Palo Alto Networks Introduction 金融機関様向け提案のベストプラクティス Nov 2015 1 | © 2015, Palo Alto Networks. Confidential and Proprietary. Agenda 各機能の使い方集 パロアルトネットワークスによる防御方法 サイバー攻撃ライフサイクルに基づいて複数ステップでの防御が可能 攻撃者 エンドユーザー 不正コード 弊社次世代 バックドアの バックドア FW実装機能 を引っかける の実行 ダウンロード の確立 アプリケー ション識別 リスクが高い アプリをブロック (+SSL復号化) URLフィルタ マルウェアサイトへ の通信ブロック 入口対策 出口対策 情報の搾取 標準ポート使わない C&C通信ブロック リスクが高い アプリをブロック DNSを変えるマルウ ェアサイトをブロック マルウェアサイトへ の通信ブロック スパイウェア、C&C 通信をブロック スパイウェア、C&C 通信をブロック エクスプロイトを ブロック スパイ ウェア アンチ ウイルス 脅威防御 IPS Emdiviマルウェア をブロック ファイル制御/ データフィルタ ファイルの送信を コントロール WildFire 未知のEmdiviマ ルウェアを検出 (未知のマルウェ ア対策) Traps(端末) 未知のエクスプロ イトをブロック | ©2015, Palo Alto Networks. Confidential and Proprietary. 未知のマルウェア を検出 内部対策 新しいC&C通信 をブロック 新しいC&C通信 をブロック 入口対策: 利用可能なアプリケーションの制限 社内で利用可能なアプリケーションを制御することで、侵入のリスクを低減 入口対策 ユーザが利用可能なアプリケーションをブラックリスト、もしくはホワイトリスト方式に より制御を実施。既存のURLフィルタリングのポリシーを元に制御するのが簡単 ルールが存在しな場合には、可視化による現状把握 > ポリシー検討 > 制御のサイ クルを定期的にまわすことからはじめる。 出口対策 アプリケーション識別されない、Unknown-tcp, Unknown-udp 通信をモニターし、 通信の中身を確認する。 4 | ©2014, Palo Alto Networks. Confidential and Proprietary. 入口対策:外部から侵入するファイルを制御 社外から持ち込むことが可能なファイルタイプを制御することで、侵入のリスクを低減 TM WildFire 入口対策: 許可したファイルタイプ以外は全て遮断ルールを適用することで、外部から の侵入のリスクを低減します。また、許可したファイルタイプは、未知のマ ルウェア対策のWildfire にて分析を実施 ファイルブロッキング機能は、ファイルの拡張子ではなく、ファイルヘッダでファイル を識別 5 | ©2014, Palo Alto Networks. Confidential and Proprietary. 入口対策: IPS / AntiVirus 機能の利用 外部からの不正な通信をIPS機能で遮断,既知のマルウェアをAntiVirus 機能で遮断 入口対策: IPSの利用: クライアント、サーバーサイドの既知の脆弱性攻撃を防御 エクスプロイトキット(クライアントサイドの脆弱性)からの防御 Rig, Sakura, RedKit, Fiesta, Phoenix, Nuclear, Dotka Chef, Gong Da / GonDad 7685 のシグネチャ(2015/11/1 現在) シグネチャの配信は定期(週1)と緊急の2種類があります。 AntiVirus 利用: 自社リサーチ部門、外部情報、WildFireを情報ソースとし、既知の脅威を防御 シグネチャの配信は1日1回実施します 6 | ©2014, Palo Alto Networks. Confidential and Proprietary. 入口・出口対策:国別のアクセス制御 国外からの接続、また、社内から国外への接続を国別に制御する設定が可能 入口対策: ・DOS/DDOS攻撃発生時に送信元に国単位でアクセスを制御することが可能 ・カスタムポリシーを併用することで、国単位で接続数を制御することが可能 出口対策: ・社内から外部の通信の接続先を国単位で可視化、制御可能 7 | ©2014, Palo Alto Networks. Confidential and Proprietary. 入口・出口対策:Dynamic Block List 外部のブロックリストを使用することで、不正なIPアドレスからの通信を遮断 https://www.openbl.org/ 入口対策: 不正なIPアドレスのリストを定期的に自動的にダウンロードし、対象の宛先への通信を 遮断するルールを適用 出口対策: 外部公開サーバーの場合には送信元に指定し、遮断するルールを適用 注意事項: Dynamic block list に登録できる数に制限があるために、OpenBLの場合には 7days が最適 8 | ©2014, Palo Alto Networks. Confidential and Proprietary. 出口対策: Unknown 通信の検知・防御 意図しない不正な通信の検知・遮断 出口対策: お客様環境から外部への通信の中で、既存のアプリケーションでは識別できない通信 (uknown-tcp / uknown-udp)を調査し、業務通信ではない場合、防御ポリシーを適用 ポート詐称など不正な通信を捕捉することが可能です。 9 | ©2014, Palo Alto Networks. Confidential and Proprietary. 出口対策: AntiSpyware 機能の利用 外部のC&C サーバへの接続を遮断 出口対策: C&Cサーバへの接続する通信を検知し、遮断します。 コマンド&コントロール(C&C)通信とその前に行われる名前解決のトラフィックを検知/ ブロックするための機能 ・HTTP等の実トラフィック用シグネチャ ・DNSトラフィック用シグネチャ WildFire サブスクリプションをご契約のお客様は15分間隔で”DNSトラフィック用シグ ネチャ“を適用することが可能です。 