脆弱性フィルタ:バーチャルソフトウェアパッチ
脆弱性フィルタは、アプリケーションプロトコルを侵害したり、実装上の欠陥 (例 : バッファオーバーフロー) に障害を生じさせる条件をもったトラフィックを検知し、ブロックするように設計されています。
脆弱性フィルタを作る場合、設計者は 3 つの難題に直面します。第 1 に、正規のトラフィックをブロックすると DoS (サービス不能) を生じてしまうため、フィルタは誤検知を回避するように設計する必要があります。第 2 に、攻撃を見落とすとネットワーク障害が発生するため、フィルタは攻撃側の回避技術 (evasion) に対抗できなければなりません。第 3 に、これは最も重要ですが、検知エンジンは通常のネットワークスピード、レイテンシー (遅延時間) でインライン処理を行いながら、必要なテスト基準もサポートするパワーを備えていなければなりません。TippingPoint の脅威抑制エンジン (TSE) は、こうした目的で設計されています。
パワーのないソフトウェアベースのエンジンでは、たいていの場合、高精度脆弱性フィルタより先に、より単純な特定ポリシーの Exploit フィルタで処理するように設計されています。より単純なフィルタはエンジンに最小の性能負担しかかけませんが、誤検知 (False positive) や検知漏れ (False negative) を生じさせます。一般的に、エンジンにパワーがない場合は、IPS フィルタ開発において、(a) 単純なフィルタを実装して、許容性能を実現するか、あるいは、(b) 高精度フィルタを実装するが、性能は許容範囲を下回るもので妥協するか、のどちらかを選ぶしか道はなくなります。中には、エンジンの計算限界を超えるフィルタ論理を実現し、サイトごとに個別に IPS を構成したり、チューニングを行うことで、各顧客が抱える性能の問題を処理し、(a) か (b) かの選択を避けるベンダーもいます。
適用範囲の広い IPS の価値を全世界に広めるには、デバイスがあらゆる局面で高い性能を発揮できなければなりません。つまり、IPS は高精度脆弱性フィルタを実現し、多くのフィルタ群が有効に設定された状態のまま、負荷の大きいギガビットトラヒックを処理しなければなりませんし、ネットワーク管理者に単調で退屈なチューニングやコンフィギュレーション作業をさせずに、有用なバーチャルソフトウェアパッチ機能を発揮しなければならないのです。
さらに詳しい情報は、TippingPoint のホワイトペーパー「脆弱性フィルタの解説:バーチャルソフトウェアパッチ」をダウンロードしてご覧ください。
