WildFire/TRAPS 概要と競合優位性 2015年11月4日 パロアルトネットワークス合同会社 本日のアジェンダ WildFire 基本情報 WildFire 詳細 競合との差異 WildFireの優位性 TRAPS 製品詳細 優位性について 2 | ©2013, Palo Alto Networks. Confidential and Proprietary. WildFire 基本情報 3 | ©2013, Palo Alto Networks. Confidential and Proprietary. パロアルトネットワークスの 次世代セキュリティプラットフォームとWildFire WildFire セキュリティ クラウド AUTOMATED NATIVELY INTEGRATED 次世代ファイアウォー ル 4 | ©2015, Palo Alto Networks. Confidential and Proprietary. EXTENSIBLE アドバンスド エンドポイントプロテクション 次世代セキュリティクラウド “WildFire” 未知の脅威を発見&フィードバック マルウェア エクスプロイト(脆弱性攻撃) C&C通信 DNSクエリー マルウェア配信サイト(URL) Email SMTP All ports SSL encryption ※Web/Email/FTP等複数プロトコルに対応 All traffic FTP Endpoint Data center All commonly exploited file types 3 rd party data WildFire Web Perimeter 脅威情報を利用し インライン防御を提供 脅威情報を相関的に分析&共有: 7,500社以上が利用 WildFire 脅威防御 URLフィル タ 世界 30,000 台以上 • • 5 | ©2015, Palo Alto Networks. Confidential and Proprietary. アップロードされるユニークなファイル数: 一日当たり 約2,000,000 • 70%がPDF, 12%がWord, PE/EXEが4% そのうち未知含むマルウェア: 一日当たり 約31,000 • 発見されたマルウェアのうち 97%がPEフォーマット “WildFire”動作イメージ ファイル解析は WildFire で実施 サンドボックス分析は数分以内で完了 マルウェアファイルだけ が 本社に送信され、対応のシ グネチャを生成 WildFire サンドボックス環境 (日本国内も対応可能) 未知のファイルは サンドボックス分析の ためWildFire™に送信 WildFire TM マルウェア が検知されると 対象機器にログで通知* シグネチャ は 15分間隔で世界中の お客様に一斉配信* あくまでクラウド上で実績がない”未知の”ファイルのみが解析対象、 解析対象のファイルタイプの指定も可(例えば.exeのみクラウドへ送信等)、 ファイルを送信せずシグネチャ配信を受けるだけでもOK! * 6 | ©2015, Palo Alto Networks. Confidential and Proprietary. WildFire 詳細 WildFireによって提供されるもの 検査サイト, シンクホール, サードパーティからの情報 サンドボックス(クラウド) でのファイルの解析 WildFire TM 解析結果に基づく 脅威情報の提供 WF-500 WildFireシグネチャ アンチウィルスシグネチャ マルウェア DNS 通信 マルウェア URL データベース アンチスパイウェア(C&C)シグネチャ WildFire 利用ユーザー 8 | ©2015, Palo Alto Networks. Confidential and Proprietary. WildFireの機能と必要なライセンス 分類 解析サービス データ配信 サービス 機能 ライセンス PE(実行)ファイル 不要 PDF, MS Office, Java, Flash, APKの各 ファイル* WildFire E-mailに含まれるリンクURL WildFire WildFireシグネチャ(15分毎)** WildFire マルウェアシグネチャ(1日) 脅威防御(TP) C&C通信ペイロード(1週間) 脅威防御(TP) C&C通信URL(1時間) URLフィルタリング(URL) C&C通信DNSシグネチャ(1日) 脅威防御(TP) *解析対象ファイルは選択可能 **WildFireのシグネチャ配送間隔時間はさらに短縮予定 9 | ©2015, Palo Alto Networks. Confidential and Proprietary. WildFire と PAN-DB(URL)の連携による相乗効果 WildFire と PAN-DBの連携により WildFireで解析した情報を URL Filteringに反映することが可能 URL Filtering単体での セキュリティ向上に寄与 未知のマルウェアがアクセスしたURLを マルウェアカテゴリに逐次追加 URL Filteringの結果を元に生成するBotnet レポートの 感染端末のあぶり出し精度向上に寄与 常に最新のマルウェアカテゴリの情報を使って検知するため、 侵入された端末の特定精度が向上 10 | ©2015, Palo Alto Networks. Confidential and Proprietary. “WildFire”の検査対象 従来のバージョン Windows PE (EXE, DLL 等) Windows XP 分析レポート 追加 