製品ご提案資料 Secure Data Sanitization のご紹介 2016年9月 スワットブレインズ株式会社 ソリューション営業部 提供元:株式会社アズジェント 1 Copyright © 2016 Asgent, Inc. All Rights Reserved “Antivirus software only catches 45% of malware attacks and is ”dead“” (今日のアンチウイルスでは45%しか止められない。死んだも同然だ。) By Brian Dye, senior vice-president for information security/Symantec 2014/05 2 Copyright © 2016 Asgent, Inc. All Rights Reserved 標的型メール攻撃とセキュリティ事件 95% スピアフィッシング攻撃に起因する企業 ネットワークへの攻撃の割合 (出展: Network World。2013年、SANS Director of ResearchであるAlan Paller氏による) 91% 2012年から2013年におけるスピアフィッシング 攻撃の増加率 (出展: Symantec社 Internet Security Threat Report 2014) 80% 10.4% 実験で7つのフィッシングメールの内、最低 でも1つを開いてしまった従業員の割合 (出典: McAfee Labs Threats Report 2014) 2013年から2014年におけるサイバー犯罪額の 増加割合 ($720万 → $760万) (出典: Ponemon Institute Global Report on the Cost of Cyber Crime October 2014) 3 など Copyright © 2016 Asgent, Inc. All Rights Reserved 標的型メール攻撃の流れ 組織内の特定の人をター ゲットにしたメールが送 られる スパムフィルタで検知で きない メールの件名・本文や 添付ファイルは、いかにも 本物らしい内容になって いる ファイルの中に未知 またはゼロデイの 脆弱性が仕込まれる 受信者は本物だと思って ファイルを開いてしまう この段階でしか攻撃を 止められない サンドボックスを回避して しまう多型マルウェアがイ ンストールされる アンチマルウェアや サンドボックスを回避 ソーシャルエンジニアリング ファイルの脆弱性を悪用 (ソーシャルネットワーク等からターゲット に関する様々な情報を集めてフィッシング メールのネタに利用する) (パッチがまだ提供されていないゼロデイや 知られていない未知の脆弱性をファイルに 埋め込み、ターゲットに送る) 4 Copyright © 2016 Asgent, Inc. All Rights Reserved 脅威のライフサイクル 未知の脆弱性 ゼロデイの脆弱性 既知の脆弱性 高 中 低 潜伏期間 ~年単位 ~月単位 N/A 利用方法 サイバー戦争や サイバー犯罪 サイバー戦争や サイバー犯罪 アマチュアハッカーに よる娯楽目的の攻撃 シグネチャによる 検知の可否 不可 可(サンプル次第) 可(サンプル次第) サンドボックスに よる検知の可否 可(しかし、難しい) 可(しかし、難しい) 可(しかし、難しい) 可 可 可 脅威レベル VOTIROによる 保護の可否 5 Copyright © 2016 Asgent, Inc. All Rights Reserved 従来のファイルセキュリティ メール Web USB 受信 サンドボックス ? アンチウィルス 判別 既知のマルウェア「ではない」ファイル △ 検証 X 既知のマルウェア ≒ 未知のマルウェア「かもしれない」ファイル 判定 警報:未知のマルウェア 配信 6 Copyright © 2016 Asgent, Inc. All Rights Reserved VOTIROが提案する 新しいファイルセキュリティのアプローチ メール Web USB 受信 悪意の検知を行いません → パターン更新からの解放 → 誤検知からの解放 全ての対象ファイルをサニタイズします → 悪意を含む可能性を重視 → ポリシーの適用を強制 ? アンチウィルス 判別 既知のマルウェア「ではない」ファイル △ X 既知のマルウェア ≒ 未知のマルウェア「かもしれない」ファイル △ 検疫フォルダに 暫定保管 Sanitize (消毒・無害化) • ハッシュ値変更 ○ 消毒済みファイル • プロファイル情報更新 (作成者情報やタイムスタンプなど) • マクロ無効化 配信 7 Copyright © 2016 Asgent, Inc. All Rights Reserved VOTIRO Secure Data Sanitizationの特徴 • 以下のサニタイズ手法によりファイルの無害化を実現 – – – – 当該ファイルフォーマットにおいて、実行可能コードが埋め込まれ得る箇所を無害化 ファイル内に内包される埋め込みオブジェクトも再帰的に無害化 ファイル拡張子に関わらず、本来のファイル形式に応じた無害化処理を実施 その他、本来のファイル機能に影響し得ない不明な領域を削除することで無害化 • ファイル内に脅威が存在するかどうかを判別することなく、 すべての対象ファイルにサニタイズ(無害化)処理を強制 ※技術と実績を鑑み、イスラエル政府から 基盤での利用に向けた認証を取得 