日々変化するサイバー脅威に対抗する多層化アプローチ ~進化を続けるエンタープライズセキュリティプラットフォームのご紹介~ パロアルトネットワークス株式会社 SEマネージャ 寺前 滋人 Agenda サイバー脅威のトレンド セキュリティプラットフォームによる防御アプローチ © 2016, Palo Alto Networks. Confidential and Proprietary. 現在、主流となっているサイバー脅威 バンキング型トロイの木馬 2016年4月に WildFire に送信されたマルウェアのTop-10 Dridex, Shiotob, Rovnix ランサムウェア Locky, TeslaCrypt, Nymaim ダウンローダー Rockloader, Bartallex, Andromeda, RAT (Remote Access Tool) NanoCoreRAT, NetWireRAT SHA256 a565....aa5a a91c....07ea 617a....a0fe b3e0....b3e7 f435....359f f597....2cb7 7c36....9b64 89e7....2963 14e7....fc34 f2e4....f7f6 マルウェア Andromeda Shiotob Shade Shiotob TeslaCrypt Pushdo Rockloader Andromeda Shiotob Bartallex タイプ ダウンローダー バンキング型トロイの木馬 ランサムウェア バンキング型トロイの木馬 ランサムウェア スパム型ボット ダウンローダー ダウンローダー バンキング型トロイの木馬 マクロ型ダウンローダー セッション 数 33133 25007 6222 5175 2578 2093 1959 1931 1677 1271 ランサムウェアの変遷 現在出回っているランサムウェア どのようなルートで感染するのか? エクスプロイト キット Email 添付ファイル Email 内の不正なリンク エクスプロイト キットでの感染フロー 1 3 改ざんされたWeb サイトへユーザが アクセス ドライブ バイ ダウンロード により悪意のあるコード (マルウェア本体)をダウン ロード 2 エクスプロイトキットが 密かにクライアントの 脆弱性を突いて攻撃 4 システムに感染 攻撃者のやりたい放題 Email 添付ファイル経由での感染フロー 3 1 悪意のあるコードを含んだ Wordファイルを標的型メール としてユーザへ配布 2 ユーザは正常なファイル だと思いWord文書を開く マクロが実行されると文書 内に仕込まれているURLか ら悪意のあるコード(マル ウェア本体)をダウンロード 4 システムに感染 攻撃者のやりたい放題 ランサムウェアの攻撃ベクトル ネットワーク経由 WebやEmail経由での感染 SaaSベースのアプリケーション ファイル共有アプリケーション エンドポイントへの直接攻撃 標的型攻撃やモバイル、BYOD 防御することを前提としたプラットフォーム 2 1 攻撃面の 最小化 既知の脅威 からの防御 自動的に未知の脅威を既知の脅威へ 新しい防御機能を使用してネットワークを再プログラム 3 未知の脅威の 識別と防御 攻撃面の最小化 1 2 3 4 完全な可視化により未知の トラフィックをブロック アプリケーションとユーザベース による制御を実施 危険なファイル種別を止める リスクに応じたエンドポイント ポリシーを策定&実施 攻撃面の 最小化 既知の脅威を防御 1 2 3 4 既知のエクスプロイト、マルウェア、 そしてコマンド&コントロール通信を 止める 不正なサイトやフィッシングサイト へのアクセスをブロック SaaSアプリケーション上の既知 のマルウェアをスキャン 既知のマルウェアとエクスプロイト をエンドポイントでブロック 既知の脅威を 防御 未知の脅威を防御 1 2 3 4 ファイルやURLに含まれる 未知の脅威を検知し、解析 防御機能をアップデートして 未知の脅威だったものを防御 脅威にコンテキストを加えて 能動的な保護と軽減を実施 未知のマルウェアとエクスプロイト をエンドポイントでブロック 未知の脅威を 識別&ブロック 防御アプローチを実現する製品へ すべての機能が統合され自動的に連携して動作 すべてのアプリケーション、ユーザー、ロケーションに対して 一貫した統一的なセキュリティ機能を適用 既知と未知の脅威を検知し、ネットワークとエンドポイントの 両方を自動的に再プログラムして防御可能に 次世代 セキュリティ プラットフォーム 脅威インテリジェンスクラウド Aperture WildFire Threat Prevention URL Filtering AutoFocus Traps VM-Series GlobalProtect 次世代ファイアウォール アドバンスド エンドポイント プロテクション 次世代ファイアウォール 次世代ファイアウォール 1. ポート番号やプロトコル・暗号化に関わらず、全てのアプリケーションを識別し、 その中に埋もれる非正常(不明なアプリケーション)通信までもすべて可視化 2. 