未知のサイバー攻撃を阻⽌する エンドポイントセキュリティ 「Traps」の機能と運⽤ パロアルトネットワークス社の 次世代エンドポイントソリューション(Traps)ご紹介 2016年7⽉12⽇ 株式会社インテリジェント ウェイブ 1 セキュリティソリューション本部 第⼀部 セールスエンジニア第⼀課 ⾜⽴ 和俊 (協賛:⼤⽇本印刷株式会社 / パロアルトネットワークス株式会社) 1 インテリジェント ウェイブについて 1984年12⽉(30年前) 2005年(10年前) 1995年(20年前) 創業 2010年 現在 個⼈情報保護法施⾏ クレジットカードのオンラインネットワークシステムの開発・構築・保守 ⾦融業界向けシステムの開発・構築・保守に 強みを持つソリューションプロバイダーとして、 30年間⾦融業界にてビジネスを展開 証券市場向け⾼速情報配信基盤 セキュリティビジネス 個⼈情報保護法が全⾯施⾏された2005年 に、⾦融のお客様からの要望によりセキュリティ ビジネス(内部情報漏洩対策)を開始 2005年 2011年 2013年 2014年 他 現在 現在 内部情報漏洩対策 ⾃社開発の内部情報漏洩対策「CWAT」だ けでは、昨今のサイバー攻撃(⾼度標的型 攻撃)に対応できなくなってきたため、海外で 実績のある製品をこの数年で拡充 「CWAT」で培ったエンドポイントに対する保 守・サポートの実績・体制を強みとして、各種 拡充製品についても保守・サポートを開始 脆弱性診断ツール 静的ソースコード解析 標的型攻撃対策(エンドポイント) 2 概要 ・未知の攻撃の存在 ・ユーザに依存したセキュリティ対策の危険性 ・Trapsで攻撃を防ぐ 3 現在のサイバー攻撃について その1 ランサムウェアの脅威 • 重要情報の暗号化を⾏う • 情報を⼈質に取り、⾝代⾦を要求する 多くの企業がランサムウェアに 感染しています 4 現在のサイバー攻撃について その2 情報漏えいの脅威 • 端末にマルウェアを感染させる • 端末を乗っ取り、重要情報を探す • 重要情報にアクセスし、情報を搾取する マルウェアで端末を乗っ取り、 情報を搾取します マルウェアを利⽤した情報漏えいは ⾝近に迫っています、または気がつ いていないだけかもしれません、、 5 攻撃者は未知のマルウェアを利⽤します 全てを未然に防げるわけではありません アンチウィルスソフトに よって、判定や検知速度 は異なる 攻撃者は未知のマルウェアを利⽤して攻撃をする 6 コストから投資へ サイバー攻撃を受けた時の具体的な被害 • 重要なファイルが使⽤できなくなる • 「⾝代⾦」を払う事による⾦銭的な被害 • ⼤量の個⼈情報の漏洩 • 情報漏えいによる損害賠償 • 企業のイメージ低下 セキュリティ対策の考え⽅は変わって来ています コスト 投資 7 防御したい領域 ネットワーク ファイアーウォール IPS この領域を防ぎたい アンチウィルス シグネチャー 振る舞い検知 多重防御でも全ては防げない 未知の攻撃 脆弱性を突いた攻撃 攻撃者は最終的にエンドポイント(ユーザ)にたどり着く8 実際にユーザに届く攻撃 ⽇本郵便を装った攻撃 悪意のあるサイトへの誘導 ◯◯◯◯ ◯◯◯◯ 実際に届いたメール 添付ファイルを開くとマルウェアが実⾏ 悪意のあるサイトに誘導し、 IEやFlash Playerの脆弱性をついた攻撃 9 ユーザ依存の現状 攻撃はユーザ⾃⾝が防ぐ ユーザに届いた攻撃は、ユーザ⾃⾝で検知し、防いでるのが現状です しかし、業務で使⽤しているものと識別出来ない内容に変化してきており ユーザ⾃⾝の判断で防ぐのが困難になっています 問題が発⽣した際に、「操作した者」を責 めるわけには⾏きません 10 現状を打破する決め⼿は! 多層のセキュリティ対策を超えて、「未知・脆弱性をついた攻撃」が届い ているのが現実です。 事後の調査で「攻撃されていた」ことがわかっても、意味がありません。 