Palo Alto Networks Tech Summit オブジェクションハンドリング 製品が使い辛いと言われたときのアプローチ Dec 2015 1 | © 2 015, Palo Alto Networks. Confidential and Proprietary. Objection Handling = 反論対応 日本語で言うと想定質問集 なぜ?今この話が必要か? お客様がやりたいことを実現できないという声が・・・・ 本日のセッションは、弊社製品をお客様に提案する際に、お客 様の疑問を払拭してもらうための皆様に「共有」をテーマに講 演します。 2 | © 2 015, Palo Alto Networks. Confidential and Proprietary. Agenda § お客様・セキュリティ業界の現状を共有 § プラットフォーム戦略、はなぜ重要か?を共有 § どうやって使う?パロアルトネットワークス製品の 使い方を共有 お客様の現状 - セキュリティ = 経営課題 • クラウド、ビッグデータ、SDN、SaaS、IoT ≠ 経営課題 • セキュリティがなぜ重要なのか? ü ü ü ü ü 企業が持つ重要な知的財産を守るもの 事件が事業継続性に直結 サイバーセキュリティ基本法 全面施行 重要インフラ事業者への監督官庁からの通達 経営者レベルの判断が必要 • お客様はセキュリティに対して何をはじめたのか? ü ü ü ü ü セキュリティ投資に従来の倍以上の予算を確保 セキュリティの組織(CSIRT)を新設 社内プロセスの整備、人材の育成 脅威情報を同じ業界内で共有 脅威情報を独自に収集 | © 2015, Palo Alto Networks. Confidential and Proprietary. お客様の現状 - 情報共有の仕組みを確立 金融機関130社(10月31日時点)が正会員として加盟している金融ISACでの情報交換が活発化 各種WGが活動しており、この中で攻撃に関する情報、インシデント対応マニュアルの整備などが 閉じられた世界での連携が加速しています。 コンピュータセキュリティにかかるインシデントに対処するための組織、103チーム(11月2日時点) が加盟。インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手 順の策定などの活動をします。 IPAを情報ハブ(集約点)の役割として、参加組織間で情報共有を行い、高度なサイバー攻撃対 策につなげて行く取り組み。6のSIG、61組織が参加(10月23日時点) 5 | © 2 015, Palo Alto Networks. Confidential and Proprietary. 脅威情報はお客様が自ら収集する時代に 公開情報では得られない、最新の脅威情報をお客様がリアルタイムで把握し セキュリティ対策を検討する時代に Q: 過去一年間で、セキュリティ関連インシデントのために合計何時間のダウンタイム (n=235) (サービス / アプリケーション / ネットワークが利用できなくなる状態)が発生しましたか。 日本企業のみ (時間) 14 12.4 12 10 8 14 14 12 12 10.1 10 (導入効果) 7時間の差 8 8.1 8 6 6 4 4 2 2 2 0 0 0 6 4 5.4 あり なし 脅威情報サブスクリプションサービス あり 11.4 10 6.9 なし SIEM (ログ相関分析システム) あり インシデント対応プロセス 「脅威情報サブスクリプション」を有効に活用することによって、 ダウンタイムを大幅に減らすことができる 出展元:プライスウォーターハウスクーパース、「グローバル情報セキュリティ調査®2016(日本版)」 http://www.pwc.com/jp/ja/advisory/press-room/press-release/2015/information-security-survey151107.html 6 | © 2 015, Palo Alto Networks. Confidential and Proprietary. なし 6 セキュリティ業界も情報共有を開始 CYBER THREAT ALLIANCE 加盟メンバー間で、24時間以内に発見した未知の マルウェアサンプル1000個をお互いに交換! 7 | © 2 015, Palo Alto Networks. 脅威の現状 - WildFire 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% PE PE64 RTF Flash APK DLL DLL64 Java Java XLS XLSX PPT PPTX DOC DOCX PDF Class JAR Benign Samples Malicious Samples 49%のPE:Portable Executableはマルウェア (WildFireによるデータ) 8 | © 2014, Palo Alto Networks. C onfidential and Proprietary. 脅威の現状 - 未知マルウェアの侵入経路トップ10 pop3 2.895% imap .256% web browsing 18.201% ftp 0.129% SMTP 78.291% http-proxy 0.9% flash 0.036% webdav 0.017% soap 0.014% yunpan 0.014% 脅威の現状 – 最近の脅威 マクロが含まれたOfficeドキュメントで配信されることが多いDridexとUpatre/Dyreが、全 マルウェア・アクティビティの10%を占めている DRIDEX DridexはGameOver Zeusマルウェア・ファミリーに由来するバンキ ング用トロイの木馬。 