日々変化するサイバー脅威に対抗する多層化アプローチ ~進化を続ける

日々変化するサイバー脅威に対抗する多層化アプローチ
~進化を続けるエンタープライズセキュリティプラットフォームのご紹介~
パロアルトネットワークス株式会社
SEマネージャ 寺前 滋人
Agenda
 サイバー脅威のトレンド
 セキュリティプラットフォームによる防御アプローチ
© 2016, Palo Alto Networks. Confidential and Proprietary.
現在、主流となっているサイバー脅威
 バンキング型トロイの木馬
2016年4月に WildFire に送信されたマルウェアのTop-10
 Dridex, Shiotob, Rovnix
 ランサムウェア
 Locky, TeslaCrypt, Nymaim
 ダウンローダー
 Rockloader, Bartallex, Andromeda,
 RAT (Remote Access Tool)
 NanoCoreRAT, NetWireRAT
SHA256
a565....aa5a
a91c....07ea
617a....a0fe
b3e0....b3e7
f435....359f
f597....2cb7
7c36....9b64
89e7....2963
14e7....fc34
f2e4....f7f6
マルウェア
Andromeda
Shiotob
Shade
Shiotob
TeslaCrypt
Pushdo
Rockloader
Andromeda
Shiotob
Bartallex
タイプ
ダウンローダー
バンキング型トロイの木馬
ランサムウェア
バンキング型トロイの木馬
ランサムウェア
スパム型ボット
ダウンローダー
ダウンローダー
バンキング型トロイの木馬
マクロ型ダウンローダー
セッション
数
33133
25007
6222
5175
2578
2093
1959
1931
1677
1271
ランサムウェアの変遷
現在出回っているランサムウェア
どのようなルートで感染するのか?
エクスプロイト キット
Email 添付ファイル
Email 内の不正なリンク
エクスプロイト キットでの感染フロー
1
3
改ざんされたWeb
サイトへユーザが
アクセス
ドライブ バイ ダウンロード
により悪意のあるコード
(マルウェア本体)をダウン
ロード
2
エクスプロイトキットが
密かにクライアントの
脆弱性を突いて攻撃
4
システムに感染
攻撃者のやりたい放題
Email 添付ファイル経由での感染フロー
3
1
悪意のあるコードを含んだ
Wordファイルを標的型メール
としてユーザへ配布
2
ユーザは正常なファイル
だと思いWord文書を開く
マクロが実行されると文書
内に仕込まれているURLか
ら悪意のあるコード(マル
ウェア本体)をダウンロード
4
システムに感染
攻撃者のやりたい放題
ランサムウェアの攻撃ベクトル
ネットワーク経由
WebやEmail経由での感染
SaaSベースのアプリケーション
ファイル共有アプリケーション
エンドポイントへの直接攻撃
標的型攻撃やモバイル、BYOD
防御することを前提としたプラットフォーム
2
1
攻撃面の
最小化
既知の脅威
からの防御
自動的に未知の脅威を既知の脅威へ
新しい防御機能を使用してネットワークを再プログラム
3
未知の脅威の
識別と防御
攻撃面の最小化
1
2
3
4
完全な可視化により未知の
トラフィックをブロック
アプリケーションとユーザベース
による制御を実施
危険なファイル種別を止める
リスクに応じたエンドポイント
ポリシーを策定&実施
攻撃面の
最小化
既知の脅威を防御
1
2
3
4
既知のエクスプロイト、マルウェア、
そしてコマンド&コントロール通信を
止める
不正なサイトやフィッシングサイト
へのアクセスをブロック
SaaSアプリケーション上の既知
のマルウェアをスキャン
既知のマルウェアとエクスプロイト
をエンドポイントでブロック
既知の脅威を
防御
未知の脅威を防御
1
2
3
4
ファイルやURLに含まれる
未知の脅威を検知し、解析
防御機能をアップデートして
未知の脅威だったものを防御
脅威にコンテキストを加えて
能動的な保護と軽減を実施
未知のマルウェアとエクスプロイト
をエンドポイントでブロック
未知の脅威を
識別&ブロック
防御アプローチを実現する製品へ
 すべての機能が統合され自動的に連携して動作
 すべてのアプリケーション、ユーザー、ロケーションに対して
一貫した統一的なセキュリティ機能を適用
 既知と未知の脅威を検知し、ネットワークとエンドポイントの
両方を自動的に再プログラムして防御可能に
次世代 セキュリティ プラットフォーム
脅威インテリジェンスクラウド
Aperture
WildFire
Threat Prevention
URL Filtering
AutoFocus
Traps
VM-Series
GlobalProtect
次世代ファイアウォール
アドバンスド
エンドポイント プロテクション
次世代ファイアウォール
次世代ファイアウォール
1. ポート番号やプロトコル・暗号化に関わらず、全てのアプリケーションを識別し、