このような現状を打破する⽅法があります 「未知の攻撃」「脆弱性をついた攻撃」を Trapsが検知し、防ぎます Traps™ Advanced Endpoint Protection 11 エンドポイントを狙った⼆種類の主な攻撃 マルウェア (悪意のあるファイル) 実⾏形式のファイル(.exe) 攻撃⽤のプログラム 独⽴して動き、端末を乗っ取る事 を⽬的とする 種類、⾏動パターンが豊富 エクスプロイト (脆弱性を突く攻撃) 細⼯されたデータファイルであり、 脆弱性をついた攻撃を⾏う 脆弱性を利⽤して、悪意のあるプ ログラムを実⾏する マルウェアの侵⼊を⼿助けする 12 Trapsで防ぐ 13 Trapsで実現できる事 ①既知、未知のマルウェアの起動制御 ②エクスプロイト攻撃の阻⽌ Traps™ Advanced Endpoint Protection 14 Trapsで実現できる事 ①既知、未知のマルウェアの起動制御 実⾏ファイルの起動時にTrapsは瞬時に起動可否の制御 を⾏います ・起動しても良いファイル ・起動してはいけないファイル ファイルの判定にはWildFireを利⽤します WildFire 15 WildFireとは 16 脅威クラウド WildFire™サービス 世界最⼤規模のマルウェア分析クラウドサービス ・世界中から収集した未知のファイルを仮想サンドボックス環境で分析 ・クラウドを利⽤しているため最新脅威への即時対応や機能拡張が容易 TM WildFire 【WildFire 利⽤実績】 全世界で10,000社 40,000台以上が利⽤ 【検査されるファイル数】 1⽇当たり 約300万/⽇ 【発⾒されるマルウェア】 1⽇当たり 約4万/⽇ 17 WildFireを利⽤した起動制御 WildFire 実⾏ファイルを起動 未知のファイルをアップロードして調査 未知 良性 悪性 ハッシュ判定 悪性判定は起動阻⽌ 判定結果で実⾏ファイルの起動可否を判定 18 WildFireの性能について 19 WildFire マルウェアの検知率 ~ 第三者機関による検証 新たに確認されたマルウェア検体約20,000件の検知率検証 件数 マルウェア検体 20,000件 WildFire 13,000件 アドウェア、破損ファイル なども含む 30⽇後≒WildFire検知件数 アンチウィルス 6,000件 1⽇⽬ 5⽇⽬ 30⽇⽬ 検査⽇ 20 WildFireまとめ ①クラウドの情報でマルウェアを判定 実⾏ファイルのHashからマルウェアを判定 ②未知の実⾏ファイルはWildFire上で調査 未知のファイルをアップロードし、厳密な調査を実施 ③アンチウィルスを上回る検知率 検知速度、精度共にアンチウィルスを凌駕する検知率 21 Trapsで実現できる事 ②エクスプロイト攻撃の阻⽌ 脆弱性をつく攻撃は、複数の既知のテクニックを利⽤す る事で、⽬的を達成します Trapsでは、そのテクニックの連鎖を断つ事で、 攻撃を阻⽌します Traps™ Advanced Endpoint Protection 22 エクスプロイト防御 エクスプロイト攻撃 DEPの回避 悪意のあるコードが書か れたPDFを開く ヒープ スプレー PDFの起動 悪意のある 活動を開始 OSの機能を利⽤ 脆弱性 複数のテクニックを利⽤して攻撃 23 エクスプロイト防御 エクスプロイト攻撃を阻⽌ Trapsが罠を張り、 攻撃開始前に⽌める 悪意のある活動は 起こらない ヒープ スプレー Trapsの コアテクニック PDFの起動 ⼀つの攻撃を防ぐ事で次の攻撃に移れない 24 エクスプロイト防御 既知のテクニックを使う、未知のエクスプロイト IEの脆弱性 ヒープ スプレー DEPの回避 Adobe Reader の脆弱性 ヒープ スプレー DEPの回避 OS機能の利⽤ JiT スプレー OS機能の利⽤ Adobe Flash の脆弱性 ROP ROP / OS機能の利⽤ DLL Security 攻撃の連鎖のひとつを阻⽌できれば、 攻撃全体を⽌めることができる 25 本⽇のまとめ ユーザまで届いてしまう未知の攻撃は Trapsが検知して防御実現します ①既知、未知のマルウェアの起動制御 マルウェアはWildFire判定で、起動を阻⽌ ②エクスプロイト攻撃の阻⽌ エクスプロイトは、連鎖を断つ事で攻撃の阻⽌ 26 実績・ノウハウを活かしたサポート 弊社インテリジェント ウェイブは、国内における複数企業 様への導⼊実績、ならびに運⽤実績のノウハウを活かした サポートをご提供します。 27 ご清聴ありがとうございました。 アンケートにご協⼒ください。 本資料の内容につきましては、下記あて先までお問い合わせください。 株式会社インテリジェントウェイブ セキュリティソリューション本部 http://www.iwi.co.jp 〒104-0033 東京都中央区新川1-21-2 茅場町タワー ℡ 03-6222-7300 FAX 03-6222-7301 製品の詳細についてはこちら http://iwi-security.jp/ 問合せの際に、本講演ナンバー「25C」を ご記⼊いただくとスムーズです。 ※ 本書の全部、⼜は⼀部の無断転載を禁じます。 28
© Copyright 2024 ExpyDoc
