Trapsの ベストプラクティスと 導入事例 Trapsの ベストプラクティスと導入事例 本日の内容 • • • • Trapsの概要 サイバー攻撃の手口から見た、Trapsのベストプラクティス 製品導入時における、Trapsのベストプラクティス 導入事例 2 | © 2015, Palo Alto Networks. Confidential and Proprietary. Trapsの製品概要 3 | © 2015, Palo Alto Networks. Confidential and Proprietary. 増加するゼロデイ脆弱性を狙った攻撃 高度な攻撃は、未公開の脆弱性を積極的に攻撃してきている 2014年と比較し、約170%増加 IPAが、2015年1月より、緊急 で発表した 脆弱性は、2014年1年間を既に超えている ※Microsoft社がリリースする月例パッチ、XSS、DoS、SQL Injection等を除く 12 11 10 10 8 6 6 4 2 0 3 2 1 1 1 0 Jan-‐15 Feb-‐15 Mar-‐15 Apr-‐15 May-‐15 Jun-‐15 Jul-‐15 Aug-‐15 Sep-‐15 2015年に公開されたゼロデイ脆弱性 出典: Symantec Intelligence Report – Sept. 2015 4 | © 2015, Palo Alto Networks. Confidential and Proprietary. 日付 概要 2015/01/23 Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐0310) 2015/01/28 Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐0311等) 2015/02/06 Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐0313等) 2015/04/15 Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐3043等) 2015/05/13 Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐3078等) 2015/06/10 Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐3096等) 2015/06/24 Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐3113) 2015/07/09 Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐5119等) 2015/07/15 Oracle Javaの脆弱性対策について(CVE-‐2015-‐2590等) 2015/07/15 Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐5122等) 2015/08/19 Internet Explorerの脆弱性対策について(CVE-‐2015-‐2502) 2015/10/15 Adobe Flash Playerの脆弱性対策について(CVE-‐2015-‐7645) ウイルス対策では、発見できないマルウェアも当たり前になっている WildFireで、マルウェアと判定された実行ファイル 290,562 11,223 47,714 850,260 2015年7月~2015年9月までの、3ヶ月間で、 WildFireで、マルウェアと判定された実行ファイル(PE、PE64)の 約88% 8,839,258 未検出 1~2社 3~10社 11~30社 31社以上 Palo Alto Networks AutoFocusを使用した調査結果より 5 | © 2015, Palo Alto Networks. Confidential and Proprietary. は、発見時に他社ウイルス対策ソフトウェアで 未検出 エンドポイントを何から守る必要があるのか? 未知の脆弱性を狙うエクスプロイトと、未知のマルウェアから守る必要がある エクスプロイト マルウェア (脆弱性を突く攻撃) (悪意のある実行ファイル) § 細工されたデータファイルであり、 正規のアプリケーションによって 読み込まれ、処理される § 実行形式のファイル(.exe)で 送られてくる攻撃用のプログラム § 正規のアプリケーションにある、 悪意のあるプログラムを実行する 脆弱性を悪用する § アプリケーションにある 脆弱性に依存しない § 正規のアプリケーションをだまし、 攻撃者のプログラムを実行させる § 小さいプログラム § すぐに実行される - コンピュータを乗っ取ることが目的 § 大きいプログラム 高度なサイバー攻撃のライフサイクル 情報収集 エクスプロイト の悪用 マルウェア の実行 制御チャネルの 確立 データの奪取 攻撃計画の 立案 ユーザに 悟られずに感染 悪意のある ファイルを実行 マルウェアは 攻撃者と通信 データ盗難、 妨害行為、 破壊活動 防止的なコントロール 反応的なコントロール 被害を抑えるためには、起動前に攻撃を止めることが重要! しかしながら、今までの対策では、止めることが難しい・・・ 必要なのは、攻撃を「止める」エンドポイントプロテクション 脆弱性を突く攻撃を阻止! 未知のマルウェア実行を阻止! Advanced Endpoint Protection 攻撃者が行う、攻撃のための手法を阻害することで、攻撃を失敗に終わらせる、 まったく新しい考え方の、アドバンスト エンドポイント プロテクションです。 8 | ©2014, Palo Alto Networks. Confidential and Proprietary. 攻撃者が行う、攻撃手法の流れとTrapsによる遮断 攻撃の連鎖を、どこかで断ち切れれば、攻撃自体は失敗に終わる! 