その機能はCridexなどの有名なGameOver Zeusバリアントに非常に似ており、金融機関へのログインを模倣 する構成で、オンライン・バンキング用のクレデンシャルを標的にし ている。 UPATRE/ DYRE Upatreは通常、マクロベースのマルウェアが含まれたOfficeドキュ メントで配信されるマルウェア・ダウンローダー名で、GameOver Zeusやそのバリアントと類似のバンキング用トロイの木馬である Dyre(Dyreza)を検索する。 さらにUpatreはMicrosoft Outlookの 電子メール・クライアントを活用して、さらなる被害者宛てに自分自 身を送信し、インターネットでワームを効果的に拡散する。 10 | © 2014, Palo Alto Networks. C onfidential and Proprietary. 今、お客様が必要としているアプローチは? 予防(防御) 自動化 脅威情報の共有 | © 2015, Palo Alto Networks. Confidential and Proprietary. 11 | © 2 015, Palo Alto Networks. Confidential and Proprietary. 多層化 パロアルトネットワークスの戦略 脅威 インテリジェンス クラウド 次世代ファイアウォール 脅威インテリジェンスクラウド § 全てのアプリケーションを可視化し安全に利用 § 次世代ファイアウォールとアドバンストエンドポイントか ら潜在的な脅威の情報を収集 § ネットワークベースで既知の脅威を全てブロック § 収集された脅威の情報を統合的かつ相関的に分析 § 未知の脅威は次世代セキュリティクラウドに送信 AUTOMATED § 新しい脅威の情報を次世代ファイアウォールと アドバンストエンドポイントへフィードバック NATIVELY INTEGRATED EXTENSIBLE アドバンストエンドポイント § すべてのプロセスとファイルを検査 次世代 ファイアウォール § 既知と未知のエクスプロイトから防御 § デスクトップ/ 仮想化/ モバイル端末に対応 § 軽量なエージェントが最小リソースで稼働 アドバンスト エンドポイント プロテクション セキュリティプラットフォーム戦略とは? 脅威情報の共有 WildFire TM 未知の脅威対策 サイバー脅威情報 AUTOMATED 既知の脅威情報、 シグネチャ情報を蓄積 脅威防御 Traps - エクスプロイト防御 PAN-DB Traps - マルウェア防御 NATIVELY INTEGRATED EXTENSIBLE GlobalProtect サイバー攻撃ライフサイクル前提の対策が必要 攻撃ライフサイクル 偵察 武器化および配信 脆弱性攻撃 C&C 通信 インストール Unauthorized Access ターゲットで のアクション Unauthorized Use ①偵察 ④インストール 攻撃者は、様々な方法を駆使し、ネットワークをスキャ ンして、悪用できる脆弱性、サービス、アプリケーション を探します。 攻撃者は外部からマルウェアをダウンロードし、インス トールします。 ②武器化および配信 対象を攻撃するための攻撃手法を決めます。 攻撃者は感染させデバイスと外部の特定サーバーへの C&C通信を確立させ、データをやりとりします。 ③脆弱性攻撃 ⑥ターゲットでのアクション 脆弱性を攻撃し、マシンを制御できる状態にします。 攻撃者は、データの漏洩、重要インフラの破壊、金銭の 請求など目的を実行します。 ⑤C&C通信 攻撃の全てのステージに多層的な機能で対応 マルウェア(ドロッパー) を含む標的型メール マルウェア本体 (バックドア)のダウンロード App-‐ID (アプリ可視化) 未知プロトコルや 非標準ポートでの HTTPをブロック URL フィルタ 脆弱性防御 マルウェアサイトへ の通信をブロック ファイル ブロッキング WildFire (サンドボックス) 既知マルウェア をブロック 既知のマルウェア をブロック メール添付のEXE ファイルを ブロック Drive-by- downloadを ブロック 未知マルウェア を検知・ブロック 未知マルウェア を検知・ブロック Botnet検知 レポート Traps データ持ち出し 外部向けに 通信可能なアプリ を制限 C&Cサイトへの 通信をブロック 既知エクスプロイト をブロック アンチ スパイウェア アンチウィルス (本体/DNS通信) C&C通信 既知の スパイウェア通信 をブロック 既知の スパイウェア通信 をブロック マルウェアが行う DNS通信をブロック マルウェアが行う DNS通信をブロック 特定種別の ファイルの持ち出し をブロック 通信振る舞いから 潜伏端末を発見 未知マルウェア &エクスプロイト をブロック 未知マルウェア をブロック 利用可能なアプリケーションの制限 社内で利用可能なアプリケーションを制御することで、侵入のリスクを低減 入口対策 出口対策 ユーザが利用可能なアプリケーションをブラックリスト、もしくはホワイトリスト方式に より制御を実施。