HTTP等の実トラフィックシグネチャは週1回配信されます。(緊急配信あり) 10 | ©2014, Palo Alto Networks. Confidential and Proprietary. 出口対策: URL Filtering 外部の危険なWebサイトへの接続を遮断し、侵入のリスクを減らす 出口対策: 以下のURL カテゴリへの接続は遮断し、その他のカテゴリはAlert ログを取得します。 Malware / Phishing / dynamic DNS / Proxy-avoidance / Questionable /Parked Weapon / abused-drugs 上記のカテゴリの遮断が難しい場合には、ファイルブロッキングプロファイルと併用し、該当カテゴ リからの”PE”ファイルのダウンロードを遮断することを推奨します。 ※PAN-DBのマルウェアカテゴリには、Paloaltonetworks社独自のも以外に、FBI/Infragard/DHS、US CERT、フィシング対策協議会などの第3者からの脅威情報も登録されています。 11 | ©2014, Palo Alto Networks. Confidential and Proprietary. 参考: フィッシング対策協議会とURL Filtering が連携 2015年7月からフィシング対策協議会が収集したPhishing サイト情報をPAN-DBに取り 込む連携を開始 www.phishing-bank.XXX www.phishing-bank.XXX www.phishing-bank.XXX フィッシングサイト情報提供 フィッシングサイト情報収集・分析 PAN-DB開発部門 偽サイト URL登録 Phishingサイト 問い合わせ 12 | ©2013, Palo Alto Networks. Confidential and Proprietary. PAN-DB phishingカテゴリに追加 出口対策: SSL 復号化 + URL Filtering 悪意のあるサイトは遮断し、それ以外のサイトはSSL復号によりDeep Scanを実施 出口対策: URL Filtering をさらに強化する場合には、以下のカテゴリに属する通信をSSL復号し、 内部の通信を検査することを推奨します。これにより、アプリケーションの細かい制御 やSSL通信内部での既知・未知のマルウェア通信への対策を実施できます。 SSL 復号を検討するURLカテゴリ Online Storage and Backup / Peer-to-Peer / Social Networking /Web-base Email / Unknown / Computer and Internet Info SSL 復号の対象から外すカテゴリ Financial Services / Government / Health & Medicine / Legal / Military 13 | ©2014, Palo Alto Networks. Confidential and Proprietary. 利用例:Proxy の組み合わせによるSSL 復号 Network Security対策 SSLサーバ ・Firewall によるアプリ識別・制御 ・脆弱性防御 ・既知・未知のマルウェア対策 Mail Security 対策 ・Proxy ・Google Apps 対策 Google Apps 向けの通信を復号、 Tagを挿入することで社内から通 信のみを許可 SSL非復号 Gmail-baseと識別 SSL確立 復号 SSL確立 復号 以下のカテゴリに該当する通信を復号対象し、詳細なアプリ識別、 既知・未知のマルウェア対策による悪意のある通信を検知、防御 Malware / Phishing Online Storage and Backup / Peer to Peer Proxy Avoidance and Anonymizers / Questionable Social Networking Unknown 5 | ©2015, Palo Alto Networks. Confidential and Proprietary. 未知のマルウェア対策 シグネチャ生成 TM マルウェア分析 WildFire シグネチャの共有 AV/URL/AS 未知のファイルを捕捉 悪意のある未知のファイル侵入を検知・防御 Firewall を通過する未知のファイルをクラウドリソースを利用して、5〜10分で分析を 実施します。結果をデバイスにログとしてフィードバックし、もし、マルウェア判定の場合 には自動的にシグネチャを生成し、世界中のパロアルトネットワークスのFirewallに 配信します。 使用例: ・最新のシグネチャを15分間隔で適用+手動によるファイル分析 ・実行形式ファイルに絞ったクラウドでの検査(業務に関係するファイルは除外) ・すべてのファイルを分析 15 | ©2014, Palo Alto Networks. Confidential and Proprietary. 内部対策:Traps Endpoint Security Manager (ESM) Trapsエージェント PDF PDF PDF PDF WildFire Zero Day 脆弱性 ESM Server(s) 内部脅威対策: 既存のウィルス対策ソフトで対応できない未知のマルウェアが使用する以下の攻撃手 法を検知・防御します。 ・エクスプロイト (Zero Day 含む脆弱性を突く攻撃) ・悪意のある実行ファイル Traps 製品のカバーエリア 脆弱性の悪用 ゼロデイも含む、脆 弱性を突く 攻撃の阻止 悪意のある ファイルの実行 既知のマルウェア、 未知の実行ファイルの 起動を阻止 感染 (マルウェアの活動開始) マルウェアが行う、 いくつかの危険な振舞いを、 検知し起動している未知の マルウェアを 強制終了 16 | ©2014, Palo Alto Networks. Confidential and Proprietary. 駆除・復旧 対策(パッチ適 用) 17 | © 2015, Palo Alto Networks. Confidential and Proprietary.
© Copyright 2024 ExpyDoc