8 Copyright © 2016 Asgent, Inc. All Rights Reserved VOTIROアンチエクスプロイト技術の仕組み 前 後 ユーザ観点 1. メタデータを確認し、 ファイルの種類を調べる 2. ファイルをオブジェクト 単位に分解する 3. サニタイズ処理を実施 4. ファイルを再構成する 攻撃者観点 前 未知の脆弱性をファイルに埋め込む 後 9 ファイルの開き方・見え方は変わりない オリジナルファイルのクリーン版を提供 Copyright © 2016 Asgent, Inc. All Rights Reserved 無害化(サニタイズ)プロセス Microsoft Office, Adobe PDFの一例 10 Copyright © 2016 Asgent, Inc. All Rights Reserved 1. ファイルフォーマットを認識 ファイルのヘッダーやファイルの構造から、当該ファイルのフォーマットを認識 サニタイズ対象ファイル ヘッダー フィンガープリント どのファイルフォーマットであるかを示す Office Word コンテンツ Office Excel 画像 Office PowerPoint Adobe PDF RTF テキスト : : OLEオブジェクト 不明なデータ 悪意が埋め込まれる 可能性があるデータ領域 その他の要素(スクリプトなど) ? 11 Copyright © 2016 Asgent, Inc. All Rights Reserved 2. ファイルフォーマットの照合 各コンテンツを分解し、ファイル種本来のフォーマットと照合 ファイル構造自体がフォーマットに則さない場合、SDSのポリシーによりこれをブロック ファイル構造 サニタイズ対象ファイル ヘッダー ヘッダー フィンガープリント フィンガープリント コンテンツ コンテンツ 画像 画像 テキスト テキスト OLEオブジェクト OLEオブジェクト 不明なデータ その他の要素(スクリプトなど) その他の要素(スクリプトなど) ? 12 Copyright © 2016 Asgent, Inc. All Rights Reserved 3. ファイル構造に異なるコンテンツの削除 ファイルの正規の仕様という観点から ファイルを検査し、悪意のコードが埋め込まれる可能性がある部分を削除 サニタイズ対象ファイル HEADER ヘッダー フィンガープリント Fingerprint コンテンツ Images 画像 テキスト Text 正規のファイルフォーマットに 則しない部分には、悪意のコードが 埋め込まれる可能性がある ↓ OLEオブジェクト OLE Object 削除することによりリスクを排除 不明なデータ その他の要素(スクリプトなど) Other elements ? 13 Copyright © 2016 Asgent, Inc. All Rights Reserved 4. エクスプロイトコードの削除 エクスプロイトコードが稼働する可能性自体を排除 サニタイズ対象ファイル HEADER ヘッダー フィンガープリント Fingerprint コンテンツ ヘッダー、コンテンツ、スクリプト 等を検査 Images 画像 ↓ サニタイズ (無害化) の領域 そのファイルの機能に必ずしも 必要ではないデータ構造を ビットレベルで変更 テキスト Text (例:全ビットを「1」に変換) OLEオブジェクト OLE Object ↓ エクスプロイトコードが 稼働する可能性を排除 その他の要素(スクリプトなど) ? 14 Copyright © 2016 Asgent, Inc. All Rights Reserved 5. ファイルを再構成する ファイルの各コンテンツを、最小限の機能を保ったまま再構成する よって、元データと同じようにファイルを開くことができ編集も可能 サニタイズされたファイル ヘッダー フィンガープリント コンテンツ 画像 テキスト OLEオブジェクト ※画像ファイルの場合、ファイルをビット情報に分解して再構成するため、画像中に埋め込まれたシェルコードなどのリスクも排除します。 15 Copyright © 2016 Asgent, Inc. All Rights Reserved 6.埋め込まれたデータへの対応 例えば、Wordに埋め込まれたexcel、画像データに関しても 同じように再帰的に無害化処理の実行 Wordファイル excelファイル ヘッダー ヘッダー フィンガープリント フィンガープリント コンテンツ コンテンツ 画像 画像 テキスト テキスト excelオブジェクト OLEオブジェクト 16 Copyright © 2016 Asgent, Inc. All Rights Reserved 世の中に存在する無害化の手法 手法 マルウェアの危険性 データの再利用 実運用 マクロ、メタデータ 削除 有(標的型) 可能 ×(リスクが存在) PDF、画像化 無 出来ない × テキスト化 無 テキストのみ △ Votiroによる無害化 (サニタイズ) 無 可能 ○ 17 非推奨 推奨!! Copyright © 2016 Asgent, Inc. All Rights Reserved VOTIRO SDSの対応ファイルタイプ Microsoft Officeファイル ・Excel, PowerPoint, Word, RTF ・マクロや組み込みオブジェクト等を見つけ出し、サニタイズ Adobe PDFファイル ・PDF ・サニタイズ後、PDFのテキストコピー機能や 検索機能を維持 画像ファイル ・BMP, GIF, WMF, EMF, PNG, JPG, JPEG, TIFF, TIF ・画素レベルでファイル分析を行う メールの添付ファイル ・EML, MSG, ICS ・メール添付ファイルをサニタイズ 圧縮ファイル ・ZIP, Microsoft-CAB, TAR, RAR, 7Z, GZIP ・多重圧縮ファイルにも対応。