中国の攻撃者がF5 BIG-IPアプライアンスを踏み台にスパイ活動

内部に構築されたC2サーバとの接続を妨害するため、組織内すべてのサーバ、ワークステーション、エッジデバイスの通信に制限をかける。また、インターネットへの接続が必要最小限となるようにファイアウォールを構成し、ロードバランサーなどもこの背後に設置する
一般的な管理ポートのトラフィックを厳密に制御する。具体的にはSMB(port 445)、RPC(port 135)、WinRM(port 5985、5986)、RDP(port 3389)、SSH(port 22)のアクセスを厳密に制限する。この作業は困難を伴う可能性があるが、それに見合うだけのセキュリテ上のメリットがある
レガシーデバイスは速やかに廃止して交換する。レガシーデバイスはサイバー攻撃の標的になりやすい。どうしてもレガシーデバイスを維持する必要がある場合は、デバイスのネットワークをセグメント化し、古いシステムをサポートする最新のセキュリティソリューションを導入する。また、システムにアクセスできる人員を制限し、トラフィックを常に監視する
エンドポイント検出応答(EDR: Endpoint Detection and Response)を導入する。また、認証情報を保護するためWindowsのLSASS(Local Security Authority Subsystem Service)にPPL(Protected Process Light)を適用し、Windows Credential Guardを有効にする(参考：「追加の LSA 保護を構成する | Microsoft Learn」)

F5 BIG-IPアプライアンスのようなネットワークエッジデバイスのセキュリティ強化には、プロアクティブなセキュリティ戦略の構築が必要。Sygniaはそのような防御戦略を確立するための包括的なガイダンスとして「Defending Your Network Edge Against the Next Zero-Day Exploit」を公開しており、ネットワークエッジデバイスのセキュリティ強化に役立てることが望まれている。
（後藤大地）