OS 分析レポート強化 PANOS 6.0以降 追加ファイルタイプ • • • • • PDF* Office* Java* Android APK* Adobe Flash*(6.1以降) • • Windows 7 (32/64bit) Android* • • • 時系列レポート オリジナル検体 ファイル&PCAP のダウンロード IOC連携 *別途ライセンス(WildFire)購入が必要 11 | ©2015, Palo Alto Networks. Confidential and Proprietary. “WildFire”新機能 - 総合的な脅威分析 マルチバージョン解析 一つのファイルに対して複数のアプリケーション バージョンで解析し、仮想マシン内で実行される 徹底的な脅威分析の強化 APT グレーウエア判定 Malware! Malware以外のAdwareなどをGraywareとして 判定し迅速に脅威を優先付けを可能に Bot Virus • Adware • Trackware ハイブリッドクラウド Grayware WildFireクラウドとWF-500への解析をポリシー ベースで緻密にコントロール WildFireTM WF-500 Acrobat 9 Acrobat 10 Acrobat 11 マルチバージョン解析 12 | ©2015, Palo Alto Networks. Confidential and Proprietary. ハイブリッド クラウド “WildFire”新機能 - 相関分析エンジン - 手動データマイニングの削減 自動的に侵害されたホストを 検出 脅威存在痕跡(IoC)の検出 相関オブジェクトは脅威イン テリジェンスクラウドによっ て随時更新されます。 自動相関エンジン Automated Correlation Engine 相関オブジェクト 外部からの偵察行為 脆弱性を悪用した攻撃 C&Cへのコールバック マルウエア URLの接続 13 | ©2015, Palo Alto Networks. Confidential and Proprietary. 侵害されたホスト “WildFire”新機能 - 相関分析エンジン - <続き> 1 ユーザーによるマルウエアダウンロード 2 WildFire によるマルウエア解析とレポート 3 ファイアウォールは、レポートから振る舞い を抽出し、脅威が存在する痕跡を探します。 4 該当の振る舞いの相関一致をトリガーした ホストを検出 WildFire 2 3 • 悪性URLへのアクセス? • C&C へのコールバック? • 悪性ドメインへの DNSアクセス? 1 4 Network 14 | ©2015, Palo Alto Networks. Confidential and Proprietary. Email linkの検査機能 SMTP、POP3に対応 該当のリンク(http:// またはhttps:// で始まるURL) メールのヘッダ情報 WildFireクラウドが該当のリンクへアクセスし脅威の含 まれるwebサイトか否かを検査 (SMTPS、POP3Sの場合は、SSL Decryptionが必要) http://boeingintra.net/ref?d8ca2 [送信者、受信者、件名 (オプション設定)]をWildFireクラウド に転送 (メール本文はWildFireクラウドに転送されない) 該当のwebページにエクスプロイトが含まれる場合にmaliciousと 判定し、 詳細レポートを作成する また、PAにWildFireログを送付する (送付したリンク先が、Benignの場合は、WildFireログには表示 されない) URL WildFire Mail server Exploit BLOCK Maliciousと判定されたURLは、PAN-DBのmalwareカテ ゴリーに追加 PAN-OS v6.1ではWildFireクラウドのみ利用可能 (WF-500は将来的に対応予定) ※WildFireサブスクリプションが必要 15 | ©2015, Palo Alto Networks. Confidential and Proprietary. Compromised host WildFire 競合との差異 機能比較 Palo Alto Networks + WildFire 機器 次世代ファイアオール +クラウドサンドボックス(ライセ ンスのみ) 動作モード TAP, L1, L2, L3を混在可能 アプリケーショ ン可視化と制御 対応 ※ 2,000種類以上+ Uknowアプリ サンドボックス (F社) 専用機 ※他社セキュリティ TAP 非対応 非対応 HTTP, SMTP, SMBなどファイル 共有含む数多くのアプリ(1台で 対応) HTTP, SMTP, File (それぞれ専用機必要) インラインでの マルウェア防御 対応 対応 既知のマルウェ アに対する防御 対応 非対応 各種防御機能 (Anti-Spyware, IPS/IDS, URL Filter, Data Filter, DNS sinkhole ..etc) 17 | ©2015, Palo Alto Networks. Confidential and Proprietary. 