調査で判明：EDRはアプリケーションの脆弱性攻撃に盲目、WAFはノイズを削減できず

最新の調査により、アプリケーション層へのサイバー攻撃の多くは、EDR(エンドポイントにおける検知と対応)やWAF(Webアプリケーションファイアウォール)といった最も一般的なツールを回避していることが分かった。Contrast研究所は数週間かけていくつかの攻撃手法をテストし、WAFやEDRソリューションで最も有害なソフトウェア攻撃を阻止・検知できるかどうかを検証した。

研究所の担当は、ある妥当な前提からこの疑問について調査を始めた。それは、アプリケーション層を通過してホスト上で実行される攻撃は、必ずEDRのアラートを引き起こすだろうという考えだ。しかし、この調査の結果、EDRは多くの攻撃を見逃していることが分かった。

WAFはネットワークの境界で動作する。WAFでは、重要ではないノイズと、アプリケーションロジックを標的とする真の脅威を区別するのに苦労する。多くの場合、SOC(セキュリティオペレーションセンター)が無視できるような効果のない攻撃に対する大量のアラートでセキュリティ部門では手に負えない状態になっている。

EDRソリューションは、エンドポイントで成功した攻撃を特定できるものの、攻撃経路を理解し、的を絞った対策を取るために必要な詳細なアプリケーションコンテキストが欠けている。EDRは、アプリケーション層の攻撃を全く検知しないか、あるいは脅威が損害を与えたずっと後の、キルチェーンのはるか後の段階、事態がエンドポイントにまで進行した段階でようやくそれを認識するに過ぎない。

このような欠点を考慮すると、重要なセキュリティ層として登場するのがContrast ADR(アプリケーションにおける検知と対応)だ。現代のアプリケーション特有のセキュリティ上の課題を効果的に特定し対応するために必要な、詳細な可視化とセキュリティ情報が提供される。

EDRの検知を回避したり、WAFのアラートの群れに埋もれてしまう脅威をテストするために、調査担当は次のような攻撃タイプを使用してADR、EDR、WAFをテストした。

• SQLインジェクション
• Log4Shell
• 安全でない(信頼されていない)デシリアライゼーション
• コマンドインジェクション

ADRがEDRとWAFを強化する重要なセキュリティ層であると言っても、その言葉を鵜呑みにせず自分で確認して欲しい。以下、この調査の計画、結果、結論について述べる。

調査計画

ADRを、EDRおよびWAFツールと比較するために、当社の調査担当は脆弱なアプリケーションとエクスプロイトフレームワークを開発した。これにより、調査にて、EDR、WAF、ADRなどの複数のツール間で再現性があり比較可能な結果を生成できるようになった。エクスプロイトフレームワークの柔軟性により、どのようなツールの組み合わせでもテストが可能であり、同等の結果が得られる。

調査では、上の図に示すように、脆弱なアプリケーションを複数のツールで同時にデプロイしたケースもあれば、個別にツールをデプロイしたケースもあった。エクスプロイトフレームワークには一貫性のある具体的なテストケースがあるため、どちらのテストスタイルでも結果は比較可能だ。

EDR、WAFのテストで必要なアプローチの違い

EDRに対してADRをテストする際に、主に測定された変数は、特定の脆弱性の悪用対してアラートが作成されたかどうかであった。この変数を測定することで、調査ではEDRツールがアプリケーション層の悪用を検知できるかどうかを判断できた。調査では、SQLインジェクションなどのアプリケーション層のみの悪用に限定せず、パストラバーサルやコマンドインジェクションなどのOSをまたがる悪用もテスト対象とした。