サニタイズ後、再圧縮も可能 18 Copyright © 2016 Asgent, Inc. All Rights Reserved VOTIRO SDSの基本コンポーネント(ファイル/メール連携) Votiro社 クラウド Votiro社が運営するクラウドサービス 組織内に設置されたUpdaterサーバに最新情報を提供する SDSの管理機能もVotiro社のクラウドから提供される 組織外 HTTPS Updater サーバ Windows サーバ Secure Data Sanitization サーバ ISO Boot イメージ 組織内 以下の情報をVotiro社クラウドから取得し、SDSサーバに提供する その為、Updaterサーバはインターネット接続が必須 ・最新のアンチウイルスシグネチャ ・SDSエンジンの最新アップデート ・ライセンス情報 FTP 複数のアンチウイルスエンジンとSDSエンジンを利用してネットワークに 入ってくるファイルをサニタイズする。ISOイメージファイルとして提供される ・DVDまたは仮想環境(推奨。VMwareまたはHyper-V)から起動可能 TCP/UDP Flow サーバ Windows サーバ SDS サーバによって処理されるメールやファイル※のオリジナル版を保存するための 専用サーバ。管理者はこのサーバよりサニタイズ前のファイルやメールを配信する ことができる ・Microsoft SQL Serverが必要 ・ログインアカウントの認証用に、Active Directoryのドメインコントローラが必須 ※ファイルサーバ連携の場合は、オプションとなります。 19 Copyright © 2016 Asgent, Inc. All Rights Reserved 活用シナリオ 20 Copyright © 2016 Asgent, Inc. All Rights Reserved 活用シナリオ① • • Internet • ファイルサーバ連携 オンプレにVOTIRO SDSを設置 ファイルサーバの任意のフォルダ(IN)に置かれたファイルを自動的にサニタイズし、 別の任意のフォルダ(OUT)に置く。オリジナルファイルはFlow Serverに保存可能 USBなどのメディアからの持ち込みファイルが対象 例)外部メディアからの取込みファイルはINにしか置かせないことで強制 1 設定ファイル読み込みの流れ Updater Server (無害化設定及びエンジンの更新) Votiro SDSのコンポーネント 2 ① IN ② SDS ファイルサーバ ③ OUT ファイルサーバ Flow Server (オリジナルファイル) ※オプション インターネット接続環境 ※SDSは、FTP/FTPS/CIFSでサニタイズ処理を行います。 LAN 21 Copyright © 2016 Asgent, Inc. All Rights Reserved 活用シナリオ② • • • • Internet メール連携(SMTP) オンプレにVOTIRO SDSとExchange Edge Serverを設置 既存のSMTPメールサーバと連携し、受信メールの添付ファイルを配信前にサニタイズ オリジナルファイルはFlow Serverに保存 Exchange Edgeサーバのライセンスは製品ライセンスに含まれる 1 設定ファイル読み込みの流れ Updater Server (無害化設定及びエンジンの更新) 2 Votiro SDSのコンポーネント ① ② SDS メール ゲートウェイ Exchange Edgeサーバ (SDS Connector含む) ②’ SMTP メールサーバ ③ Flowサーバ (オリジナルファイル) インターネット接続環境 ※SDSは、FTP/FTPS/CIFSでサニタイズ処理を行います。 LAN 22 Copyright © 2016 Asgent, Inc. All Rights Reserved 活用シナリオ③ Webサービス連携 • • • オンプレにVOTIRO SDSを設置 ユーザがWebサーバにファイルをアップロードすると、Webサーバに導入された エージェントがVOTIRO SDSのAPIを利用してSDS-WSでサニタイズする サニタイズされた安全なファイルは組織内のユーザがダウンロードできるようになる SDS-WS アップロード ② サニタイズ処理 ① アップロード ダウンロード ① Webサーバ ブラウザ ③ ブラウザ Votiro SDSのコンポーネント インターネット接続環境 23 LAN Copyright © 2016 Asgent, Inc. All Rights Reserved SDS デモサイトのご紹介 http://www.votiro.com/demo/jp 24 Copyright © 2016 Asgent, Inc. All Rights Reserved Before & After① ファイルプロパティ 25 Copyright © 2016 Asgent, Inc. All Rights