専用機+ InterScan(web,Email)が別途必要 TAP, Inline マルウェア検査 対象通信 対応 サンドボックス (T社) 非対応 ※別途3party製品との併用・連携が 必要 HTTP, SMTP, File (それぞれ専用機必要) 対応 InterScan(web,Email)が別途必要 対応 対応 InterScan(web,Email)が別途必要 サンドボックス比較 Palo Alto Networks + WildFire 提供形態 クラウドベース or アプライアンス サンドボックス専用解析機器 (F社、T社) ローカルアプライアンス内 拡張性 サンドボックスの拡張は、クラウドで 適宜行われる為、顧客側での運用負荷 や追加コストは発生しない 購入した機器で実行できる仮想実行環境 の数は機器毎に最大数が決まっているた め、解析の負荷が増えると、新たな機器 の追加が必要。機器の追加にコストがか かる 高負荷時の懸念 クラウドで、マルウェアの解析/シグ ネチャ作成を行うため、FWのパ フォーマンスには影響を及ぼさない ローカルアプライアンス内のサンドボッ クスで処理が追いつかない場合、解析対 象のファイルでも検査せず素通ししてし まう サンドボックスの 運用 サンドボックスのバージョン アップ、トラブル対応等の運用はパロ アルト社が行うため、 顧客に運用の負荷がかからない サンドボックスのバージョンアップ、 トラブル対応等の運用は顧客が行うた め、運用負荷が高い 18 | ©2015, Palo Alto Networks. Confidential and Proprietary. コスト比較 Palo Alto Networks + WildFireクラウド 初期費用 運用費用 サンドボックス専用解析機器 (F社、T社) ・1台で柔軟な構成を組むこと で導入機器を最小限に出来る ・規模が大きくなる場合 上位機種で対応可 ・セキュリティ対策を統合する ことでコストメリットが出せる (FW+脅威防御+WildFire) ・Web、Mail、Fileなど別々の 機器を導入する必要あり ・管理機器やサポートが 別途必要 Mail Web 管理 ・大規模環境の場合、 複数台の導入が必要 ・複数個所で導入する場合、複数台の 導入が必要 ・導入機器は最小限で済む為、機器の 保守費用は、専用機器に比べて 格段に抑えることが出来る ・1種類の機器で運用できる分、運用に 掛かる負荷とコストが少なくて済む ・導入した機器台数分、保守費用が発生 ・運用時に他製品(既存FWやIPS等) との連携による調査・切り分けが 発生するため、現状の運用負荷、 運用コストがさらに増加する 19 | ©2015, Palo Alto Networks. Confidential and Proprietary. WildFire 優位性 WildFireクラウドの優位性 複数プロトコルのファイル検査に1台で対応可能 WildFire TM Web・SMTP以外に、FTPやファイル共有などに幅広く対応 脅威についての情報(シグネチャ)共有 PAの脅威シグネチャにもWildFireの情報が共有され、AV、C&C、URLなどの既知の脅威 として検知ブロック可能 SSL通信も復号して検査が可能 クラウドベース サンドボックス環境のスケーラビリティと高い拡張性 ファイアウォール上で動作 導入管理が容易 重複送信を避けることができ、帯域消費が少ない 21 | ©2015, Palo Alto Networks. Confidential and Proprietary. WildFireクラウドの優位性 WildFire TM 低コスト メール数や検査ファイル数増加によるキャパシティ増への投資を抑制 運用負荷の軽減 メール数やネットワーク通信増加によるキャパシティ増への対応が容易 専門エンジニアによる新しい脅威への分析や対応する検知ロジックの更新が自動的に実 施される 新しいファイルタイプ、OSバージョン等に対応するためのメンテナンスが容易 22 | ©2015, Palo Alto Networks. Confidential and Proprietary. Traps製品詳細 何が脅威なのか? エクスプロイト(脆弱性を突く攻撃) 悪意のある実行ファイル 細工されたデータファイルであり、 正規のアプリケーションによって 読み込まれ、処理される 実行形式のファイル(.exe)で 送られてくる攻撃用のプログラム 正規のアプリケーションにある、 悪意のあるプログラムを実行する 脆弱性を悪用する 正規のアプリケーションをだまし、 攻撃者のプログラムを実行させる 小さいプログラム アプリケーションにある 脆弱性に依存しない すぐに実行される - コンピュータを乗っ取ることが目的 大きいプログラム エクスプロイトと悪意のある実行ファイル - 何が違うのか? 24 | ©2015, Palo Alto Networks. Confidential and Proprietary. よくあるサイバー攻撃の推移 情報収集 エクスプロイ ト の悪用 マルウェア の実行 制御チャネル の 確立 データの奪取 攻撃計画の 立案 ユーザに 悟られずに感染 悪意のある ファイルを実行 マルウェアは 攻撃者と通信 データ盗難、 妨害行為、 破壊活動 防止的なコントロール 反応的なコントロール 早い段階で攻撃を止めることが重要! Trapsのエクスプロイト・マルウェア防御は、悪意のある行動が始まる前に攻撃を止めることが可能! 25 | ©2015, Palo Alto Networks. Confidential and Proprietary. アドバンスト エンドポイント プロテクション– なぜ必要か? 