【目次】
1.はじめに
2.前提として
3.対応攻撃状況
4.カスタマイズルールの作成・適用
5.おわりに

1. はじめに
今回は WafCharm での対応可能な攻撃についてまとめます。
記載されている攻撃全てから保護することを保証するものではございません。
ルールの適用状況もACL毎に異なりますのでご注意ください。
また、セキュリティの関係で詳細については公開できません。
対応情報を利用して攻撃に利用されることを防ぐためとなります。

2. 前提として
AWS WAF には現在バージョンが二つあります。
それぞれ AWS WAF Classic と new AWS WAF として記載します。
ルール適用に関わる違いは以下となります。

・AWS WAF Classic
対応可能なルールから必要なルールが、指定されたルール数(最大10個)に則り
適用されます。

・new AWS WAF
new AWS WAF ではWCUでの制限があるため、利用できるWCU(最大1500)に則り適用されます。

そのほかにも適用できる正規表現の数にも制限があります。そのためルールとしては
作成可能なものの適用できない場合があります。

バージョンの違いについては以下のブログもご参照ください。


AWS WAF Classic

AWS WAF 解説 【第1回 基本構造編】

AWS WAF 解説 【第2回 Condition と Filter の関係性】

AWS WAF 解説 【第3回 String and regex matching の仕組みと活用例】

new AWS WAF

第1回 : 【new AWS WAF】変更点まとめ

第2回 : 【new AWS WAF】AWS マネジメントコンソール操作(マネージドルール編)

第3回 : 【new AWS WAF】AWS マネジメントコンソール操作(オリジナルルール編)

第4回 : 【new AWS WAF】AWS マネジメントコンソール操作(パターンセット・ルールグループ編)

第5回 : 【new AWS WAF】JSON 解説


3. 対応攻撃状況
一般的な脅威からの防御としての対応攻撃を少し具体的に説明します。

■対応攻撃例一覧
 ・SQLインジェクション
 ・OSコマンドインジェクション
 ・コードインジェクション
 ・ヘッダインジェクション
 ・パストラバーサル・ディレクトリトラバーサル
 ・クロスサイトスクリプティング
 ・XXE攻撃
 ・悪質なUserAgentに関する防御
 ・その他特定のミドルウェアやOSに関する脆弱性等
  etc

■非対応攻撃例一覧
 ・CSRF

■ブラックリスト更新による対応攻撃状況
 ・ブラックリストの再マッチング処理に関する対応攻撃については
  非公開となっています。

基本的な考え方として、対応できる攻撃についてはWAFへの通信段階で異常と
判断できる条件が必要となります。
すでに漏洩したパスワードを使用したアクセスや正常なアクセスと判別がつかない
アクセスは検知できません。

また、特定の脆弱性に対する攻撃は、それが上の対応攻撃例一覧に
分類される場合において、一部を除いてその分類項目として検知されます。
例:管理画面にアクセスできる、特定のミドルウェア依存の脆弱性を用いた
SQLインジェクションを受けた場合も、あくまでSQLインジェクションとして
検知する。

4.カスタマイズルールの作成・適用
WafCharm では、お客様個別でのルール作成及び適用をカスタマイズとして
承ることが可能です。
カスタマイズ可能なプランをご契約の上ご相談ください。

カスタマイズ例
・アップデートがすぐにできないため、特定の脆弱性に対する攻撃の検知を優先して
実施しておきたい。

該当の脆弱性を利用した攻撃が判別可能な場合、カスタマイズルールとして作成・適用します。

・特定のパスへのアクセスを遮断したい。(必要なアクセスはホワイトリストで回避)

対象パスにアクセスしたものを遮断するカスタマイズルールを作成・適用します。

・レートベースルールを使用したい。
以下のブログを参照ください。
https://www.wafcharm.com/blog/how-to-use-the-rate-based-rule/

5.おわりに
WAFを導入したことによりWEBセキュリティが全て守られるわけではありません。
脆弱性に対するアップデートや安全なサイト設計、適切な権限設定、不要な通信経路を
閉じるなど総合的な対策を実施していきましょう。
WafCharm運営ではサービスを提供するだけなく、ユーザの皆様に最新の脅威や
対策の情報をお届けできるように努力して参ります。