Reserved Before & After② フォント情報 26 Copyright © 2016 Asgent, Inc. All Rights Reserved VOTIRO 会社紹介 • 会社名 :Votiro, Inc. • 設立 : 2010年 • 顧客 : 15か国で150以上の既存顧客 – 企業では40万ユーザ以上、国レベルでは数百万ユーザ – 導入国は、カナダ・米国・UK・フランス・スペイン・オランダ・ドイツ・ スイス・イタリア・イスラエル・インド・ナイジェリア・韓国・香港・ シンガポール – 導入市場として、金融: 30%、政府: 20%、防衛: 15%、一般: 35% 受賞 パートナー イスラエル政府の認定 Directorate of Security of the Defense Establishment 27 State Authority for Information Security Copyright © 2016 Asgent, Inc. All Rights Reserved VOTIRO ユーザ事例(一部) 業種 企業類 事例 金融サービス • • • 銀行 保険会社 証券取引所 • 11,000以上の従業員を 持つ大手銀行 医療関係 • • • 製薬会社 病院 医療団体 • 30,000以上のユーザを 持つ医療団体 大企業 • • 航空宇宙産業 防衛産業 • 17,000以上の従業員を 持つ防衛関係の組織 重要インフラ • • • • • 製油会社 発電所 通信事業者 水道会社 ガス会社 • 30,000以上の従業員を 持つ製油会社 政府機関 • • 国防関係機関 官公庁 • 数千の従業員を持つ 官公庁 28 Copyright © 2016 Asgent, Inc. All Rights Reserved 地方自治体向け ご参考資料 29 Copyright © 2016 Asgent, Inc. All Rights Reserved ご参考:地方自治体におけるサニタイズ技術の活用例 セキュリティレベルの異なるネットワークを跨ぐファイルの授受には無害化(サニタイズ)を義務化 インターネット マイナンバー ファイルの無害化を提供する ファイル交換専用サーバ インターネット 接続LAN 個人番号関係 事務等LAN 無害化を条件に許容 データ/ファイルの持出禁止 【想定するポリシー】 インターネット接続LAN 個人番号関係事務等LAN 個人番号利用事務LAN 統合プロキシ経由 禁止 禁止 統合メール基盤経由 ネット端末から 無害化エンジン経由 禁止 (アンチウィルス/サンドボックス) 外部とのメール(送信) 暗号化/誤送信対策/証跡 禁止 禁止 物理メディア持込 無害化エンジン経由 禁止 禁止 Webアクセス 外部とのメール(受信) 30 Copyright © 2016 Asgent, Inc. All Rights Reserved ご参考:自治体向けソリューション概要 Ver.8 自治体NW ・インターネット側からの電子メール添付ファイルの脅威 ・インターネット側からの電子メール本文、URL誘導の脅威 ・インターネットのWebサイト閲覧や、サイトからのファイル入手 Internet 情報系Network LGWAN系Network FireWall FireWall ★無害化されたメール [email protected] 1.OnePointWall 4.Active! zone 2.Counter SSL Proxy ★無害化されたメール ★従来からのメールサーバ < 送受信 > [email protected] or [email protected] ★デュプリケート(duplicate)処理 されたメール [email protected] < 送受信 > 自治体内部 ポータルシステム < 送受信 > [email protected] 5.DEEP Mail ★無害化された メールの送受信 3.PacketBlackHole ★不特定な Webからの ダウンロード メールアーカイブ 内側DMZ < 送受信 > 9.MailDepot ★従来とおりの メール送受信 ★Web 閲覧操作 7. VOTIRO SDS ★ファイル単体の無害化 < 送受信 > (サニタイズ処理) ★Webサイトの閲覧禁止 ★「無害化」されたインター ネット側からの電子メール の受信と、その返信 ★LGWANメールは従来と おりの送受信 ★不特定な添付 ファイル ★In-Box ★暗号化の解凍、 ファイル単体化 ★送るだけ 6.FFR yarai ★ファイルの中身を確認する ために、ファイルを開く ★Out-Box 8. デジ急便 ★Web配送/ 第三者承認 ★取るだけ ★ファイル配送 システムによる記録 ★VDIによる接続、リモートディスクトップ接続など。 又は、物理的に「2台」の端末 31 Copyright © 2016 Asgent, Inc. All Rights Reserved VOTIRO-SDS(Secure Data Sanitization) 製品は、 弊社がご提供しています。 どうぞ、ご採用ください。 お問合せ先 スワットブレインズ株式会社 ソリューション営業部 Tel : 075-211-9480 E-mail: [email protected] 具体策! 32 Copyright © 2016 Asgent, Inc. All Rights Reserved
© Copyright 2024 Paperzz