今日の厳し現実 今までの 検知 検知と 対処・修復 ネットワーク層の セキュリティ対策 事前の知識が必要 スキャン 対 行為に焦点 リバースエンジニアが可能 悪意のある活動は、検知を無効化することも含む 対処・修復には多大な労力がかかる 雑音が多く、検知自体が見逃される 全てのコンテンツが見れるわけではない エンドポイント上の感染行為は見えない 正当な通信上で行われる悪意のある活動の遮断は困難 225 標的型攻撃を 検知するまでにかかる 平均日数 84% 第三者によって 通知された 攻撃の割合 クラウド型の エミュレーション 26 | ©2015, Palo Alto Networks. Confidential and Proprietary. あらゆる環境を模擬実行できるわけではない エミュレーションをマルウェアは見抜くことができる エンドポイントで、対処を強制できない 検知だけにたよるのは 正しい戦略ではない アドバンスト エンドポイント プロテクション 高度なサイバー攻撃に対峙するための正しい方法 エクスプロイトを阻止 – ゼロデイエクスプロイトを含む PDF 悪意のある実行ファイルを阻止 – 高度かつ未知のマルウェアを含む 攻撃試行の証拠を収集 – 後の解析に必要となる証拠取得 拡張性、軽快性、フルカバレッジ – 最小限のユーザインパクトで、全てのアプリケーションに保護を適用 ネットワーク・クラウドセキュリティとの統合 – 脅威データの共有と、組織間をまたいだ保護の提供 27 | ©2015, Palo Alto Networks. Confidential and Proprietary. 核となるテクニックの遮断 – 個々の攻撃ではない 毎年現れる新たな種類の数 個々の攻撃 1,000~ 核となるテクニック 2-4 ソフトウェアの脆弱性を突くエクスプロイト 脆弱性の攻撃に使う、核となるテクニック 数千もの新たな脆弱性とエクスプロイト 2~4個の新しいテクニック 1,000,000~ ~10 マルウェア マルウェアのテクニック 数百万以上の新種・亜種のマルウェア 数十の新しいマルウェアが行う行為 28 | ©2015, Palo Alto Networks. Confidential and Proprietary. エクスプロイト テクニック エクスプロイト攻撃 DEPの回避 1. エクスプロイトの試みは、知り合いか ら送られたPDFに埋め込まれている 悪意のある 活動を 開始 2. PDFが開かれ、Acrobat Readerの脆 弱性を突く、エクスプロイト・テク ニッックが作動する 3. エクスプロイトは、ウイルス対策を回 避し、マルウェアの起爆剤をターゲッ トに落とす 4. マルウェアはウイルス対策を回避し、 メモリ上で稼働する ヒープ スプレー 通常アプリケーションの 起動 隙間は 脆弱性を表す 29 | ©2015, Palo Alto Networks. Confidential and Proprietary. OS機能の 利用 キーロガーを仕掛ける 重要なデータの盗難 などなど・・・ エクスプロイト テクニック エクスプロイト攻撃 1. エクスプロイトの試みは、知り合いか ら送られたPDFに埋め込まれている 悪意のある活動は 起こらない 2. PDFが開かれ、Acrobat Readerの脆 弱性を突く、エクスプロイト・テク ニッックが作動する 3. エクスプロイトは、ウイルス対策を回 避し、マルウェアの起爆剤をターゲッ トに落とす 4. マルウェアはウイルス対策を回避し、 メモリ上で稼働する Traps Exploit Prevention Modules (EPM) 1. エクスプロイトの試みを遮断。 脆弱性についての事前知識は不要。 30 | ©2015, Palo Alto Networks. Confidential and Proprietary. ヒープ スプレー 通常アプリケーションの 起動 Traps EPM エクスプロイト テクニック エクスプロイト攻撃 1. エクスプロイトの試みは、知り合いか ら送られたPDFに埋め込まれている DEPの回避 2. PDFが開かれ、Acrobat Readerの脆 弱性を突く、エクスプロイト・テク ニッックが作動する 悪意のある活動は 起こらない 3. エクスプロイトは、ウイルス対策を回 避し、マルウェアの起爆剤をターゲッ トに落とす 4. マルウェアはウイルス対策を回避し、 メモリ上で稼働する Traps Exploit Prevention Modules (EPM) 1. エクスプロイトの試みを遮断。 脆弱性についての事前知識は不要。 2. 管理者がEPMの1つを無効した場合、 最初のテクニックは成功するが、 次のテクニックが遮断され、 悪意のある行動は阻止される 31 | ©2015, Palo Alto Networks. Confidential and Proprietary. ヒープ スプレー 通常アプリケーションの 起動 Traps EPM エクスプロイト防御 ケーススタディ 既知のテクニックを使う、未知のエクスプロイト Internet Exploreの ゼロデイ脆弱性 CVE-2013-3893 Adobe Reader CVE-2013-3346 Adobe Flash CVE-20150310/0311 ヒープ スプレー Memory Limit Heap Spray Check DEPの回避 UASLR ROP / OS機能の利用 ヒープ スプレー Memory Limit Heap Spray Check and Shellcode Preallocation DEPの回避 UASLR OS機能の利用 ROP ROP Mitigation JiT スプレー JIT Mitigation ROP Mitigation/ DLL Security DLL Security OS機能の利用 攻撃の連鎖のひとつを阻止できれば、攻撃全体を止めることができる 