その中に埋もれる非正常(不明なアプリケーション)通信までもすべて可視化
2. 全ての通信を利用ユーザレベルで識別して制御&記録
3. 脆弱性攻撃、情報漏えい、マルウェア等の既知の脅威に対してリアルタイム防御
4. 未知の脅威についてはクラウドを活用しリアルタイムで分析して、結果を
自動的な防御にフィードバック
5. 従来のネットワーク環境以外に、仮想化環境ならびにモバイル環境に対しても
同様のセキュリティを実施
脅威防御テクニック : 攻撃面を最小化する多層方式
プロトコル分析 ベース
• App-ID
シグネチャ ベース
• アンチウィルス
• アンチスパイウェア
• 脆弱性防御(IPS)
ヒューリスティック ベース
• 自動相関エンジン
• ボット検出
サンドボックス ベース
• WildFire
脅威防御テクニック : App-ID
 ネットワーク上のアプリケーションを識別する特許取得
済みの検査手法
 アプリケーションのシグネチャをパケット ペイロード内の
データと照合
 カスタム アプリケーション シグネチャを簡単に作成し、
アプリケーション シグネチャ検査に統合することが可能
脅威防御テクニック : アンチウィルス シグネチャ




ストリームベースのワイヤ スピードのアンチウイルス エンジンによる検査
ホストを最新のマルウェアから防御可能
カスタマイズしたプロファイルを使用して、トラフィックの検査を最小化または最大化できる
ホストベースのアンチウイルス ソリューションを補完
既知のデコーダによる検査
(例: HTTP、FTP、SMTP)
特定のアプリケーションに対する
検査を別のアクションに
設定可能
脅威防御テクニック : アンチスパイウェア シグネチャ





スパイウェア / マルウェアによるネットワーク通信を防止
個別のプロトコルに依存しない検査
スパイウェアによる「phone home」通信を検出可能 (コマンド アンド コントロール通信)
悪意のある DNS ドメインのシグネチャ セットをファイアウォールで管理
アンチスパイウェア検査プロファイルのカスタマイズが可能
脅威防御テクニック : 脆弱性防御 シグネチャ
 「既知のエクスプロイト」に対する脆弱性シグネチャ
 クライアントとサーバーの脆弱性に対するネットワーク経由の攻撃を阻止
 エクスプロイト キットからの保護
検査カテゴリ:
ブルート フォース
コード実行
コマンド実行
サービス拒否 (DoS)
情報漏洩
オーバーフロー
スキャン
SQL インジェクション
脅威防御テクニック : 自動相関エンジン
 次世代ファイアウォール上のさまざまなログ セットに分離されたイベントを綿密に調査
 相関オブジェクトを使用してログのパターンを分析し、パターンが一致すると相関イベントを生成
 PAN−OS 7.0 からPA−3000シリーズ以上で利用可能
相関オブジェクト
 外部プロービング
相関オブジェクトは
Palo Alto Networks の脅威調査
チームによって定義、開発され、
毎週のダイナミック更新で
次世代ファイアウォールに配信
 脆弱性エクスプロイト
 C&C
 マルウェア URL
侵入された
ホスト
脅威防御テクニック : ボット検出
 ボットの存在を示唆する動作を追跡し、相互に関連付ける
 データ相関エンジンが分析する特性:






不明な TCP/UDP
動的 DNS の存在
既知のマルウェア サイト上の活動
URL ではなく IP ドメインの参照
IRC トラフィック
不明なサイトからの実行可能ファイルのダウンロード
 次世代ファイアウォールは、感染した可能性のある各ホストに 1 ~ 5 までの確度スコアを割り当て、
ボットネット感染の可能性の高さを示す
 感染した可能性のある特定のユーザーまたはマシンと、その判定がどのように行われたかをレポート
脅威インテリジェンスクラウド
脅威インテリジェンスクラウド : WildFire
 クラウド上にあるサンドボックス環境でファイルを分析し、
未知のマルウェアを発見&防御するためのサービス
 世界中のお客様環境で発見されたマルウェアに対して、
シグネチャを自動生成し配信
TM
WildFire
グローバルで9,000社・30,000台以上が利用
検査されるファイル数:
一日当たり 約300万 / DAY
発見されるマルウェア:
一日当たり 約4万 / DAY
※WildFire サービスの利用にあたっては、利用する次世代ファイアウォール
上で追加のサブスクリプションが必要です
WildFire サービスの伸び
2年前と比較して、WildFireに送信される
ファイルの数は 50倍以上 に
WildFire 上で検査されるファイル数の推移
100,000,000+ files
per Month
WildFireTM 動作イメージ
WildFire 分析センター
WildFire
取引先
③ 仮想環境でファイルを実行
④ マルウェアの判定を実施
exe
dll
scr
攻撃者
① 疑わしい
ファイル通信
exe
dll
scr
② 疑わしいファイル
をWildFireへ送信
シグネチャ
企業
28 | ©2016, Palo Alto Networks.
