© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
Windows XPのサポート終了に伴う
リスク低減ソリューションのご提案
サイバネットシステム株式会社
IT事業部
セキュリティソリューション室
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
事業内容
CAE・シミュレーションソフトウェアおよびITソフトウェアの開発・販売,各種セミ
ナーをはじめとするユーザー教育,技術サポートおよび受託解析・コンサルティング
等のエンジニアリングサービスの提供,ならびにインターフェース,モデルおよび解
析モジュール等の開発
名 称:サイバネットシステム株式会社
本 社:東京都千代田区神田練塀町3
支 社:西日本支社 / 中部支社 / 九州オフィス
設 立:1985年4月17日
資本金:¥995,000,000
社員数:522名(連結)357名(単体)
(2012年3月31日現在)
サイバネットシステム会社紹介
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
© 2014 CYBERNET SYSTEMS
CO.,LTD. All Rights Reserved.
3
継続して発見される脆弱性
© 2014 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved. 3 0 5 10 15 1月 2月 3月 4月 5月 6月 7月 8月 セキュリティアップデート数 2013年 Windows XP セキュリティアップデートの推移 OS以外 XP影響なし 重要 緊急 0 5 10 15 1月 2月 3月 4月 5月 6月 7月 8月 セキュリティアップデート数 2013年 Windows Server 2003 セキュリティアップデートの推移 OS以外 2003影響なし 重要 緊急 緊急度の高い アップデートが 発見されていま す。 Windows XP マイクロソフト延長サポート 終了日 2014年4月9日 Windows Server 2003 マイクロソフト延長サポート 終了日 2015年7月14日
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
XPサポート切れに対するお客様の課題
4
最新OS・システムへ移行したいが
既存の業務アプリケーションの移行が間に合わない
業務上重要で今度も稼働継続
Windows7/2008などに対応していない
新しいOS向けの開発検証コスト大
次期システムが見えている
システムの環境によって、様々な脅威が脆弱性を狙う
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
脆弱性に対するシマンテックソリューション
5
マルウェアの検知・駆除
(AntiVirus)
バッファオーバーフローの保護
(IPS)
不必要な通信の制限(FW)
デバイス・
アプリケーションの制限
ホワイトリスト制御・挙動制御
保護レベル
弱
強
Symante
c
Endpoin
t
Protecti
on 12.1
Symante
c Critical
System
Protecti
on 5.2
保護技術
シマンテック ソリューション
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
Symantec Endpoint Protection 12.1
6
アンチウィルスに機能追加
システムロックダウン
マルウェアの検知・駆除
(AntiVirus)
不正侵入防御
(ホストIPS)
クライアント
ファイアウォール
デバイス・
アプリケーションの制限
システムロックダウン
各種実行ファイルのハッシュ値を
ベースとした、ホワイトリスト制御
対象:塩漬けPC, 用途が限られた特殊端末
利点:手軽に最大のセキュリティを提供
注意点:アプリケーション等の追加・パッ
チ適用時にリストの更新が必要
対象:一般的な業務PC
利点:ポリシー変更のみでセキュリティ
強化
注意点:最新OSに比べて対応が後手にな
る場合がある
※ SEP12.1は、XPのサポート終了後も2018年7月5日までサポートを提供いたします。Symantec Endpoint Protectionの”標準機能”による、2通りの保護を提供
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
Symantec Critical System Protection 5.2
© 2014 CYBERNET SYSTEMS
CO.,LTD. All Rights Reserved.
7
保護ポリシー
監視ポリシー
アプリケーションの挙動制御
ファイアウォール
バッファオーバー
フロー保護
デバイス制御
ログファイルの監視
ファイルの監視
レジストリの監視
未知の脅威から強力に保護
不正な改竄や設定ミスを監視
ルールベースのアプリケーションの挙動制御と、ログやファイル操作の監視によって、
様々な”サーバーを要塞化”し、未知の脅威から強力に保護
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
保護する仕組みの選択
© 2014 CYBERNET SYSTEMS
CO.,LTD. All Rights Reserved.