32 | ©2015, Palo Alto Networks. Confidential and Proprietary. DLL Security DLL Security エクスプロイト防御 – ユーザの体験 Traps PDF PDF PDF ユーザにより、 エクスプロイトが 仕掛けられた ドキュメントが 開かれる Trapsは、起動する アプリケーションの プロセスに、シームレスに 組み込まれる エクスプロイト テクニックが 試行され、Trapsは、 悪意のある活動が 行われる前に、 その試行を遮断する R フォレンジック データを取得 R プロセスを終了 R ユーザ、管理者に 通知 Trapsはイベントは 通知し、詳細な フォレンジック データを収集する エクスプロイトが試行されると、エクスプロイトは罠にかかり、 悪意のある活動を行うことを阻止される 33 | ©2015, Palo Alto Networks. Confidential and Proprietary. 全ての局面で、悪意のある実行ファイルを阻止 高度な 実行制御 WildFireの 確認と解析 場所、デバイス、子プロセス、 署名の有無などから実行を 制御し、攻撃を受ける面を縮小 クラウドベースの 脅威インテリジェンスを使った 動的な脅威解析 ハッシュ制御により、柔軟な システム強化を提供 WildFireによって特定された 悪意のあるファイルの内、 61%が、上位6社の企業向け ウイルス対策製品で検知不可 34 | ©2015, Palo Alto Networks. Confidential and Proprietary. マルウェアテクニック の抑止 未知のマルウェアを テクニックベースの抑止策で 検出、阻止 (例:スレッドインジェクション) 悪意のある実行ファイルを止める正しい方法 WildFire ユーザが 実行ファイルを 開こうとする 制限と 実行ファイルルール マルウェア・テクニックの 実行を阻止 WildFireに対する ハッシュの問合せ EXE 例えば・・・ ? 子プロセスか? 悪性 制限されたフォルダ やデバイスか? 例えば・・・ 未知 実行を阻止 良性 保護 ESM 35 | ©2015, Palo Alto Networks. Confidential and Proprietary. フォレンジック データの確保 スレッド インジェクション? 休止モードの プロセス作成? 例:攻撃の流れの中にあるTrapsの阻止ポイント エクスプロイト 送付 悪意のある 活動 ダウンロードと実行 1 2 3 4 5 6 エクスプロイト テクニック1 エクスプロイト テクニック2 エクスプロイト テクニック3 実行制限1 実行制限2 実行制限3 OS機能の利用 JIT ヒープスプレー 子プロセス 未署名の 実行ファイル 制限された場所 7 8 9 10 ローカルの 判定結果 WildFireの 判定結果確認 WildFireの 解析 スレッド インジェクション 管理者によって 設定された判定 WildFireの 既知の判定 オンデマンドの 解析 インジェクションの 行為を遮断 メモリ破損 インテリジェンス と エミュレーション 高度な実行制御 ロジックの欠陥 Traps Traps エクスプロイト防御 マルウェア防御 36 | ©2015, Palo Alto Networks. Confidential and Proprietary. 振舞い防御 継続的な証跡収集と攻撃トリガの証跡収集 継続記録 攻撃関連のフォレンジック すべてのファイル実行 実行日時 ファイル名 ファイルのハッシュ値 ユーザ名 コンピュータ名 IPアドレス OSのバージョン 疑わしいファイルの履歴 エクスプロイト、マルウェアが 罠にかかり、リアルタイムの 遮断をトリガ 37 | ©2015, Palo Alto Networks. Confidential and Proprietary. タイムスタンプ トリガしたファイル(非実行ファイル) ファイルのソース(元) 関与したURL / URI 阻止した攻撃技法 (エクスプロイトテクニック) IPアドレス OSのバージョン 攻撃を受けた脆弱なソフトウェアの バージョン 攻撃されたプロセスの配下で メモリー上に展開された 全コンポーネント フルメモリダンプ 更なるメモリ領域の 破壊行為の予兆 ユーザ名と コンピュータ名 Endpoint Security Manager (ESM) 3層の管理サーバ構成 Endpoint Security Manager (ESM) ESM コンソール データベース ESM サーバ (ESMサーバ毎に50,000台までサポート – 複数のサーバに拡張可能) External Logging Platform WildFire オールインワンの管理センター コンフィグレーション管理 ログ記録とデータベース検索 管理者ダッシュボードと Forensic Folder(s) ESM Server(s) セキュリティオーバービュー フォレンジック記録 インテグレーション設定 Endpoints Running Traps 38 | ©2015, Palo Alto Networks. Confidential and Proprietary. Traps によるエクスプロイト防御 ケーススタディ #1 実際にあった Adobe Flash のゼロディ攻撃に対して有効だったのか? • 2015年7月6日、捜査機関向けの市民監視ツールを手掛けるイタリア企業Hacking Teamから200GB の情報が流出し、攻撃者がTwitter上に公開 • この攻撃は