サンドボックス
シグネチャージェネレーター
⑤ マルウェアの場合、シグネチャを
自動で生成
⑥ シグネチャを配布
WildFireポータル
⑦ Webポータル管理画面
PAN−OS7.1 でのアップデート
シグネチャ配信間隔
Aug ’14
検査対象OSの追加
Today
SaaSセキュリティ : APERTURE
詳細なコンテンツ検査
および アナリティクス
コンテキストによる
データ公開の制御
機械学習による
ファイルの分類
マルウェアの
検出&除去
APERTURE による SaaS セキュリティ
APERTURE
WILDFIRE
OneDrive
脅威インテリジェンスサービス : AUTOFOCUS
イベントの
優先度の設定
ユニークな標的型攻撃
を発生時に特定
コンテキストおよび検索
プロアクティブな対応
悪意のある人物、組織的攻撃、攻
撃手法の迅速な調査
セキュリティ侵害が発生する前
に、攻撃のライフサイクル全体
を対象とする防御を実現
アドバンスド エンドポイント
プロテクション
高度なサイバー攻撃のライフサイクル
情報収集
エクスプロイト
の悪用
マルウェア
の実行
制御チャネルの
確立
データの奪取
攻撃計画の
立案
ユーザに
悟られずに感染
悪意のある
ファイルを実行
マルウェアは
攻撃者と通信
データ盗難、
妨害行為、
破壊活動
防止的なコントロール
反応的なコントロール
被害を抑えるためには、起動前に攻撃を止めることが重要!
しかしながら、今までの対策では、止めることが難しい・・・
攻撃者が行う、攻撃手法の流れ
攻撃の連鎖を、どこかで断ち切れれば、攻撃自体は失敗に終わる!
脆弱性の悪用
送付
攻撃コード
の
準備
プログラム
の
問題を攻撃
セキュリティ
機構の回避
悪意のある
活動
ダウンロードと実行
OSの権限
を
奪取
Traps エクスプロイト防御
脆弱性を攻撃する際に使用される
テクニック(手法)を遮断
マルウェア
本体の
他の起動プロセスを
悪用した活動
マルウェア本体の起動
ダウンロード
Traps マルウェア防御
実行ファイルの場所、
コード署名などを使い
プログラムの
起動を制御
クラウド上の
脅威インテリジェンス
と連携し
マルウェアの
起動を阻止
起動したプログラムの
動作を監視し、
悪意のある
活動を阻止
エクスプロイトキットを利用した攻撃例 – TeslaCrypt
① 改ざんされたWebサイトを閲覧
⑤ マルウェア本体を
ダウンロード
③ 脆弱性を突く攻撃を実施
⑦ 暗号鍵を生成し、
攻撃者のサイトに送付
② エクスプロイト・キットが
設置されたサイトへ誘導
⑧ ファイルを暗号化!
⑥ ブラウザが、
子プロセスとして
マルウェアを起動
④ マルウェアの本体が
ホストされたサイトに誘導
Trapsで感染を阻止
① 改ざんされたWebサイトを閲覧
② WildFireとの連携
⑤ マルウェア本体を
ダウンロード
① エクスプロイト防御
③ 脆弱性を突く攻撃を実施
③ ローカルフォルダの制
御
④ コード署名の無い
実行ファイルの制御
⑦ 暗号鍵を生成し、
攻撃者のサイトに送付
② エクスプロイト・キットが
設置されたサイトへ誘導
⑧ ファイルを暗号化!
⑥ ブラウザが、
子プロセスとして
マルウェアを起動
④ マルウェアの本体が
ホストされたサイトに誘導
⑤ 子プロセスの制御
Palo Alto Networks 次世代セキュリティプラットフォーム
迅速なグローバルの共有
自動
フィードバック
• アプリケーションの
使用をユーザー/
グループ別に制限
• 高度な URL/
コンテンツ
攻撃面の
フィルタリング
最小化
• SSL/SSH の
復号化
• デフォルトで
すべてを
ブロックする
テクノロジー
ポジティブな
制御を適用
• 脆弱性エクス
プロイト (IPS)
• マルウェア
• 悪質な
Web サイト
• 悪質なドメイン
脅威
インテリジェンス
クラウド
自動
フィードバック
• サンドボックス
• 不明なアプリ
ケーション
• 疑わしい
ファイル タイプ
/Web サイト
• C&C
既知の
脅威を阻止
迅速なグローバル共有
未知の
脅威を検出
アドバンスド
エンドポイント
プロテクション
• Traps
• 試行の阻止と
分析
• Tanium
• アラートと防止
• インテリジェンス
とフォレンジック
マルウェアの
実行を阻止
検証、対処
Palo Alto Networks 次世代セキュリティプラットフォーム
AutoFocus
SaaS
Traps
Mobile
Public
Aperture
Internet/WAN
WildFire
GlobalProtect
Branch
Campus
Data Center