既存のURLフィルタリングのポリシーを元に制御するのが簡単 ルールが存在しない場合には、可視化による現状把握 > ポリシー検討 > 制御のサ イクルを定期的にまわすことからはじめる。 16 | © 2014, Palo Alto Networks. C onfidential and Proprietary. 利用例: Office 365 をセキュアに利用 Microsoft Office 365 の以下のアプリケーションを制御可能 § § § § Exchange Sharepoint (Skydrive Pro) Lync, Skype Office-on-Demand アプリケーショングループ、カスタムURL カテゴリーを組み合わせて使用 Office 3 65 apps (Groups): ms-‐exchange ms-‐lync-‐online ms-‐office365 msrpc rpc-‐over-‐http sip skydrive-‐base skydrive-‐uploading stun 17 | © 2012, Palo Alto Networks. C onfidential and Proprietary. Custom ULR Category: (詳細は下記のMSのサイトを確認) *.microsoftonline-‐p.com *.live.com *.microsoftonline.com *.microsoftonlinesupport.net *.outlook.com *.microsoftonlineimages.com *.microsoftonline-‐p.net *.msecnd.net *.online.lync.com *.onmicrosoft.com *.infra.lync.com *.lync.com *.sharepoint.com *.sharepointonline.com *.office365.com osub.microsoft.com *.office.com *.office.net https://support.offi ce. com/ja -‐j p/article /Offi ce -‐36 5-‐% E 3%81%AE -‐U RL-‐% E3% 81%A8 -‐IP -‐ %E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%8 1%AE%E7%AF%84%E 5%9 B%B2 -‐8 548a21 1-‐3fe 7-‐47cb-‐ abb1-‐355ea5aa88a2?ui=ja-‐J P &rs =ja-‐J P &a d=JP 外部から侵入するファイルを制御 社外から持ち込むことが可能なファイルタイプを制御し、侵入のリスクを低減 TM WildFire 入口対策 許可したファイルタイプ以外は全て遮断ルールを適用する ことで、外部からの侵入リスクを低減。また、許可したフ ァイルタイプは、Wildfire にて分析を実施し未知のマルウェア を特定 ファイルブロッキング機能は、ファイルの拡張子ではなく、ファイ ルヘッダでファイルを識別 18 | © 2014, Palo Alto Networks. C onfidential and Proprietary. IPS / AntiVirus 機能の利用 外部からの不正通信をIPS機能で遮断,既知マルウェアをAntiVirus 機能で遮断 入口対策 IPSの利用: u クライアント、サーバーサイドの既知の脆弱性攻撃を防御 u エクスプロイトキット(クライアントサイドの脆弱性)からの防御 Rig, Sakura, RedKit, Fiesta, Phoenix, Nuclear, Dotka Chef, Gong Da / GonDad 7685 のシグネチャ(2015/11/1 現在) シグネチャの配信は定期(週1)と緊急の2種類 AntiVirus 利用: 自社リサーチ部門、外部情報、WildFireを情報ソースとし、既知の脅威を防御 シグネチャの配信は1日1回実施 19 | © 2014, Palo Alto Networks. C onfidential and Proprietary. 国別のアクセス制御 国外からの接続、また、社内から国外への接続を国別に制御可能 入口対策 出口対策 ・DOS/DDOS攻撃発生時に送信元に国単位でアクセスを制御することが可能 ・カスタムポリシーを併用することで、国単位で接続数を制御することが可能 ・社内から外部の通信の接続先を国単位で可視化、制御可能 20 | © 2014, Palo Alto Networks. C onfidential and Proprietary. Dynamic Block List 外部のブロックリストを使用することで、不正なIPアドレスからの通信を遮断 https://www.openbl.org/ https://panwdbl.appspot.com/ 入口対策 出口対策 不正なIPアドレスのリストを定期的に自動的にダウンロードし、対象の宛先へ の通信を遮断するルールを適用 外部公開サーバーの場合には送信元に指定し、遮断するルールを適用 注意事項: Dynamic block list に登録できる数に制限があるために、OpenBLの場合には 7days が最適 21 | © 2014, Palo Alto Networks. C onfidential and Proprietary. Unknown 通信の検知・防御 意図しない不正な通信の検知・遮断 出口対策 お客様環境から外部への通信の中で、既存のアプリケーション では識別できない通信(unknown-tcp / unknown-udp)を調査し、 業務通信ではない場合、防御ポリシーを適用 ポート詐称など不正な通信を捕捉することが可能 22 | © 2014, Palo Alto Networks. C onfidential and Proprietary. AntiSpyware 機能の利用 外部のC&C サーバへの接続を遮断 出口対策 C&Cサーバへの接続する通信を検知し、遮断。 