Adobe Flash に潜むゼロディ脆弱性を利用して実行されたことが 判明、この脆弱性は Internet Explorer や Chrome をはじめとする主要なWeb ブラウザ全てに影響 があることが分かった • Adobeはこれを受けて、7月7日に声明を発表、脆弱性を修正するアップデートを7月8日にリリースし たが、その後上記とは別に更に2件の Flash の脆弱性(CVE-2015-5122、CVE-2015-5123)が存在 することを明らかにした Traps のエクスプロイト防御であれば防御可能であった Adobe Flash CVE-2015-5119 39 | ©2015, Palo Alto Networks. Confidential and Proprietary. JiT スプレー JIT Mitigation DLL Security OS機能の利用 DLL Security Traps によるエクスプロイト防御 ケーススタディ #2 その他の過去の脆弱性に対して有効だったのか? Internet Exploreの ゼロデイ脆弱性 CVE-2013-3893 Adobe Reader CVE-2013-3346 Adobe Flash CVE-20150310/0311 ヒープ スプレー Memory Limit Heap Spray Check DEPの回避 UASLR ROP / OS機能の利用 ヒープ スプレー Memory Limit Heap Spray Check and Shellcode Preallocation DEPの回避 UASLR OS機能の利用 ROP ROP Mitigation JiT スプレー JIT Mitigation ROP Mitigation/ DLL Security DLL Security OS機能の利用 Traps のエクスプロイト防御であれば全て防御可能 40 | ©2015, Palo Alto Networks. Confidential and Proprietary. DLL Security DLL Security Traps によるエクスプロイト防御 ケーススタディ #3 脆弱性診断専門エンジニアによるペンテストに対して有効か? セキュリティ専門企業 Stonebeat Security 社にて、 実際にツールを作成してエクスプロイトを実施した ところ、11種類の脆弱性攻撃すべてをブロックした 41 | ©2015, Palo Alto Networks. Confidential and Proprietary. Block率 100% Traps によるエクスプロイト防御 ケーススタディ #4 Carbanak:銀行ネットワークで新たな攻撃方法を実践! 2015/2/16にカスペルスキー社が 発表 フィッシングメール word、CPL形式ファイル添付 被害者: 欧州、ロシア、米国、中国など 30地域で約100行の銀行や電子 決済システム ドライブバイダウンロード攻撃 PCの遠隔操作 Ammy-admin のダウンロード or ssh server 感染 – Carbanak back door 送金担当者の端末探索 -> 侵入・操作・監視 監視ビデオの管理者権限を取得 C&C サーバ宛にビデオファイル送信 キャッシュアウト 行員のすべての行動を監視 攻撃者は、スピアフィッシングの手口を使って行員のコンピュータに、Microsoft Wordの脆弱性を突く攻撃を埋め込んだファイ ルを送付。行員がファイルを開くことで、マルウェアの「Carbanak」に感染し、そこから社内ネットワークに侵入。管理者のコ ンピューターを突き止め、送金システムを担当する行員の画面をすべて盗み見て記録する。この手口で送金の仕組みを把握する と、行員を装って送金の手続きを行い、自分たちの口座に現金を振り込ませていた。キャッシュアウトの方法は複数に及ぶ。 The Great Bank Robbery: the Carbanak APT https://securelist.com/files/2015/02/Carbanak_APT_eng.pdf https://securelist.com/blog/research/68732/the-great-bank-robbery-the-carbanak-apt/ 42 | ©2015, Palo Alto Networks. Confidential and Proprietary. 参考:Carbanak で利用された脆弱性 Microsoft Wordの脆弱性を突く、添付ファイル 脆弱性 影響を受ける製品 Office 2003 SP3 Office 2007 Traps 対応 Office 2007 SP1 Office 2007 SP2 Office 2007 SP3 Office 2010 Office 2010 SP1 Office 2010 SP2 CVE-2012-0158 ○ - - ○ ○ ○ ○ × 阻止可能 CVE-2013-3906 ○ - - - ○ - ○ ○ 阻止可能 CVE-2014-1761 ○ - - - ○ - ○ ○ 阻止可能 ドライブ・バイ・ダウンロード攻撃で利用されたRedKit Exploit Kit 脆弱性 CVE-2012-1723 影響を受ける製品 Traps 対応 Java 1.4 Java 5 Java 6 Java 7 Java 8 ~ 1.4.2_37 ~ Update 35 ~ Update 32 ~ Update 4 × 阻止可能 CVE-2013-1493 - ~ Update 40 ~ Update 41 ~ Update 15 × 阻止可能 CVE-2013-2423 - - - ~ Update 17 × 阻止可能 ※ 影響を受ける製品の項目に 「-」と入っている場合、その製品バージョンが脆弱性発見時に、サポートが終了 しており、確認がとられていないことを意味します。