使用したハイブリッドシグネチャと異常スコアリングモードを実行する特別な順序に関係している。 我々は、性能を犠牲にすることなくセキュリティを提供するために、自社開発のwaflzエンジンを介してこれらのプロセスをミリ秒以内に実行する。 これをさらに詳しく見てみよう。

玉ねぎをはがす

管理されたルールの内部の仕組みを確認する前に、WAAPの保護のさまざまなレイヤー(意図された駄洒落)を見てみよう。 WAAPの各層が重要な役割を果たす。 以下にその機能の概要を示す。

アクセス制御規則

アクセス制御規則は、IPアドレス、匿名プロキシ、国、ASN、地域コード、ユーザーエージェント、クッキー、リファラー、URL、HTTP要求方法、コンテンツタイプ、ファイル拡張子、ファイルサイズ、要求ヘッダーによって保護されたサイトへのアクセスを制御するモジュール式の許可リスト、拒否リスト、ポジティブセキュリティアクセスリストを作成する機能を提供する。

レート制限ルール

レート制限ルールは、WAAPで保護されているアプリケーションへのHTTP要求のフローを制限して、悪意のあるまたは意図しないアプリケーションDDoSトラフィックを防ぎ、攻撃や計画外のトラフィックスパイクによる要求で顧客のアプリケーションサーバが過負荷になるのを防ぐ。

ボットマネージャーのルール

ボットマネージャーは、良いボットと悪いボットの両方を検出する。 不要な自動化や不正ボットを軽減し、アプリケーションに到達するのを防ぐための複数のオプションを提供する。 これにより、Credential Stuffing、Scraping、Carding、Spamming、DDoS攻撃の開始、およびアドフラウドの実行を行う悪意のあるボットからサイトを保護する。

カスタムルール

カスタムルール強力なWAAPエンジンを手に入れて、独自のセキュリティルールを作成。 悪意のあるトラフィックは変数の組み合わせ（要求ヘッダー、本文、クエリ、メソッド、URL、クッキーなど）を使用して識別される。 この方法では、脅威検出の柔軟性が向上し、特定の悪意のあるリクエストをフィルタリングして軽減するためのアクションを実行できる。 カスタム脅威の識別と迅速なテストと導入を組み合わせることで、仮想パッチを作成することで、長期およびゼロデイの脆弱性に迅速に対処できる。

管理されたルール

Edgioのマネージドルールは、Edgioが管理する独自のルールセットを介して悪意のあるトラフィックを識別する。 管理対象ルールは、次の3つのカテゴリにまたがる500を超えるルールで構成される。

1. Edgio独自のルール。
2. 高度なアプリケーション固有のルール。
3. 一般的なOWASPルール。

これは、さまざまな攻撃カテゴリとアプリケーションのためのさまざまなセキュリティポリシーとルールを包括的に収集する。 脅威評価を実行する際に、特定の変数(つまり、cookie、ヘッダー、要求パラメータ/クエリ文字列)を除外することで、各管理対象ルールをカスタマイズして誤検知を防止できる。 ご覧のとおり、WAAPルールには多くのレイヤーがあり、各レイヤー内には、WAAPが実行しなければならない数十から数百のルールと条件が存在する可能性がある。 各ルールは、誤検知が導入され、パフォーマンスに影響を与える可能性を提示する。 複雑なのは、Edgio WAAPがデュアルWAAPモードで実行する独自の機能を提供していることである。このモードでは、アクセス制御ルール、カスタムルール、および管理ルールについて、実稼働トラフィック用の2つのバージョンのセキュリティ設定を同時に実行できる。 我々は、我々のセキュリティソリューションを強化し続けるために、追加の保護層を追加する。 これらの機能やルールが混乱している中で、WAAPが何百万ものリクエストを正確かつ効率的に処理できるようにするにはどうすればよいのか。

混沌からオーダーを作成する

高性能マルチテナント環境で拡張するために特別に設計された強力な自社開発のWaflzエンジンを持つことに加えて、重要なのは、WAAPを最も効率的かつ効果的に実行するための適切な操作順序を作成することである。 これを達成するために、WAAPは次の順序で規則モジュールの異なる層を実行する。

1. Access Control Rules:すべての要求は、前述の変数で構成される顧客設定の許可/拒否/アクセスリストの静的セットによってフィルタリングされる。 WAAPは拒否リストに一致する要求をすべてドロップし、不要なトラフィックがそれ以上処理されないようにする。
2. Rate Limiting Rules:アクセス制御規則を通過するリクエストは、設定で指定された時間枠内で各クライアントのリクエストを追跡するレート制限規則によって追跡される。 WAAPは、特定の要求レートしきい値を超える要求をドロップし、要求ボリュームが次のステップに進むのをさらに制限する。
3. Bot Managerルール:このステップに到達する各リクエストは、リクエストシグネチャと動作の組み合わせに基づいてボットベースであるかどうかを判断するために、MLプラットフォームによって検査される。 悪意のあるボットリクエストは、ブラウザチャレンジ、カスタムレスポンス、キャプチャなどのさまざまな手段を介して軽減できる。 ほとんどの攻撃は自動化されたクライアントを介して行われるため、ボットマネージャはこれらの攻撃を軽減し、後続のルールモジュールで処理する必要のあるリクエストの量をさらに減らすための効果的なソリューションとなる。
4. カスタムルール:このステップでは、WAAPは、顧客が作成したさまざまなカスタムフィルタを使用して要求を検査し、不要な要求を検出して軽減する。 これには、管理対象WAAPルールセットが更新されるのを待たずにゼロデイ脆弱性を緩和するために、顧客がリアルタイムで展開できるアプリケーション固有のルールを含めることができる。 これは、特定の攻撃を可視化し制御するための非常に貴重なツールである。 カスタムルールの特殊性のため、それらはEdgioが管理するルールよりも優先され、最終レイヤーに渡す前にリクエストを処理する。
5. Managed Rules:この段階に到達するリクエストは、Edgio独自、高度なアプリケーション固有、および汎用OWASPカテゴリ全体のManaged 500+ルールによって処理される。