悪意のある 活動 ダウンロードと実行 脆弱性の悪用 送付 1 2 3 4 5 攻撃コードの 準備 プログラムの 問題を攻撃 セキュリティ 機構の回避 OSの権限を 奪取 マルウェア 本体の ダウンロード Traps エクスプロイト防御 脆弱性を攻撃する際に使用される テクニック(手法)を遮断 7 6 他の起動プロセスを 悪用した活動 マルウェア本体の起動 Traps マルウェア防御 実行ファイルの場所、 コード署名などを使い プログラムの 起動を制御 クラウド上の 脅威インテリジェンス と連携し マルウェアの 起動を阻止 起動したプログラムの 動作を監視し、 悪意のある 活動を阻止 サイバー攻撃の手口から見た、 Trapsのベストプラクティス 10 | © 2015, Palo Alto Networks. Confidential and Proprietary. 実際にあった攻撃の手口(Cyber Threat Alliance レポートより) ~Cryptwall ver.3~ ユーザの操作 により実行 ZIP等で圧縮された 実行ファイル(.exe / .scr) マルウェアの 送付と自動実行 ExploitKitで 脆弱性を悪用 11 | © 2015, Palo Alto Networks. Confidential and Proprietary. 日本を主に狙った、EMDIVIの感染までの手口 悪用されたゼロデイの脆弱性 - Internet Explorer (CVE-2013-3893) - 一太郎 (CVE-2014-7247) - Adobe Flash Player (CVE-2015-5119) Emdivi本体の ダウンロード と実行 利用者をだます実行ファイル (ドロッパーと呼ばれるダウンロードツール) - 医療費通知 - セミナーの案内 - ニュースの案内 12 | © 2015, Palo Alto Networks. Confidential and Proprietary. Emdivi: Flashの脆弱性を使った攻撃 • Hacking Teamから漏えいした、 Flashの脆弱性を悪用した攻撃 (CVE-2015-5119) • Flashファイル(SWF)の中に 入れてあった圧縮ファイルから、 実行ファイルを取り出し実行 • 最終的に、EMDIVIの亜種を実行 Flashの脆弱性を突くSWFを送付 改ざんされた日本国内のサイト Dropperといわれるプログラム 最終的に、EMDIVIの亜種を実行 13 | © 2015, Palo Alto Networks. Confidential and Proprietary. Emdivi: 問題のないファイルを装った実行ファイルでの攻撃 • 実行ファイルは、RARで作成された 自己解凍圧縮ファイル ファイル名.exe • Dropperとしての実行ファイルと、ダ ミーの文書ファイルを、Windowsの テンポラリフォルダに展開し、両方の ファイルをキック TEMP ダミー.doc • 文書ファイルは、通常のアプリケー ションで開かれる • Dropperは、本体をダウンロードし 実行 マルウェアを実行 文書を表示 14 | © 2015, Palo Alto Networks. Confidential and Proprietary. Dropper.exe WordやExcelのマクロを使った攻撃 • ユーザがファイルを開くと、自動的に マクロを開始しない限りは、マクロの 有効化を求める表示がでる • マクロを実行すると、マクロによって テンポラリフォルダ等に、実行ファイ ルがダウンロードされ、キック • 実行されたプログラムが、さらにマル ウェアの本体をダウンロードし、実行 TEMP Dropper.exe マルウェアの実行 15 | © 2015, Palo Alto Networks. Confidential and Proprietary. TRAPSを どう設定すると 止まるのか? 16 | © 2015, Palo Alto Networks. Confidential and Proprietary. エクスプロイト防御のポリシー設定 モジュール名 有効 CPL Protection 動作モード Notify DEP X Terminate DLL S ecurity X Terminate DLL-‐Hijacking Protection Notify Exception Heap S pray Check X Terminate Font Protection X Terminate Generic X n/a GS Cookie Terminate Heap Corruption Mitigation Hot Patch Protection • デフォルトで無効になっているモジュールは、 想定以上の過検知が発生する可能性があるため、 適用するプロセス等注意が必要 Terminate Terminate Library Preallocation X Terminate Master S HE X n/a Master V EH X n/a Memory Limit Heap S pray Check X Terminate Null Dereference Protection X Terminate Packed DLLs Terminate Periodic Heap S pray Check Terminate Random Preallocation X Terminate ROP Mitigation X Terminate SHE Protection X Terminate Shellcode Preallocation X Terminate ShellLink Protection X Terminate SysExit URI Protection デフォルトのEPM設定で、十分な保護が提供可能 Terminate X JIT Mitigation UASLR • Terminate X