影響を受けないという意味ではございません。 43 | ©2015, Palo Alto Networks. Confidential and Proprietary. TRAPSの優位性 Trapsの優位性 防御範囲の優位性 脅威対策として、既知だけでなく未知のエクスプロイトやマルウェアに対して効力を発揮 し、脆弱性攻撃やマルウェア感染から端末を保護することが可能。 ※第3者機関による検証にて、今年発見された脆弱性を100%防御。 WildFireとの連携による優位性 既知の脅威だけではなく、未知の脅威についてはクラウドを活用してリアルタイムに 分析を行い、結果を自動的な防御にフィードバックすることで未知の脅威を防止。 ポリシー制御の優位性 アプリケーション(プロセス)やユーザーごとに有効となる脅威防御モジュールを柔軟に 設定可能であり、強固なセキュリティを保持したまま誤検知/過検知に対する対策が可能。 実行制御の優位性 エクスプロイトやマルウェアの検査だけではなく、アプリケーションの動作をプロセス単 位で制御することが可能であり、脅威や感染につながる可能性のある動作を阻止すること が可能。 動作環境での優位性 Trapsはシグニチャを持っておらず、シグニチャファイル更新やファイルスキャンを実施 しない為、CPU、メモリ等のシステム負荷がほとんど発生しません。その為、他のエンド ポイント管理、保護製品等との共存が容易で、高いユーザビリティを提供可能。 45 | ©2015, Palo Alto Networks. Confidential and Proprietary. 防御範囲での優位性 既存ウイルス対策製品とTrapsのカバー範囲 既知の攻撃 未知の攻撃 エクスプロイトコード 47 | ©2015, Palo Alto Networks. Confidential and Proprietary. 悪意のある実行ファイル Traps 既存ウイルス対策製品 既存ウイルス対策製品とTrapsのカバー範囲 Traps 既存ウイルス対策 エクスプロイ ト ◎ × マルウェア ○ × エクスプロイ ト ◎ △(ベンダーによる) マルウェア ○ ◎ 阻止/遮断 ○ △ ディスク上に存在する 既知マルウェアの検索、削除 × ◎ 感染状態からの復旧 × ○ 未知の攻撃 既知の攻撃 48 | ©2015, Palo Alto Networks. Confidential and Proprietary. WildFireとの連携による優位性 最も包括的なエンドポイントプロテクションのアプローチ 20種類以上の エクスプロイト防御 モジュール ローカル ハッシュ制御 実行制限 高度な実行制御 50 | ©2015, Palo Alto Networks. Confidential and Proprietary. WildFireとの 統合 マルウェア防御 モジュール 次世代ファイアウォールと、Trapsを組み合わせた標的型攻撃対策 解析で得られた URL等の情報を 更なる検出・防御 のためにフィード バック 解析で得られた シグネチャを、 更なる防御へ フィードバック エンドポイントに 届いた未知の検体を アップロード ゼロデイエクスプロイト 既知のマルウェア配布サイトへのアクセス 脆弱性を突く攻撃 FWで検査できない エクスプロイト ゼロデイマルウェア 既知のC&Cサーバへのアクセス マルウェア FWで検査できない マルウェア 入り口対策 51 | ©2015, Palo Alto Networks. Confidential and Proprietary. マルウェアが行うような通信パターン 出口対策 エンタープライズセキュリティプラットフォーム 脅威 インテリジェンス クラウド AUTOMATED NATIVELY INTEGRATED 次世代ファイアウォール 52 | ©2015, Palo Alto Networks. Confidential and Proprietary. EXTENSIBLE 次世代エンドポイント ポリシー制御の優位性 柔軟なポリシー設定 各タブごとの様々な条件を 組み合わせてポリシーを設定可能 54 | ©2015, Palo Alto Networks. Confidential and Proprietary. 有効にする防御モジュールを選択可能 防御モジュールごとにON/OFFや 検出した際の動作を設定可能 55 | ©2015, Palo Alto Networks. Confidential and Proprietary. 対象プロセスを指定可能 ポリシー設定の対象となる プロセスを個別に指定可能 56 | ©2015, Palo Alto Networks. Confidential and Proprietary. 対象ユーザやグループを指定可能 ポリシー設定の対象となる ユーザやグループを指定可能 57 | ©2015, Palo Alto Networks. Confidential and Proprietary. 実行制御での優位性 悪意のある実行ファイルを止める正しい方法 WildFire ユーザが 実行ファイルを 開こうとする 制限と 実行ファイルルール マルウェア・テクニックの 実行を阻止 WildFireに対する ハッシュの問合せ EXE 例えば・・・ ? 子プロセスか? 