• 検索結果がありません。

Tech Summit-Ikenaga-Trapsのベストプラクティスと導入事例(配布用)

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "Tech Summit-Ikenaga-Trapsのベストプラクティスと導入事例(配布用)"

Copied!
27
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 27 ページ )

全文

(1)

Trapsの

ベストプラクティスと

導入事例

(2)

本日の内容

2 |    ©  2015, Palo  Alto  Networks.  Confidential  and  Proprietary.  

Tr

ap

s

導入事例

• Trapsの概要

• サイバー攻撃の手口から見た、Trapsのベストプラクティス

• 製品導入時における、Trapsのベストプラクティス

• 導入事例

(3)

Trapsの製品概要

(4)

増加するゼロデイ脆弱性を狙った攻撃

4 |    ©  2015, Palo  Alto  Networks.  Confidential  and  Proprietary.  

3

2

1

0

1

1

6

11

10

0

2

4

6

8

10

12

Jan-­‐15 Feb-­‐15 Mar-­‐15 Apr-­‐15 May-­‐15 Jun-­‐15 Jul-­‐15 Aug-­‐15 Sep-­‐15

2015年に公開されたゼロデイ脆弱性

出典:  Symantec  Intelligence  Report  – Sept.  2015

2014年と比較し、約

170%

増加

高度な攻撃は、未公開の脆弱性を積極的に攻撃してきている

日付

概要

2015/01/23

Adobe Flash Playerの脆弱性対策について(CVE-­‐2015-­‐0310)

2015/01/28

Adobe Flash Playerの脆弱性対策について(CVE-­‐2015-­‐0311等)

2015/02/06

Adobe Flash Playerの脆弱性対策について(CVE-­‐2015-­‐0313等)

2015/04/15

Adobe Flash Playerの脆弱性対策について(CVE-­‐2015-­‐3043等)

2015/05/13

Adobe Flash Playerの脆弱性対策について(CVE-­‐2015-­‐3078等)

2015/06/10

Adobe Flash Playerの脆弱性対策について(CVE-­‐2015-­‐3096等)

2015/06/24

Adobe Flash Playerの脆弱性対策について(CVE-­‐2015-­‐3113)

2015/07/09

Adobe Flash Playerの脆弱性対策について(CVE-­‐2015-­‐5119等)

2015/07/15

Oracle Javaの脆弱性対策について(CVE-­‐2015-­‐2590等)

2015/07/15

Adobe Flash Playerの脆弱性対策について(CVE-­‐2015-­‐5122等)

2015/08/19

Internet Explorerの脆弱性対策について(CVE-­‐2015-­‐2502)

2015/10/15

Adobe Flash Playerの脆弱性対策について(CVE-­‐2015-­‐7645)

IPAが、2015年1月より、

緊急

で発表した

脆弱性は、

2014

1

年間を既に超えている

(5)

ウイルス対策では、発見できないマルウェアも当たり前になっている

5 |    ©  2015, Palo  Alto  Networks.  Confidential  and  Proprietary.  

8,839,258  

11,223  

47,714  

290,562  

850,260  

未検出

1~2社

3~10社

11~30社

31社以上

Palo Alto Networks AutoFocusを使用した調査結果より

WildFireで、マルウェアと判定された実行ファイル

2015年7月~2015年9月までの、3ヶ月間で、

WildFireで、マルウェアと判定された実行ファイル(PE、PE64)の

88%

は、発見時に他社ウイルス対策ソフトウェアで

(6)

エンドポイントを何から守る必要があるのか?

エクスプロイト

(脆弱性を突く攻撃)

§ 細工されたデータファイルであり、

正規のアプリケーションによって

読み込まれ、処理される

§ 正規のアプリケーションにある、

悪意のあるプログラムを実行する

脆弱性を悪用する

§ 正規のアプリケーションをだまし、

攻撃者のプログラムを実行させる

§ 小さいプログラム

マルウェア

(悪意のある実行ファイル)

§ 実行形式のファイル(.exe)で

送られてくる攻撃用のプログラム

§ アプリケーションにある

脆弱性に依存しない

§ すぐに実行される -

コンピュータを乗っ取ることが目的

§ 大きいプログラム

未知の脆弱性を狙うエクスプロイトと、未知のマルウェアから守る必要がある

(7)

高度なサイバー攻撃のライフサイクル

被害を抑えるためには、起動前に攻撃を止めることが重要!