8
一般的な業務端末
用途が限られた
特殊端末
業務サーバー
公開サーバー
サーバー
クライアント
先進のエンドポイント保護
Symantec Endpoint
Protection 12.1
サーバー要塞化
Symantec Critical
System Protection
性能の低い端末
保護対象の仕様、役割、リスクに応じて、最適なソリューションをご検討ください。
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
リアルタイムに監視、
アラート
vSphere環境の保護
ゼロデイ攻撃、標的型
攻撃からの保護
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
最小特権をアプリケーションに付与し制御
ファイル レジストリ ネットワーク デバイスファイルシステム、
設定情報
アクセス制御
設定、リソースを制御
アプリケーションプログラム
メモリポート、デバイスの
使用
ユーザーの権限レベル
で、実行可能なアプリ
ケーションの操作などを
制御
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
信頼済みユーザーやアプリケーショ
ンのみ、重要なデータの変更を許可
ポリシーで認められていな
いユーザーによるアクセス
を遮断
ポリシーで認められたユーザーはア
プリケーションの実行や変更が可
能。
ユーザーやプロセスごとに、
アクセス可能なリソースの制
限についてポリシーを定義
1
2
3
4
最小特権の付与による運用例
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
“設定された操作のみ”を許可することで攻撃から保護
ショートカットファイルファイル(.lnk)の脆弱
性を利用したバッファオーバーフロー攻撃
USBドライブやプリントスプーラーの脆弱性、
ファイル共有を悪用し感染
SCSPはStuxnetと同様のバッファオーバーフロー
攻撃から保護
最小限の特権のみをアプリケーションに付与することに より、悪意のある動作を封じ込め(システムリソースへ のアクセスを制限)。Poison Ivy Trojan
Emailを使用し感染し、遠隔操作により情報を盗む
などの動作を行う
SCSPはPoison Ivyの実行を封じ込め
最小限の特権のみをアプリケーションに付与する
ことにより、インジェクション攻撃や、
レジスト
リの改変などの行為を禁止
。
IE Remote Code Execution Vulnerability
IEの脆弱性を利用した攻撃を行い、バックドアを
開き、リモートからマシンにアクセス
SCSPはネットワークのインバウンドとアウトバウンド のアクセスを遮断 最小限の特権のみをアプリケーションに付与することによ り、権限のないユーザーによるアプリのインストールを禁 止。ファイアウォールにより、C&Cとの通信を遮断。Windowsカーネルモードドライバの脆弱性
悪意のあるWebサイトやドキュメントを開くこと
により、リモートでコードを実行
SCSPはシェルコードの実行を遮断
最小限の特権のみをアプリケーションに付与する
ことにより、シェルの実行や
ショートカットの作
成
、
ファイルの複製などを遮断
。
攻撃手法が既知であるか、未知であるかに関わらず、アプリケーションに対して最小限の
特権を与えることで、SCSPはアプリケーションやプロセスを制御し、サーバーを保護
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
監視 / IDSのみ
IPSのTargeted
ポリシーで運用
学習モード
(ログ出力のみ)
IPSポリシーにより
保護
フェーズ1
フェーズ2
フェーズ3
フェーズ
時間軸
• IDSポリシーを適用し、
サーバーを監視
• ファイルインテグリ
ティモニター(FIM)によ
り、リアルタイム監視
フェーズ4
• IPSのTargetedポリ
シーを使用し、特定の
アプリケーションやプ
ロセスのみを制御
• 誤検知、誤停止のリス
クなく、Targetedポリ
シーによるIPSを運用
• IPSによるサーバー保護
ポリシーを適用し、ロ
グ出力のみの学習モー
ドで運用
• サーバーのイベントを
精査し、IPSポリシーを
カスタマイズ
• 特定のサービス、アプ
リケーションを制御す
るポリシーを作成
• IPSポリシーにより、
サーバーを保護
• 運用しながら、ポリ
シーを再調整
CSP 導入・標準化のステップの例
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
VMware ESXi
管理サーバー
管理コンソール
MS SQL Server
監視対象のサーバーごとにエー
ジェントをインストール
監視対象のゲストVMごとにエー
ジェントをインストール
CSPシステム構成
※ エージェントは、Windows、UNIX、Linux
に対応。
Email、SNMPトラップ
によりアラートを送信
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
CSP 対応OS
Red Hat Linux
Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 5
Red Hat Enterprise Linux 4
Red Hat Enterprise Linux 3
HP-UX
HP-UX 11i V3 (11.31) (64-bit)
HP-UX 11i V2 (11.23) (64-bit)
HP-UX 11i V1 (11.11) (64-bit)
HP Tru64 5.1B-3
Windows
Windows 2012
Windows 2008 R2 (Standard Edition and
Enterprise Edition)
Windows 2008 (Standard Edition and Enterprise
Edition)
Windows 2003 R2 (Standard Edition and
Enterprise Edition)
Windows 2003 (Standard Edition and Enterprise
Edition)
Windows XP Professional, Windows XPe
Windows 7 (32&64bit)
Windows Embedded Standard 7
Windows 2000 (Advanced Server, Server and
Professional)
Windows NT4
Community ENTerprise Operating
System
CentOS 5
CentOS 6
SUSE Linux
SUSE Linux Enterprise Server 11
SUSE Linux Enterprise Server 10
SUSE Linux Enterprise Server 9
SUSE Linux Enterprise Server 8
Solaris
Solaris 11-
Solaris 10 -- Global Zone
Solaris 10 – Global Zones
Solaris 10- Local Zones
Solaris 8 &9
AIX
AIX 7.1
AIX 6.1
AIX 5L 5.3 -- 64-bit kernel
AIX 5L 5.3 -- 32-bit kernel
AIX 5L 5.2
AIX 5L 5.1
Supported and Hardened Hypervisors
VMware Server ESXi 5.0 Host
VMware Server ESX 4.1 Host
VMware Server ESX 3.5 Host
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
CSPにより多種多様なシステムを保護
DNSサーバー、ドメインコン
トローラーなど
POS端末
Kiosk / ATM
制御系システム
医療系システム
CSP
サポートが終了したOSの保護
※ Wincor Nixdorf社とは
パートナー契約を締結
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
Host IPSポリシーの種類(デフォルトのテンプレート)
Targeted
OSのコア機能を保護 + アプリケーションに制限なし
• OSのハードニング(要塞化) + バッファオーバーフロー保護
Core
サーバーアプリケーション以外の実行を制限
• Strictポリシー + ホワイトリスト未登録の対話型アプリケーショ
ンの実行を遮断
Limited
Execution
OSとアプリケーションを完全保護
• OSのハードニング + バッファオーバーフロー保護 + ネット
ワークの制御
Strict
特定の目的のためにカスタマイズ可能なポリシー
• アプリケーションの稼働に制限も設定しておらず、特定の用途・
目的のためにカスタマイズして、使用可能なIPSポリシーです。
弱い
強い
保護レベル
バッファーオーバーを起こすプログラムやネッ
トワークのインバウンドを除いて、未知のプロ
グラムも起動可能。
HTTP、LDAP、SCSPが使用するポート(80、
135、389、443)以外のアウトバウンドを制
限。
ホワイトリスト未登録の対話型アプリケーショ
ンの実行を遮断。
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
Host IPSの運用例
• セキュリティ証明書のアクセスを遮断。
• CSPの管理コンソールにログを表示。
⇒ 管理者にメールで通知。SNMPアラート送信も可能
管理コンソール
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
Black Hat 2011/2012での挑戦
• 年次セキュリティカンファレンスBlack Hatに出展
• パッチ未適用のWindows XPにStrict Prevention Policy
を適用し「Capture The Flag」用に展示
• ハッカーによるFlagの奪取を2年連続阻止
D20D54CB D95219ED 0C8A5EFC 0B3B05F6 5D517707 D53BB586 5F104F77 9C44481F
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.