悪性 制限されたフォルダ やデバイスか? 場所、デバイス、子プロセス、 署名の有無などから実行を 制御し、攻撃を受ける面を縮小 ハッシュ制御により、柔軟な システム強化を提供 59 | ©2015, Palo Alto Networks. Confidential and Proprietary. 例えば・・・ 未知 実行を阻止 良性 保護 ESM フォレンジック データの確保 スレッド インジェクション? 休止モードの プロセス作成? 動作環境での優位性 サポート範囲とシステム要件 サポートされるOS 既存環境にほとんど 影響のない軽い負荷 フットプリント Workstations – 物理及び仮想 25 MB RAM Windows XP SP3 0.1% CPU Windows Vista SP2 スキャンなし Windows 7 Windows 8 / 8.1 アプリケーションの範囲 Servers – 物理及び仮想 デフォルトポリシー:100以上のプロセス Windows Server 2003 (+R2) SP2 新しいプロセスの自動検出 Windows Server 2008 (+R2) あらゆるアプリケーションを保護 Windows Server 2012 (+R2) 61 | ©2015, Palo Alto Networks. Confidential and Proprietary. 63 | ©2015, Palo Alto Networks. Confidential and Proprietary. Tanium ソリューションエリア Taniumは既存のツールでは出来ない方法で支援します ソフトウェアの配布とパッチ管理 ソフトウェアライセンス管理 監査&コンプライアンス オペレーション・システムのパッチや3 rdパーティーのUpdateを全てのエンド ポイントにリアルタイムに配布 インストールされているアプリケーショ ンの使用状況を取得 従来のデータ収集に掛かる時間への 依存を削減でき、監査により質の高い 情報を提供できます 通常、使われていないアプリケーショ ンを見直すことで、劇的にソフトウェ ア・ライセンスコストの削減を実現 15分程のトレーニングでデータ収集が できるようになりますので、単独で情 報収集が可能になります 情報の保護 管理されていない資産の検知 インシデント レスポンス 大規模な企業ネットワークを跨って慎 重に扱う必要があるヘルスケアや金 融情報を把握 危険な管理されていないマシンがネッ トワークに接続するとリアルタイムに 通知される 問題解決に結びつく適切なデータの 収集とその対処をリアルタイムに実施 慎重に扱うべき情報を管理するため、 厳密な内部規制やレギュレーション要 件を超える対応 限定されたネットワークへのアクション の実施やリソースへのアクセス制限に より、管理されていない資産によるリ スクを即座に低減 64 | ©2015, Palo Alto Networks. Confidential and Proprietary. ドラスティックにコストを削減、インシデ ントの対応時間を時間から分に短縮 See www.tanium.com/solutions for more information Traps と Tanium のポジショニングの位置づけ Palo Alto Networks Trapsは、攻撃者からの攻撃に使われる手法を検知し、インシデント発生を予防する製品 Tanimum Endpoint Platformは、IOCをすばやく検索し、感染から復旧をさせる、インシデント発生後に使う製品 Traps 脆弱性の悪用 悪意のある ファイルの実行 ゼロデイも含む、脆弱性 を突く攻撃の阻止 既知のマルウェア、 未知の実行ファイルの 起動を阻止 感染 (マルウェアの活動開始) 駆除・復旧 対策(パッチ適用) マルウェアが行う、 いくつかの危険な振舞 いを、検知し起動してい る未知のマルウェアを 強制終了 Tanium 65 | ©2015, Palo Alto Networks. Confidential and Proprietary. マルウェアに感染してい る可能性を示す マルウェアの痕跡情報 に従い、一致する ソフトウェアの管理規定 に対し、違反している場 痕跡(IOC)を検知 痕跡、ファイルを削 除 合、パッチ等を適 用 ユースケース: Palo Alto Networksとのインテグレーション マルウェア感染の確認 ネットワークセキィリティツールの課題の一つと して、必要されるエンドポイントのコンテキスト が乏しいという問題を抱えています。 Detect Malware Capture Malware Palo Alto Networks WildFire • • • • Tanium IOC Detect IOC リポジトリィ Palo Alto WildFireがネットワークに入り込んだマルウェアをキャプチャー。 Taniumはマルウェア・アクティビティ・レポートを入手するためにWildFireにポーリング。 Taiumはレポートを標準IOCフォーマットに変換。 Taniumはターゲットシステムが実際の感染のサインを示しているかを自動的に確認。 © 2014 Tanium Inc. All Rights Reserved. 66 | ©2015, Palo Alto Networks. Confidential and Proprietary. 67 | ©2013, Palo Alto Networks. Confidential and Proprietary.
© Copyright 2024 ExpyDoc