コマンド&コントロール(C&C)通信とその前に行われる名前解決のトラフィックを 検知/ブロックするための機能 ・HTTP等の実トラフィック用シグネチャ ・DNSトラフィック用シグネチャ WildFire サブスクリプションをご契約のお客様は15分間隔で”DNSトラフィック用 シグネチャ“を適用することが可能。 HTTP等の実トラフィックシグネチャは週1回配信。(緊急配信あり) 23 | © 2014, Palo Alto Networks. C onfidential and Proprietary. URL Filtering 外部の危険なWebサイトへの接続を遮断し、侵入のリスクを減らす 入口対策 出口対策 以下のURL カテゴリへの接続は遮断し、その他のカテゴリはAlert ログを取得。 Malware / Phishing / dynamic DNS / Proxy-avoidance / Questionable /Parked Weapon / abused-drugs 上記のカテゴリの遮断が難しい場合は、ファイルブロッキングプロファイルと併 用し、該当カテゴリからの”PE”ファイルのダウンロードを遮断することを推奨。 ※PAN-‐DBのマルウェアカテゴリには、Palo Alto Networks社独自のもの以外に、 FBI/Infragard/DHS、US CERT、フィシング対策協議会などの第3者からの脅威情 報も登録されています。 24 | © 2014, Palo Alto Networks. C onfidential and Proprietary. 参考: フィッシング対策協議会とPAN-DBが連携 2015年7月からフィシング対策協議会が収集したPhishing サイト情報をPAN-DBに取り 込む連携を開始 www.phishing-bank.XXX www.phishing-bank.XXX www.phishing-bank.XXX フィッシングサイト情報提供 フィッシングサイト情報収集・分析 PAN-‐DB開発部門 偽サイト URL登録 Phishingサイト 問い合わせ 25 | © 2013, Palo Alto Networks. C onfidential and Proprietary. PAN-‐DB phishingカテゴリに追加 SSL 復号化 + URL Filtering 悪意のあるサイトは遮断、それ以外はSSL復号によりDeep Scanを実施 出口対策 URL Filtering をさらに強化する場合には、以下のカテゴリに属する通信を SSL復号し、内部の通信を検査することを推奨。これにより、アプリケーション の細かい制御やSSL通信内部での既知・未知のマルウェア通信への対策を 実施できます。 SSL 復号を検討するURLカテゴリ Online Storage and Backup / Peer-to-Peer / Social Networking /Web- base Email / Unknown / Computer and Internet Info SSL 復号の対象から外すカテゴリ Financial Services / Government / Health & Medicine / Legal / Military 26 | © 2014, Palo Alto Networks. C onfidential and Proprietary. 利用例:Proxy の組み合わせによるSSL 復号 Network Security対策 SSLサーバ ・Firewall によるアプリ識識別・制御 ・脆弱性防御 ・既知・未知のマルウェア対策 Mail Security 対策 ・Proxy ・Google Apps 対策 Google Apps 向けの通信を 復復号、Tagを挿⼊入することで 社内から通信のみを許可 SSL⾮非復復号 Gmail-‐‑‒baseと識識別 SSL確⽴立立 復復号 SSL確⽴立立 復復号 以下のカテゴリに該当する通信を復復号対象し、詳細なアプリ識識別、 既知・未知のマルウェア対策による悪意のある通信を検知、防御 Malware / Phishing Online Storage and Backup / Peer to Peer Proxy Avoidance and Anonymizers / Questionable Social Networking Unknown 5 | ©2015, Palo Alto Networks. Confidential and Proprietary. Botnet Report 感染端末を特定 既に侵入されている端末を検出 C&C通信 C&Cサーバ 感染端末 (Zombie) 命令 攻撃者 (Heeder) 毎日レポートを生成 出口対策 Threat、URL Filtering、Data Filteringのログや、通信の頻度などから、感染端 末が行う通信をモニタリングすることで内部に潜む感染端末を炙り出す。 