脅威インテリジェンス「ATLAS」
NETSCOUT社は、独自の脅威インテリジェンス「ATLAS」を持っています。「ATLAS」に集められた情報は、NETSCOUT社のセキュリティアナリスト「ASERT」によって解析されます。解析結果は、フィード情報として、お客様先に設置された機器に対して配信されます。配信された情報は、お客様先の機器においてDDoS攻撃と正常通信の判別に活用されています。
脅威インテリジェンス「ATLAS」
ATLASでは、Tier1キャリアの90%以上に導入されているSightlineから収集した統計情報や、Darknetに配置したセンサーからの情報をATLASデータセンターに集約します。データセンターに集まった情報は、ASERT(Arbor's Security & Emergency Response Team )と呼ばれるセキュリティアナリストの手によって日々分析され、新たなDDoS攻撃手法や新たに使用が確認されたBot、C&Cサーバーの発見に役立てられています。現在、ATLASの情報収集範囲は107カ国に及び、インターネット全体のトラフィックの35%~40%がATLASの情報収集範囲といわれています。
ASERTの分析に
関するアウトプット
ASERTの最新脅威分析レポートは、NETSCOUT社のWebで公開されています。Webでは、直近で観測されたマルウェア関連情報やDDoS攻撃手法、過去24時間のDDoS攻撃統計レポートが掲載されています。
また、NETSCOUT社は、毎年、『ワールドワイド・インフラストラクチャー・セキュリティレポート』と題したセキュリティレポートを発行しています。セキュリティレポートの中でNETSCOUT社は、ASERTの分析結果だけではなく、お客様へのアンケートをもとに、その年のDDoS攻撃の傾向およびお客様の対策状況をまとめています。
『ワールドワイド・インフラストラクチャー・セキュリティレポート2018』日本語サマリー版は、本サイトよりダウンロードいただくことができます。ご興味おありの方は、ぜひアクセスしてください。
また、「デジタルアタックマップ」は、Google Ideasと連携し、グローバルなDDoS攻撃を可視化しているサイトです。このサイトでは、ATLASのデータが使われています。
フィード情報の配信
ATLASは、ASERTの分析によって判明した新たなDDoS攻撃や、Bot、C&Cサーバーなどの情報を、お客様先に設置された機器に対してフィード情報として配信します。TMSやAPSは、配信されたフィード情報をもとにDDoS攻撃の判定を行います。
競合他社の製品の多くは、しきい値のみをDDoS攻撃と正常通信の判別基準とし、DoS攻撃のミティゲーションをしています。NETSCOUT社のDDoS攻撃対策関連製品は、しきい値だけではなく、配信された脅威インテリジェンスの情報を判別の材料にしています。
攻撃の中には、しきい値によるDDoS攻撃判別を、巧妙にかいくぐる手法が存在します。
ATLASからは、これらの攻撃者が利用するBot、C&Cサーバーの情報が配信されます。配信された情報とトラフィックの情報を照らし合わせることで、より高精度のDDoS攻撃対策を実現します。