Trapsの最新機能と顧客事例 Traps 次世代エンドポイントセキュリティ 競合他社との比較と、売り方 本日の内容 • 現在のエンドポイントセキュリティの課題 • 次世代エンドポイントセキュリティ製品の位置づけ • Trapsのこれから 3 | © 2016, Palo Alto Networks. Confidential and Proprietary. Trapsの最新機能と顧客事例 2016/05/17 昨年話題になったサイバー攻撃 • 日本年金機構の標的型攻撃(Emdivi) • 増加するランサムウェア被害 – TeslaCrypt、Lockey、他 4 | © 2016, Palo Alto Networks. Confidential and Proprietary. Trapsの最新機能と顧客事例 2016/05/17 今現在のウイルス対策製品の課題 ハニーポット サンプル共有の仕組み サンプルの 提供、収集 サンプルの 解析 マルウェアの 検知・駆除 パターンの 作成 配信 コンシューマ、 エンタープライズのユーザ 課題1: 攻撃の数 課題2: 攻撃情報の収集 パターンマッチングでは、未知のマルウェアや、 未知のエクスプロイトを使った攻撃は止められない 5 | © 2016, Palo Alto Networks. Confidential and Proprietary. Trapsの最新機能と顧客事例 2016/05/17 一般的なエンドポイントセキュリティ製品の機能 これだけの機能を載せているのに感染は止まらない! ディスク上 ネットワークレベル クライアントファイアウォール シグネチャマッチング クライアント IPS ファイルレピュテーション メールスキャン (SMTP/POP3/IMAP/MAPI他) ヒューリスティックスキャン マルウェア起動後 振舞い検出 Webレピュテーション (URLフィルタリング) 6 Trapsの最新機能と顧客事例 2016/05/17 ドライブ・バイ・ダウンロード攻撃の例 7 | © 2016, Palo Alto Networks. Confidential and Proprietary. Trapsの最新機能と顧客事例 2016/05/17 一般的なエンドポイントセキュリティ製品での防御 Webレピュテーション (URLフィルタリング) クライアント IPS (アウトバウンド通信) リモートへのリクエストの検出するには、URL、Scheme、Domain、Path、File Nameなどの、 限られていて、容易に変更が可能なものをキャッチする他ない 8 | © 2016, Palo Alto Networks. Confidential and Proprietary. Trapsの最新機能と顧客事例 2016/05/17 一般的なエンドポイントセキュリティ製品での防御 クライアント IPS • リプライ・ファイル検出には コンテンツのスキャンを行う 検出されないための努力をする • 攻撃者たちは 例)暗号化、パッカー、ポリモーフィック、モジュール化構造、標準ツール・プロトコルの使用など シグネチャマッチング ヒューリスティックスキャン ファイルレピュテーション 9 | © 2016, Palo Alto Networks. Confidential and Proprietary. Trapsの最新機能と顧客事例 2016/05/17 一般的なエンドポイントセキュリティ製品での防御 Web レピュテーション クライアント IPS • C&Cの通信は、容易に変更が可能 • マルウェアの振舞いも、検知されないよう努力する • マルウェアに感染していることに変わりがない 振舞い検出 10 | © 2016, Palo Alto Networks. Confidential and Proprietary. Trapsの最新機能と顧客事例 2016/05/17 未知の攻撃に対して、対応を考えなければいけない 悪意のある実行ファイル 未知 脆弱性を突く攻撃 既知 次世代型のエンドポイントセキュリティ製品で対策! 従来のパターンマッチング型 ウイルス対策 クライアントIPSで対策 11 | © 2016, Palo Alto Networks Trapsの最新機能と顧客事例 2016/05/17 大きく2つのタイプに、分かれる次世代エンドポイント製品 情報収集 エクスプロイト の悪用 マルウェアの ダウンロードと 実行 感染予防のための 攻撃阻止 12 | © 2016, Palo Alto Networks. Confidential and Proprietary. Trapsの最新機能と顧客事例 制御チャネルの 確立 データの奪取 動作を監視することで 検知とレスポンス 2016/05/17 検知とレスポンスでは、被害をおさえることはできない! • 阻止 • • 特定の行為、事象の発生を阻止(停止)させる 通知を行うことで、阻止した事象の調査を促す • 発生した脅威は、阻止されているため、その事象への緊急対応は不要 • 検知とレスポンス • • 特定の行為、事象が発生していることを見つける 通知を行うことで、発生している事象への対処を促す • 発生した脅威は、現在進行形であり、緊急対応をする必要がある • 収束までの時間は、企業・組織のインシデントレスポンス運用に依存 阻止ができるエンドポイントセキュリティこそが必要 13 | © 2016, Palo Alto Networks. Confidential and Proprietary. Trapsの最新機能と顧客事例 2016/05/17 阻止するためには? 