Amazonは最近、不正管理としてAccount Takeover Protectionを導入した。ネットワークエッジでログインページを保護するためのAWS Webアプリケーションファイアウォールの新機能である。
Account Takeover Protection(ATP)は、ユーザー名とパスワードがWebの他の場所で侵害されていないかどうかをリアルタイムでチェックする機能である。これは、ブルートフォース攻撃、クレデンシャルスタッフィング攻撃、他の異常なログインアクティビティを軽減するように設計されている。
新機能は、AWS WAFのマネージドルールグループであり、アプリケーションのログインページへのトラフィックを監視し、侵害されたクレデンシャルを使って不正アクセスを検出する。ATPは、異常なログイン試行を可視化し、不正アクセスや不正行為を防止する。The Duckbill GroupのクラウドエコノミストのCorey Quinn氏は、自身のニュースレターで次のように書いている。
これは、ログインページを持っている場合には素晴らしい機能です。この機能に多額のお金を払っていた時期がありました。
AWS WAFはデータおよびインフラストラクチャのセキュリティのためのマネージドサービスである。これは、CloudFront、Application Load Balancer、API Gateway、AWS Lambda、AWS AppSync for GraphQL API上のアプリケーションを保護するために使うことができる。
出典: https://console.aws.amazon.com/wafv2/homev2
AWS WAFによって、クレデンシャルが侵害されたと判断されると、ラベルを付けてその判断を強調表示する。そして、失敗したログイン試行、繰り返しの違反者、ボットからのリクエストを自動的にブロックする。ATPがない場合、システム管理者は、WebレイヤーのDDoS攻撃、ブルートフォースログインの試行、ボットを軽減するために、レートベースのルールを構成する必要がある。LightspinのCISOであるJonathan Rau氏は、次のように書いている。
時間が経つにつれて、AWS WAFチームは間違いなく洗練されていきます。この新しいリリースも、例外ではありません。発表の投稿(およびAMR構成を見る)から、彼らはいくつかのOSINT & CTI(おそらくHIPBと既存のIOCフィード)、基本的なログインパターンテレメトリ、そして、おそらくその下のレートベースのルールを使っているようです。これによって、クレデンシャルスタッフィング、ブルートフォース、アカウントの乗っ取り阻止を不能にする技術を検出し、防止する。
オプションのJavaScriptとモバイルSDKによって、ユーザデバイス上での追加のテレメトリを使って、ボットによる自動ログイン試行に対する保護が強化される。現在、AWS WAFはウェブリクエスト本文の最初の8KBのみを検査する。この制限について、Kloudleの共同創設者Riyaz Walikar氏は、攻撃者がこの機能をバイパスする可能性があると主張している。
現在、WAFはサイズが8KB未満のWebトラフィックに対しては、宣伝されている通りに機能します。しかし、攻撃トラフィックが8KBを超えると、悪意のあるペイロードがロードバランサーであるAWS WAFを通過し、アプリケーションによって処理されます。
新しいATP機能は、北バージニアとアイルランドを含むAWSリージョンの一部で利用できる。月額10米ドルと、ログイン試行1,000回の分析に対して1米ドルが課金される。Rau氏は次のように付け加えている。
これは高額です(...)広く普及するアプリに対しては、これは高すぎることが容易にわかります。1,000万回のログインで$10,000です。スーパーボウルの広告の後、Coinbaseの前で想像してみてください。
AWSは、新機能の設定方法を説明するビデオをリリースした。