しかしながら、今までの対策では、止めることが難しい・・・

防止的なコントロール

反応的なコントロール

攻撃計画の

立案

情報収集

ユーザに

悟られずに感染

エクスプロイト

の悪用

マルウェアは

攻撃者と通信

制御チャネルの

確立

悪意のある

ファイルを実行

マルウェア

の実行

データ盗難、

妨害行為、

破壊活動

データの奪取

(8)

必要なのは、攻撃を「止める」エンドポイントプロテクション

8 |    ©2014, Palo  Alto  Networks.  Confidential  and  Proprietary.  

脆弱性を突く攻撃を阻止!

未知のマルウェア実行を阻止!

攻撃者が行う、攻撃のための手法を阻害することで、攻撃を失敗に終わらせる、

まったく新しい考え方の、アドバンスト エンドポイント プロテクションです。

(9)

Traps エクスプロイト防御

脆弱性を攻撃する際に使用される

テクニック(手法)を遮断

攻撃者が行う、攻撃手法の流れとTrapsによる遮断

攻撃の連鎖を、どこかで断ち切れれば、攻撃自体は失敗に終わる!

送付

脆弱性の悪用

ダウンロードと実行

悪意のある

活動

攻撃コードの

準備

プログラムの

問題を攻撃

セキュリティ

機構の回避

1

2

3

OSの権限を

奪取

4

マルウェア

本体の

ダウンロード

5

マルウェア本体の起動

6

他の起動プロセスを

悪用した活動

7

Traps マルウェア防御

実行ファイルの場所、

コード署名などを使い

プログラムの

起動を制御

クラウド上の

脅威インテリジェンス

と連携し

マルウェアの

起動を阻止

起動したプログラムの

動作を監視し、

悪意のある

活動を阻止

(10)

サイバー攻撃の手口から見た、

Traps

のベストプラクティス

(11)

実際にあった攻撃の手口(

Cyber Threat Alliance レポートより)

Cryptwall ver.3~

11 |    ©  2015, Palo  Alto  Networks.  Confidential  and  Proprietary.  

ZIP等で圧縮された

実行ファイル

(.exe   /  .scr)

ExploitKitで

脆弱性を悪用

ユーザの操作

により実行

マルウェアの

送付と自動実行

(12)

日本を主に狙った、

EMDIVIの感染までの手口

12 |    ©  2015, Palo  Alto  Networks.  Confidential  and  Proprietary.  

悪用されたゼロデイの脆弱性

-­ Internet   Explorer   (CVE-­2013-­3893)

-­ 一太郎 (CVE-­2014-­7247)

-­ Adobe Flash   Player  (CVE-­2015-­5119)

利用者をだます実行ファイル

(ドロッパーと呼ばれるダウンロードツール)

-­ 医療費通知

-­ セミナーの案内

-­ ニュースの案内

Emdivi本体の

ダウンロード

と実行

(13)

Emdivi: Flashの脆弱性を使った攻撃

13 |    ©  2015, Palo  Alto  Networks.  Confidential  and  Proprietary.  

Hacking Teamから漏えいした、

Flashの脆弱性を悪用した攻撃

CVE-­2015-­5119)

Flashファイル(SWF)の中に

入れてあった圧縮ファイルから、

実行ファイルを取り出し実行

最終的に、

EMDIVIの亜種を実行

Dropperといわれるプログラム

Flashの脆弱性を突くSWFを送付

改ざんされた日本国内のサイト

最終的に、EMDIVIの亜種を実行

(14)

Emdivi: 問題のないファイルを装った実行ファイルでの攻撃

14 |    ©  2015, Palo  Alto  Networks.  Confidential  and  Proprietary.  

実行ファイルは、

RARで作成された

自己解凍圧縮ファイル

Dropperとしての実行ファイルと、ダ

ミーの文書ファイルを、

Windowsの

テンポラリフォルダに展開し、両方の

ファイルをキック

文書ファイルは、通常のアプリケー

ションで開かれる

Dropperは、本体をダウンロードし

実行

ファイル名.exe

TEMP

ダミー.doc

Dropper.exe

文書を表示

マルウェアを実行

(15)

TEMP

WordやExcelのマクロを使った攻撃

15 |    ©  2015, Palo  Alto  Networks.  Confidential  and  Proprietary.  