特定目的のために作られた個々の保護機能を組み合わせ、総合的に守らなければならない • 事故の予防 自動ブレーキシステム ・・・ 操舵回避支援システム ・・・ 横滑り防止装置 ・・・ 止まることで衝突を回避 曲げることで衝突を回避 操舵を制御することで事故を回避 • 乗員の保護 バンパーなど フレーム エアバッグ シートベルト 衝突の衝撃を緩和 キャビンの変形を阻止 ハンドルなどへの衝突時衝撃を緩和 衝突時に乗員が投げ出されるのを防止 ・・・ ・・・ ・・・ ・・・ 組み合わせて、乗員の生命を守る 14 | © 2016, Palo Alto Networks. Confidential and Proprietary. Trapsの最新機能と顧客事例 2016/05/17 Trapsは、未知のマルウェアの侵入を予防、起動を制御し、感染を阻止 事故の予防 乗員の保護 マルウェア侵入の予防 マルウェア起動の抑止 15 | © 2016, Palo Alto Networks. Confidential and Proprietary. Trapsの最新機能と顧客事例 2016/05/17 Java Unsigned Executable External Media Network Folder Restriction Local Folder Restriction WildFire マルウェア防御 Hash Control UASLR SysExit JIT Mitigation ROP Mitigation DLL Security エクスプロイト防御 エクスプロイトキットを利用した攻撃例 – TeslaCrypt ① 改ざんされたWeb サイトを閲覧 ⑤ マルウェア本体を ダウンロード ③ 脆弱性を突く攻撃を実施 ⑦ 暗号鍵を生成し、 攻撃者のサイトに送付 ② エクスプロイト・キットが 設置されたサイトへ誘導 ⑧ ファイルを暗号化! ⑥ ブラウザが、 子プロセスとして マルウェアを起動 ④ マルウェアの本体が ホストされたサイトに誘導 16 | © 2016, Palo Alto Networks. Confidential and Proprietary. Trapsで、阻止をするためには? 改ざんされたWebサイトを閲覧 ① エクスプロイト防御 ② WildFireとの連携 ③ローカルフォルダの制御 ④コード署名の無い 実行ファイルの制御 マルウェア本体を ダウンロード 非対称暗号鍵を準備し、攻撃者 のサイトに送付 エクスプロイト・キットが 設置されたサイトへ誘導 ファイルの暗号化を実行 悪意のあるサイトから、 TeslaCryptの本体をダウンロード ⑤子プロセスの制御 17 | © 2016, Palo Alto Networks. Confidential and Proprietary. ブラウザから、このプログラムが 呼び出され、子プロセスとして起動 Trapsは、どこに課題があるのか? 事故の予防 乗員の保護 マルウェア侵入の予防 マルウェア起動の抑止 実運用を考慮すると、こちら側にまだ課題がある 18 | © 2016, Palo Alto Networks. Confidential and Proprietary. Trapsの最新機能と顧客事例 2016/05/17 Java Unsigned Executable External Media Network Folder Restriction Local Folder Restriction WildFire マルウェア防御 Hash Control UASLR SysExit JIT Mitigation ROP Mitigation DLL Security エクスプロイト防御 現在のTraps WildFireを使い、既知のマルウェアの起動を阻止し、未知の実行ファイルを検知! 管理者による 制御ポリシー 19 | © 2016, Palo Alto Networks. Confidential and Proprietary. + Trapsの最新機能と顧客事例 WILDFIRE + 実行制御 2016/05/17 次期バージョンのTraps 既知のマルウェアを阻止し、未知のマルウェアも実行を阻止! 管理者による 制御ポリシー + 信頼できる コード署名 + WILDFIRE + マシンラーニング/ 静的解析 + 実行制御 既知・未知の両方をしっかりとカバー! 既存のウイルス対策製品の置き換えに、一歩近づきます! 20 | © 2016, Palo Alto Networks. Confidential and Proprietary. Trapsの最新機能と顧客事例 2016/05/17
© Copyright 2024 ExpyDoc