28 | © 2014, Palo Alto Networks. C onfidential and Proprietary. 未知のマルウェア対策 シグネチャ生成 TM マルウェア分析 WildFire シグネチャの共有 AV/URL/AS 未知のファイルを捕捉 入口対策 悪意のある未知のファイル侵入を検知・防御 Firewall を通過する未知のファイルをクラウドリソースを利用して、5〜10分で分析を 実施。結果をデバイスにログとしてフィードバックし、マルウェア判定の場合には自動 的にシグネチャを生成し、世界中のパロアルトネットワークスのFirewallに配信。 使用例: ・最新のシグネチャを15分間隔で適用+手動によるファイル分析(アップロードは無し) 社内の不明なファイルはWildFire Portal から手動アップロード ・実行形式ファイルに絞った分析利用(業務に関係するファイルは除外) ・すべてのファイルを分析 29 | © 2014, Palo Alto Networks. C onfidential and Proprietary. 利用例:未知のマルウェア分析方法のご紹介 WildFire 上で検知したイベントは以下の3つの方法で分析可能。Auto Focus は有償 サービスのために別途ライセンスが必要。 デバイス上のログ分析 WildFire Portal 利用 他のログと同様にデバイス上に 通知されるWildFire レポートを参 照し、詳細を確認確認可能 WildFire ポータルサイトにログイ ンし、イベント詳細を確認可能 メリット: ・他のログとの関連性を確認可 デメリット: ・分析状況の確認不可 ・デバイス上に保存されているロ グのみ確認可 30 | © 2013, Palo Alto Networks. C onfidential and Proprietary. メリット: ・リアルタイムで分析状況を確認可 ・手動アップロードによるファイル 分析が可能 ・無償で利用可能 デメリット: ・他のログとの関連性を確認不可 ・ログの表示上限が2000件 ・レポート機能なし Auto Focus サービス利用 Auto Focus ポータルサイトにログイ ンし、WildFire に蓄積された脅威情 報含めて確認可能 メリット: ・過去のイベント分析結果を確認可 ・主要マルウェアの関連性を確認可 ・充実した検索機能 ・同じ業界のマルウェア検知動向を 確認可 デメリット: ・有償 ・3時間のギャップ Traps PDF PDF PDF Zero Day 脆弱性 WildFire PDF ESM Server(s) 内部対策 既存のウイルス対策ソフトでは対応できない以下の未知の攻撃を検知・防御。 ・エクスプロイト (Zero Day 含む脆弱性を突く攻撃) ・マルウェア防御(WildFire 連携) ・実行ファイルの起動制御 Traps 製品のカバーエリア 脆弱性の悪用 ゼロデイも含む、脆 弱性を突く 攻撃の阻止 悪意のある ファイルの実行 感染 (マルウェアの活動開始) 既知のマルウェア、 マルウェアが行う、 未知の実行ファイルの いくつかの危険な振舞いを、 検知し起動している未知の 起動を阻止 マルウェアを 強制終了 31 | © 2014, Palo Alto Networks. C onfidential and Proprietary. 駆除・復旧 対策(パッチ適 用) サイバー攻撃ライフサイクルすべてに対応 入口対策 出口対策 通信ログの管理 内部対策 マルウェア通信の 捕捉・遮断 ネットワーク セグメンテーション アプリ単位で通信の可視化 Firewall(アプリ識別・制御) IPS/IDS 国別アクセス制御 既知・未知マルウェア の捕捉・遮断 SSL通信復号化 ボットネットレポ ート SPAM対策 データセンター Internet DDOS ( Load Balancer) エンドポイント 対策 ポリシー 通信ログ管理 端末上での未知 のマルウェア対策 IDやパスワードの 厳格な管理 起動プロセスの 制限 と特定コマンドの実 行制限 WildFire Proxy ログ管理 SPAM対策 WAF 経営陣 情報システム部門 CSIRT 社内ネットワーク 脅威情報の分析 DMZ Network TM サンドボックス機能 まとめ セキュリティはお客様の経営課題 お客様はセキュリティを経営課題として位置づけ、今まで倍以上の予算を確保。 また、業界内部での情報共有によりお客様のセキュリティ知識が向上している。 セキュリティ対策のポイントは、防御・多層化・自動化 従来のように単体製品の提案をお客様が求めておらず、お客様の課題を網羅した提案が重要 プラットフォーム戦略の重要性 防御・多層化・自動化、脅威情報の共有をシンプルに具現化するためにはプラットフォーム戦略の 重要性を理解するような説明 多層防御を前提とした提案 複数の製品を組み合わせた多層防御も重要だが、コスト・人材の観点からもシンプルな 多層防御が最適 どのように防御するかを案内 各機能を説明するだけではお客様はどのように使うかが分からない。お客様の課題をどのように 使うことでセキュリティを向上できるのかを積極的に共有することが重要 33 | © 2014, Palo Alto Networks. C onfidential and Proprietary.
© Copyright 2024 ExpyDoc