ユーザがファイルを開くと、自動的に

マクロを開始しない限りは、マクロの

有効化を求める表示がでる

マクロを実行すると、マクロによって

テンポラリフォルダ等に、実行ファイ

ルがダウンロードされ、キック

実行されたプログラムが、さらにマル

ウェアの本体をダウンロードし、実行

Dropper.exe

マルウェアの実行

(16)

TRAPSを

どう設定すると

止まるのか?

(17)

エクスプロイト防御のポリシー設定

デフォルトの

EPM設定で、十分な保護が提供可能

デフォルトで無効になっているモジュールは、

想定以上の過検知が発生する可能性があるため、

適用するプロセス等注意が必要

17 |    ©  2015, Palo  Alto  Networks.  Confidential  and  Proprietary.  

モジュール名

有効

動作モード

CPL  Protection

Notify

DEP

X

Terminate

DLL  Security

X

Terminate

DLL-­‐Hijacking Protection

Notify

Exception  Heap  Spray  Check

X

Terminate

Font  Protection

X

Terminate

Generic

X

n/a

GS  Cookie

Terminate

Heap  Corruption  Mitigation

Terminate

Hot  Patch  Protection

X

Terminate

JIT  Mitigation

Terminate

Library  Preallocation

X

Terminate

Master  SHE

X

n/a

Master  VEH

X

n/a

Memory  Limit  Heap  Spray  Check

X

Terminate

Null  Dereference  Protection

X

Terminate

Packed  DLLs

Terminate

Periodic Heap  Spray  Check

Terminate

Random  Preallocation

X

Terminate

ROP  Mitigation

X

Terminate

SHE  Protection

X

Terminate

Shellcode Preallocation

X

Terminate

ShellLink Protection

X

Terminate

SysExit

Terminate

UASLR

X

Terminate

URI  Protection

n/a

ブラウザや、

Adobe Flash Playerなど、

Drive-­by-­Downloadの攻撃の大半は、

デフォルトの設定で十分に防御可能!

(18)

EPMによって保護されるアプリケーションのカバレッジ

デフォルトでは、

110プロセスが保護対象

日本だけで使用されるようなソフトウェアの

プロセスは、入っていない

プロセスの追加は、下記の基準で

Process Managementから、組織で利用

数の多いプロセス

攻撃に利用がされ易そうなプロセス

(自社開発ではなく、パッケージ製品など)

(19)

WildFireとの連携について

ハッシュ値の問合せを行い、

Malwareと判断された

実行ファイルは、遮断

未知の実行ファイルは、積極的にアップロード

未知の実行ファイルは、

遮断せずに実行

19 |    ©  2015, Palo  Alto  Networks.  Confidential  and  Proprietary.  

ランサムウェア等、

多数の標的に送られ

るものは、防御できる

可能性は高い

実行させてしまった

未知の実行ファイル

は、後述の実行制御

で補完

(20)

補完的に利用する実行制御

20 |    ©  2015, Palo  Alto  Networks.  Confidential  and  Proprietary.  

Local Folder Behavior

TEMPフォルダ、ブラウザのキャッシュ等からの起動

を禁止

Child Processes

Word、Excel、Power Point、Adobe Reader等の文

書作成、閲覧ソフトからの子プロセス起動を禁止

Restriction Setting

Local Folder Behaviorは、署名されている実行ファ

イルは、除外するよう設定

Child Processesは、署名されている実行ファイル及

び、ファイル作成後

30~60分以上経過している実行

ファイルを除外するよう設定

Unsigned Executable

Local Folder Behaviorで指定した場所以外で、ファ

イル作成後

1分以内の実行ファイルは起動を禁止

(21)

実行制御も、止めることができなかった場合は?

21 |    ©  2015, Palo  Alto  Networks.  Confidential  and  Proprietary.  

WildFireにアップロードされた未知のファイルが、Malwareと判定され、且つ端末で実行された履歴があれば

(22)

導入時のベストプラクティス

(23)

製品導入、チューニングの流れ

23 |    ©  2015, Palo  Alto  Networks.  Confidential  and  Proprietary.  