全ての通信を利用ユーザレベルで識別して制御&記録 3. 脆弱性攻撃、情報漏えい、マルウェア等の既知の脅威に対してリアルタイム防御 4. 未知の脅威についてはクラウドを活用しリアルタイムで分析して、結果を 自動的な防御にフィードバック 5. 従来のネットワーク環境以外に、仮想化環境ならびにモバイル環境に対しても 同様のセキュリティを実施 脅威防御テクニック : 攻撃面を最小化する多層方式 プロトコル分析 ベース • App-ID シグネチャ ベース • アンチウィルス • アンチスパイウェア • 脆弱性防御(IPS) ヒューリスティック ベース • 自動相関エンジン • ボット検出 サンドボックス ベース • WildFire 脅威防御テクニック : App-ID ネットワーク上のアプリケーションを識別する特許取得 済みの検査手法 アプリケーションのシグネチャをパケット ペイロード内の データと照合 カスタム アプリケーション シグネチャを簡単に作成し、 アプリケーション シグネチャ検査に統合することが可能 脅威防御テクニック : アンチウィルス シグネチャ ストリームベースのワイヤ スピードのアンチウイルス エンジンによる検査 ホストを最新のマルウェアから防御可能 カスタマイズしたプロファイルを使用して、トラフィックの検査を最小化または最大化できる ホストベースのアンチウイルス ソリューションを補完 既知のデコーダによる検査 (例: HTTP、FTP、SMTP) 特定のアプリケーションに対する 検査を別のアクションに 設定可能 脅威防御テクニック : アンチスパイウェア シグネチャ スパイウェア / マルウェアによるネットワーク通信を防止 個別のプロトコルに依存しない検査 スパイウェアによる「phone home」通信を検出可能 (コマンド アンド コントロール通信) 悪意のある DNS ドメインのシグネチャ セットをファイアウォールで管理 アンチスパイウェア検査プロファイルのカスタマイズが可能 脅威防御テクニック : 脆弱性防御 シグネチャ 「既知のエクスプロイト」に対する脆弱性シグネチャ クライアントとサーバーの脆弱性に対するネットワーク経由の攻撃を阻止 エクスプロイト キットからの保護 検査カテゴリ: ブルート フォース コード実行 コマンド実行 サービス拒否 (DoS) 情報漏洩 オーバーフロー スキャン SQL インジェクション 脅威防御テクニック : 自動相関エンジン 次世代ファイアウォール上のさまざまなログ セットに分離されたイベントを綿密に調査 相関オブジェクトを使用してログのパターンを分析し、パターンが一致すると相関イベントを生成 PAN−OS 7.0 からPA−3000シリーズ以上で利用可能 相関オブジェクト 外部プロービング 相関オブジェクトは Palo Alto Networks の脅威調査 チームによって定義、開発され、 毎週のダイナミック更新で 次世代ファイアウォールに配信 脆弱性エクスプロイト C&C マルウェア URL 侵入された ホスト 脅威防御テクニック : ボット検出 ボットの存在を示唆する動作を追跡し、相互に関連付ける データ相関エンジンが分析する特性: 不明な TCP/UDP 動的 DNS の存在 既知のマルウェア サイト上の活動 URL ではなく IP ドメインの参照 IRC トラフィック 不明なサイトからの実行可能ファイルのダウンロード 次世代ファイアウォールは、感染した可能性のある各ホストに 1 ~ 5 までの確度スコアを割り当て、 ボットネット感染の可能性の高さを示す 感染した可能性のある特定のユーザーまたはマシンと、その判定がどのように行われたかをレポート 脅威インテリジェンスクラウド 脅威インテリジェンスクラウド : WildFire クラウド上にあるサンドボックス環境でファイルを分析し、 未知のマルウェアを発見&防御するためのサービス 世界中のお客様環境で発見されたマルウェアに対して、 シグネチャを自動生成し配信 TM WildFire グローバルで9,000社・30,000台以上が利用 検査されるファイル数: 一日当たり 約300万 / DAY 発見されるマルウェア: 一日当たり 約4万 / DAY ※WildFire サービスの利用にあたっては、利用する次世代ファイアウォール 上で追加のサブスクリプションが必要です WildFire サービスの伸び 2年前と比較して、WildFireに送信される ファイルの数は 50倍以上 に WildFire 上で検査されるファイル数の推移 100,000,000+ files per Month WildFireTM 動作イメージ WildFire 分析センター WildFire 取引先 ③ 仮想環境でファイルを実行 ④ マルウェアの判定を実施 exe dll scr 