ADRとEDRを正確に比較するために、調査では特定の悪用に対してアラートが作成されたかどうかに焦点を当てた。しかし、WAFに対するテストでは、別の方法が用いられた。悪用に対するアラートを単純に測定するだけでは、WAFが実際よりも効果的に見えてしまうからだ。これは、WAFが本物の攻撃だけでなくと、脆弱でないページに対するプローブなどの無害な「ノイズ」も含めて、疑わしいと思われる大量のトラフィックを検出できるからだ。そのため、悪用のアラート数だけを数えるのではなく、この調査では、有効な攻撃と無効な試みの両方を含むシグナルの総数を測定した。 このアプローチが選ばれたのは、WAFでは有効な攻撃と誤検知を判別できず、実際の環境でWAFがしばしば大量のアラート(その多くは実際の脅威ではない)を生成する状況がより適切に示されるからだ。

WAFに対してADRをテストする際、この調査では少し異なるアプローチを取った。特定の脆弱性攻撃がアラートを発生させたかどうかだけを測定するのではなく(調査担当は、それではWAFの性能が不当に高く評価されると考えた)、有効な攻撃と無効な試みを含む一連のトラフィックに対するシグナルの量を測定した。言い換えれば、そのトラフィックには脆弱なページと脆弱でないページの両方に対する攻撃に加え、ディレクトリとパラメータのファジングが含まれていた。調査にこの方法を選んだのは、WAFには攻撃が有効かどうかを判断する機能がないため、テストケースが誤検知かどうかを判別できないからだ。この誤検知を判別できないと言う点は、セキュリティ運用部門にインシデントを報告する上で重要な機能であるのだが。

調査結果

ADR 対 EDRのテスト

ADR 対 WAFのテスト

調査では、10,459件のリクエストを送信した。そのうちの2件(コマンドインジェクションとパストラバーサル)が脆弱なページに対する有効な攻撃であった。

残りのリクエストは、脆弱性のないページに対する無効な攻撃だ。注：」Contrast ADR」と「WAF #2」はどちらも、同じ2つの有効な攻撃に対して、重複して検出したため3つのイベントとしてカウントされている。 

*調査では、さらに88のプローブ(探査検出)イベントを作成した。 

WAFテストにおけるセキュリティ情報としては、プローブイベントはContrastプラットフォーム内で効果のない攻撃として明確に定められている。.これらは、脆弱でないページを対象にするか、アプリケーションのロジックに対して成功が期待されない攻撃ペイロードを使用してアプリケーションに送信されるリクエストだ。

調査では、実際には機能しないはずの「ノイズ」や「テスト」攻撃を意図的に大量に送っているのだと考えてほしい。このようなプローブイベントをWAFのテストに含める目的は、WAFがこうした無害なノイズと、実際の脆弱性を狙った有効な攻撃を区別できる能力を評価することだった。

Contrast ADRの詳細なアプリケーションのセキュリティ情報のおかげで、プローブイベントを攻撃に至らないものとして特定し、他のイベントと区別して分類することができる。この機能により、ADR を使用するセキュリティ担当は、任意でこれらのプローブを無視できるため、アラート疲れが軽減され、実際の脅威に注力できる。もちろん、これらの担当者は、必要に応じてこれらのプローブを分析することも可能だ。

調査結論

まとめると、WAFとEDRツールは包括的なセキュリティ戦略の重要な要素であるが、真に効果的なアプリケーション層での検知と対応を提供するには不十分だ。ネットワーク境界で動作するWAFは、必要のないノイズとアプリケーションロジックを標的とする本物の脅威を区別するのが難しく、セキュリティ担当に大量のアラートを送信し、SOC担当が真の攻撃のアラートを見逃してしまう可能性がある。

同様に、EDRソリューションは、エンドポイントでの攻撃を特定することはできるが、アプリケーションの攻撃経路を理解して、防御するために必要なアプリケーションの詳細なセキュリティ情報が不足している。EDRは、アプリケーション層からの攻撃を検知しないか、キルチェーンのずっと先の段階、ホストに侵入した段階でしか検知できない。ダメージを受けてからでは遅い。ADRは、現代のアプリケーションが抱える特有のセキュリティ課題に対して、的確に特定・対応するために必要な、詳細な可視化とセキュリティ情報を提供する。上記のようにEDRやWAFでは対応しきれない、ギャップを埋めるためには不可欠だ。