Terminate n/a 17 | © 2015, Palo Alto Networks. Confidential and Proprietary. ブラウザや、Adobe Flash Playerなど、 Drive-by-Downloadの攻撃の大半は、 デフォルトの設定で十分に防御可能! EPMによって保護されるアプリケーションのカバレッジ • デフォルトでは、110プロセスが保護対象 • 日本だけで使用されるようなソフトウェアの プロセスは、入っていない • プロセスの追加は、下記の基準で • • Process Managementから、組織で利用 数の多いプロセス 攻撃に利用がされ易そうなプロセス (自社開発ではなく、パッケージ製品など) 18 | © 2015, Palo Alto Networks. Confidential and Proprietary. WildFireとの連携について ランサムウェア等、 多数の標的に送られ るものは、防御できる 可能性は高い • ハッシュ値の問合せを行い、Malwareと判断された 実行ファイルは、遮断 • 未知の実行ファイルは、積極的にアップロード • 未知の実行ファイルは、遮断せずに実行 19 | © 2015, Palo Alto Networks. Confidential and Proprietary. 実行させてしまった 未知の実行ファイル は、後述の実行制御 で補完 補完的に利用する実行制御 • Local Folder Behavior • • Child Processes • • Word、Excel、Power Point、Adobe Reader等の文 書作成、閲覧ソフトからの子プロセス起動を禁止 Restriction Setting • • • TEMPフォルダ、ブラウザのキャッシュ等からの起動 を禁止 Local Folder Behaviorは、署名されている実行ファ イルは、除外するよう設定 Child Processesは、署名されている実行ファイル及 び、ファイル作成後30~60分以上経過している実行 ファイルを除外するよう設定 Unsigned Executable • Local Folder Behaviorで指定した場所以外で、ファ イル作成後1分以内の実行ファイルは起動を禁止 20 | © 2015, Palo Alto Networks. Confidential and Proprietary. 実行制御も、止めることができなかった場合は? WildFireにアップロードされた未知のファイルが、Malwareと判定され、且つ端末で実行された履歴があれば Malware Post Detectionとして、イベントが作成される 21 | © 2015, Palo Alto Networks. Confidential and Proprietary. 導入時のベストプラクティス 22 | © 2015, Palo Alto Networks. Confidential and Proprietary. 製品導入、チューニングの流れ 本番運用開始 グループ A チューニング 初期ポリシー 最終段階 第三段階 チューニング グループ B グループ C 第二段階 初期ポリシー 第三段階 第二段階 最終段階 チューニング 前のグループで チューニングされた ポリシーを展開 初期ポリシー 第二段階 チューニングが進み、 ノウハウがたまることで、 チューニング期間が短縮化 23 | © 2015, Palo Alto Networks. Confidential and Proprietary. 第三段階 最終段階 導入時のポリシー設定 最終的には、攻撃を「止める」ことを目標に進めていくことが重要 初期段階 • • デフォルトのEPM設定 WildFire Learningモード 第二段階 • • 第三段階 最終段階 • デフォルトのEPM設定 • デフォルトのEPM設定 • WildFire Preventモード • WildFire Preventモード • 実行制御 Notifyモード ユーザ通知無効 • 実行制御 Preventモード ユーザ通知あり デフォルトのEPM設定 WildFire Preventモード • 実行制御なし • 実行制御なし • Unknownのアップロード 有効 • Unknownのアップロード 有効 • Unknownのアップロード 有効 • Unknownのアップロード 有効 • ユーザへの通知なし • ユーザへの通知あり • ユーザへの通知あり • ユーザへの通知あり 24 | © 2015, Palo Alto Networks. Confidential and Proprietary. 過検知・互換性チューニングの判断基準(例) 発生契機 トリガー 発生頻度 1回 or 複数回 (1台の頻度) 発生端末 単一 or 複数 影響範囲 影響度 緊急>大>中>小 対応優先度 1>2>3> 4 対処方針 単一 個別 PC1台 小 4 静観 (遮断維持) 部門的 過去3日間 少数の端末 中 3 経過観察→再発有無・対処 (継続監視対象) 全体的 過去3日間 多数の端末 大 2 即対処 全端末該当プロセス除外 サポートへ問合せ 個別 PC1台 中 3 経過観察→再発有無・対処 (継続監視対象) 部門的 過去1日間 少数の端末 大 2 状況判断/暫定対処 対象端末のプロセスの除外 サポートへ問合せ 全体的 過去1日間 多数の端末 緊急 1 即対処 全端末該当プロセス除外 サポートへ問合せ 1回 (1台当たり) 複数 ログアラート 確認 (遮断検知) 単一 複数回 (1台当たり) 複数 導入事例 26 | © 2015, Palo Alto Networks. Confidential and Proprietary. ご清聴ありがとうございました! 27 | © 2015, Palo Alto Networks. Confidential and Proprietary.
© Copyright 2024 Paperzz