攻撃者 ① 疑わしい ファイル通信 exe dll scr ② 疑わしいファイル をWildFireへ送信 シグネチャ 企業 28 | ©2016, Palo Alto Networks. サンドボックス シグネチャージェネレーター ⑤ マルウェアの場合、シグネチャを 自動で生成 ⑥ シグネチャを配布 WildFireポータル ⑦ Webポータル管理画面 PAN−OS7.1 でのアップデート シグネチャ配信間隔 Aug ’14 検査対象OSの追加 Today SaaSセキュリティ : APERTURE 詳細なコンテンツ検査 および アナリティクス コンテキストによる データ公開の制御 機械学習による ファイルの分類 マルウェアの 検出&除去 APERTURE による SaaS セキュリティ APERTURE WILDFIRE OneDrive 脅威インテリジェンスサービス : AUTOFOCUS イベントの 優先度の設定 ユニークな標的型攻撃 を発生時に特定 コンテキストおよび検索 プロアクティブな対応 悪意のある人物、組織的攻撃、攻 撃手法の迅速な調査 セキュリティ侵害が発生する前 に、攻撃のライフサイクル全体 を対象とする防御を実現 アドバンスド エンドポイント プロテクション 高度なサイバー攻撃のライフサイクル 情報収集 エクスプロイト の悪用 マルウェア の実行 制御チャネルの 確立 データの奪取 攻撃計画の 立案 ユーザに 悟られずに感染 悪意のある ファイルを実行 マルウェアは 攻撃者と通信 データ盗難、 妨害行為、 破壊活動 防止的なコントロール 反応的なコントロール 被害を抑えるためには、起動前に攻撃を止めることが重要! しかしながら、今までの対策では、止めることが難しい・・・ 攻撃者が行う、攻撃手法の流れ 攻撃の連鎖を、どこかで断ち切れれば、攻撃自体は失敗に終わる! 脆弱性の悪用 送付 攻撃コード の 準備 プログラム の 問題を攻撃 セキュリティ 機構の回避 悪意のある 活動 ダウンロードと実行 OSの権限 を 奪取 Traps エクスプロイト防御 脆弱性を攻撃する際に使用される テクニック(手法)を遮断 マルウェア 本体の 他の起動プロセスを 悪用した活動 マルウェア本体の起動 ダウンロード Traps マルウェア防御 実行ファイルの場所、 コード署名などを使い プログラムの 起動を制御 クラウド上の 脅威インテリジェンス と連携し マルウェアの 起動を阻止 起動したプログラムの 動作を監視し、 悪意のある 活動を阻止 エクスプロイトキットを利用した攻撃例 – TeslaCrypt ① 改ざんされたWebサイトを閲覧 ⑤ マルウェア本体を ダウンロード ③ 脆弱性を突く攻撃を実施 ⑦ 暗号鍵を生成し、 攻撃者のサイトに送付 ② エクスプロイト・キットが 設置されたサイトへ誘導 ⑧ ファイルを暗号化! ⑥ ブラウザが、 子プロセスとして マルウェアを起動 ④ マルウェアの本体が ホストされたサイトに誘導 Trapsで感染を阻止 ① 改ざんされたWebサイトを閲覧 ② WildFireとの連携 ⑤ マルウェア本体を ダウンロード ① エクスプロイト防御 ③ 脆弱性を突く攻撃を実施 ③ ローカルフォルダの制 御 ④ コード署名の無い 実行ファイルの制御 ⑦ 暗号鍵を生成し、 攻撃者のサイトに送付 ② エクスプロイト・キットが 設置されたサイトへ誘導 ⑧ ファイルを暗号化! ⑥ ブラウザが、 子プロセスとして マルウェアを起動 ④ マルウェアの本体が ホストされたサイトに誘導 ⑤ 子プロセスの制御 Palo Alto Networks 次世代セキュリティプラットフォーム 迅速なグローバルの共有 自動 フィードバック • アプリケーションの 使用をユーザー/ グループ別に制限 • 高度な URL/ コンテンツ 攻撃面の フィルタリング 最小化 • SSL/SSH の 復号化 • デフォルトで すべてを ブロックする テクノロジー ポジティブな 制御を適用 • 脆弱性エクス プロイト (IPS) • マルウェア • 悪質な Web サイト • 悪質なドメイン 脅威 インテリジェンス クラウド 自動 フィードバック • サンドボックス • 不明なアプリ ケーション • 疑わしい ファイル タイプ /Web サイト • C&C 既知の 脅威を阻止 迅速なグローバル共有 未知の 脅威を検出 アドバンスド エンドポイント プロテクション • Traps • 試行の阻止と 分析 • Tanium • アラートと防止 • インテリジェンス とフォレンジック マルウェアの 実行を阻止 検証、対処 Palo Alto Networks 次世代セキュリティプラットフォーム AutoFocus SaaS Traps Mobile Public Aperture Internet/WAN WildFire GlobalProtect Branch Campus Data Center
© Copyright 2024 Paperzz