Cloudflareが脅威インテリジェンスをウェブアプリケーションファイアウォール(WAF)に直接取り込める新機能を発表しました。攻撃元IPアドレスにひも付く攻撃者名やそのIPアドレスが過去に標的にした業界などを条件にしてCloudflare WAFでブロックルールを作成できるようになります。

Turning Cloudflare’s threat indicators into real-time WAF rules

https://blog.cloudflare.com/realtime-threat-intel-waf-rules/



CloudflareにはThreat Eventsという、Cloudflareが処理する大量のトラフィックを基に「どのIPアドレスがどの業界を攻撃しているのか」「どの攻撃者が目立っているのか」を調べられる脅威分析機能が存在しています。従来は可視化された情報を見てからWAF側でルールを作る流れになりやすく、Cloudflareも「可視化を実際の緩和策に変える作業は手動で反応的になりがちだった」と説明しています。

そこでCloudflareは、Threat Eventsの情報をCloudflare WAFのルール作成に直接使えるようにしました。Cloudflareのライブ脅威インテリジェンスをWAFエンジンに取り込み、攻撃が自社インフラに届く前に既知の危険な通信を条件付きで遮断できるようにするというわけです。

今回のThreat EventsとWAFを連携する新機能では、HTTPリクエストの処理の早い段階で脅威情報を付与し、WAFが攻撃者名、標的業界、標的国、攻撃元国、脅威情報の種類といった条件を基に通信を評価できるようになります。たとえば「特定の攻撃グループに関連するIPアドレス」「過去に金融業界を狙ったIPアドレス」「DDoS関連データセットに含まれ、特定の国を標的にしているIPアドレス」といった条件でルールを作成可能です。



Cloudflareが追加したWAFフィールドを使用することで、「既知の脅威グループ名」「対象IPアドレスが標的にした業界」「脅威イベントの攻撃元国」「標的国」「DDoSやWAFなど情報の出どころ」をベースにルールを作成できるとのこと。

新機能はCloudflareがAttack Signature Detection向けに導入した「always-on detection」と同じ考え方に基づいています。事前に遮断ルールを作っていなくても検知処理をバックグラウンドで動かし、HTTPリクエストの分析情報に脅威メタデータを付与しておく仕組みです。ログを見るだけの状態と遮断する状態の二択にせず、まず攻撃者名や標的業界を分析で確認し、必要に応じてブロックに切り替えられるのが狙いです。

Cloudforce Oneのサブスクリプションを持つユーザーの場合、脅威インテリジェンスに基づく情報は分析画面に自動的に表示されるとのこと。サイトにアクセスしている攻撃者や、攻撃元IPアドレスが普段どの業界を狙っているのかを確認した上で、遮断ルールを有効化できます。自動化できるのはルールの作成や適用に関わる部分であり、どの条件をブロックに使うかはユーザー側が設定する形です。

運用面では、WAFのカスタムルールやレート制限で新しい「cf.intel」フィールドを利用できます。レート制限は一定時間に多すぎるリクエストを送る通信を制限する仕組みで、攻撃者名や標的業界を条件に含めることで「すべてを一律に遮断する」のではなく「特定の文脈を持つ通信を厳しく扱う」といった設定が可能になります。Cloudflare APIとTerraformにも対応するため、複数ドメインやアカウント全体に同じ防御方針を展開する運用にも組み込めます。

また、Threat Intelligence Dashboardで調査した条件をSaved Viewsとして保存し、保存した条件からワンクリックでWAFルールを作成する機能も用意されています。たとえば「過去7日間に金融業界を攻撃していたIPアドレス」といった条件を保存しておけば、IPアドレス一覧を手作業でコピーすることなく、調査結果を防御ルールに変換できます。



ルールが発動した場合はSecurity Analyticsに記録され、どのルールが発動したのか、どの脅威指標が一致したのかを確認できます。遮断して終わりではなく、後から調査しやすい形でログに残るため、誤検知の確認やインシデント後の分析にも使えるとのことです。



Cloudflareによると、脅威インテリジェンスのデータセットは高性能な形式に圧縮され、世界中のCloudflareデータセンターに配布されるとのこと。リクエストがCloudflareネットワークに到達すると、Cloudflare WAFはローカルにあるデータセットに対して定数時間で検索を行うため、指標が10件でも1000万件でも遅延の増加は実質的にゼロに近く、マイクロ秒単位に収まると説明されています。

Threat EventsとWAFを連携する新機能の照合対象はIPアドレスベースですが、Cloudflareは今後、JA3フィンガープリントやドメインベースの照合にも拡張することを見据えているとのこと。JA3フィンガープリントはTLS通信の特徴からクライアントソフトウェアを識別する手法で、IPアドレスを頻繁に変える攻撃者に対しても、攻撃に使われるソフトウェアの特徴や悪意あるリンクを手がかりにした遮断が可能になるとCloudflareは述べています。

今回の新機能はCloudforce Oneサブスクリプションに加入している顧客が利用できるとのこと。CloudflareはThreat EventsまたはCloudflare DashboardのWAFセクションから最初のThreat Intelルールを作成できるとしており、グローバルな脅威の見える化をローカルな防御に変える手段として活用できると説明しています。