グループ

A

グループ

B

グループ

C

初期ポリシー

初期ポリシー

第二段階

初期ポリシー

チューニング

第二段階

第三段階

最終段階

第三段階

最終段階

第二段階

第三段階

最終段階

チューニング

チューニング

本番運用開始

前のグループで

チューニングされた

ポリシーを展開

チューニングが進み、

ノウハウがたまることで、

チューニング期間が短縮化

(24)

導入時のポリシー設定

最終的には、攻撃を「止める」ことを目標に進めていくことが重要

24 |    ©  2015, Palo  Alto  Networks.  Confidential  and  Proprietary.  

初期段階

第二段階

第三段階

最終段階

• デフォルトのEPM設定

• WildFire Learningモード

• 実行制御なし

• Unknownのアップロード

有効

• ユーザへの通知なし

• デフォルトのEPM設定

• WildFire Preventモード

• 実行制御なし

• Unknownのアップロード

有効

• ユーザへの通知あり

• デフォルトのEPM設定

• WildFire Preventモード

• 実行制御 Notifyモード

ユーザ通知無効

• Unknownのアップロード

有効

• ユーザへの通知あり

• デフォルトのEPM設定

• WildFire Preventモード

• 実行制御 Preventモード

ユーザ通知あり

• Unknownのアップロード

有効

• ユーザへの通知あり

(25)

発生契機

トリガー

発生頻度

1回 or 複数回

(1台の頻度)

発生端末

単一 or 複数

影響範囲

影響度

緊急>大>中>小

対応優先度

1>2>3> 4

対処方針

ログアラート

確認

(遮断検知)

1回

(1台当たり)

単一

個別

PC1台

4

静観

(遮断維持)

複数

部門的

過去3日間

少数の端末

3

経過観察→再発有無・対処

(継続監視対象)

全体的

過去3日間

多数の端末

2

全端末該当プロセス除外

即対処

サポートへ問合せ

複数回

(1台当たり)

単一

個別

PC1台

3

経過観察→再発有無・対処

(継続監視対象)

複数

部門的

過去1日間

少数の端末

2

状況判断/暫定対処

対象端末のプロセスの除外

サポートへ問合せ

全体的

過去1日間

多数の端末

緊急

1

即対処

全端末該当プロセス除外

サポートへ問合せ

過検知・互換性チューニングの判断基準(例)

(26)

導入事例

(27)

ご清聴ありがとうございました!

参照

今ダウンロードする ( PDF - 27 ページ - 1.29 MB )

関連したドキュメント

x∈X}, is a closed subset of the product space X ×Y

Since locally closed functions with all point inverses closed have closed graphs [2], (c) implies

x =( x ;x ;:::;x ),div f ( u ):= where›isanopenandboundedsubsetof R withasmoothboundary @ ›.Herewehaveset @ f ( u ),and @ @ for := (1 : 2) u ( x; 0)= u ( x ) ;x 2 › ; : 1) @ u +div f ( u )=0 ;u ( x;t ) 2 R ;x 2 › ;t> 0 ; Inthispaper,weareinterestedinthebo

We aim at developing a general framework to study multi-dimensional con- servation laws in a bounded domain, encompassing all of the fundamental issues of existence,

Perturbation Analysis for the Matrix Equation X −

Assume that F maps positive definite matrices either into positive definite matrices or into negative definite matrices, the general nonlinear matrix equation X A ∗ FXA Q was

Suppose that (X, DX) isgeneric

Then by applying specialization maps of admissible fundamental groups and Nakajima’s result concerning ordinariness of cyclic ´ etale coverings of generic curves, we may prove that

˘2hýÛü×¹xœ‹x.xlsx

[r]

Forεsmall we consider the number of limit cycles of the polyno- mial differential system ˙ x=y−f1(x, y)y, y˙=−x−g2(x, y)−f2(x, y)y, where f1(x, y

We provide an accurate upper bound of the maximum number of limit cycles that this class of systems can have bifurcating from the periodic orbits of the linear center ˙ x = y, y ˙ =

N = β ( N ) \ N withthesetofallfreeultrafilterson N .If A ⊆ N , N ,anditsremainder x .TheStone-ˇCechcompactification β ( N )ofthenaturalnumbers N withthediscretetopologywillbeidentifiedwiththesetofallultrafilterson X : d ( x,y )

In the second section, we study the continuity of the functions f p (for the definition of this function see the abstract) when (X, f ) is a dynamical system in which X is a

2 Higher derivatives of Ai(x) and Bi(x)

More general problem of evaluation of higher derivatives of Bessel and Macdonald functions of arbitrary order has been solved by Brychkov in [7].. However, much more