Microsoft PowerPoint - DefensePro40のご紹介

Page 1

DefenseProの

フルスペクトル防御技術

Version 4.0

¾

マーケットの動向とセキュリティの課題

¾

DefensePro の

フルスペクトル防御技術のご紹介

¾

テクノロジー概要と差別化のポイント

ƒ 振る舞い検知型の DoSプロテクション ƒ ワーム増殖の防御 ƒ サーバクラッキング ƒ HTTP ミティゲータ

¾

モニタリングとレポーティング

¾

セキュリティアップデートサービス

¾

事例

¾

まとめ

Agenda

Page 3

市場動向とセキュリティの課題

ゼロデイ攻撃は実際に起きています

エクスプロイトが出現するまでの時間は、短くなっています

エクスプロイトが 出現するまでの 日数: 2001 2002 2003 2004 2005 2006 0 100 200 300 400

Nimda Slammer Welchia Blaster Sasser Web IIS Witty Rahack

2007…

インターネットでは、 現在もスラマー攻撃が 最も多く発生しています

Page 5

原因別のセキュリティダウンタイムのコスト

90%以上の事例で

ネットワークと

サーバのリソースが

対象になっています

DoS攻撃にさらされる企業

何千ものEコマースサイトの オンライン決済処理を行う会社。 同社のサービスにより、 Web店舗は クレジットカード決済を 利用できる。 「StormPay.comは 倒産した」、「建物が全焼 した」という噂は、 ウソである。 Eコマース用の 決済ゲートウェイが 大規模なDDoS攻撃を受け、 約2日間サイトが 使用できなくなった。

Page 7

サーバマルウェアが広まりつつある

オンライン犯罪者は数千もの 合法的なサイトを武器として 利用する広範なサイト攻撃を 開始した。 MPackは、 クライアントを対象とした各種の Web用ツールを大量に配置できる ツールキットで、サイト内に配置 すると、脆弱なサイト訪問者は、 前もって選択されたマルウェアに 簡単に感染する。 攻撃者は、 被害者の行動を監視し、 クレジットカード情報 などの機密情報を 抽出できる。

ビジネスレベルの新しい脅威

Page 9

委託型DDoS攻撃によってビジネスが停止！

¾

「マサチューセッツのビジネスマンが…コンピュータの地下組織の

メンバーを雇い、競合3社に対する組織的な

破壊的DDoS攻撃

を開始

した…連邦政府当局はこれを

委託型のDDoS攻撃

として初めて立件

しようとしている」…

ƒ 「この攻撃が開始されたのは10月6日。ロサンジェルスに本拠を置く Eコマースサイトに対してSYNフラッド攻撃が実行された」 ƒ 「…反撃したが、攻撃者は攻撃を止めず、適応力もあった」 ƒ 「10月半ばには、単純なSYNフラッド攻撃がHTTPフラッド攻撃に 取って代わり、サイズの大きな画像ファイルのダウンロード要求が 大量に実行された。ピーク時には、猛攻撃により会社が2週間オフ ライン状態になったと伝えられている」 http://www.securityfocus.com/news/9411

HTTPフラッド攻撃

のシナリオ

一般的な分散型攻撃

インターネット

パブリックWebサーバ HTTPボット （感染したホスト） HTTPボット （感染したホスト） 攻撃者 BOTコマンド IRCサーバ サービスリソースの 不正使用 Get /s_earch .php http/1_.0 Get /search.p_{hp http/1.0}

Get /search.p

hp http/1.0 Get /sear ch.php http/1.0 HTTPボット （感染したホスト）

Page 11

ビジネスに打撃を与えるブルートフォース攻撃

http://techreport.com/discussions.x/13151 新種のトロイの木馬に よってeBayアカウント に侵入を試みるゾンビ コンピュータのネット ワークが構築された。

VoIPビジネスには脆弱性がある

¾IDCでは、米国の住宅用VoIPサービスの契約者が2005年の300万件から

2009年末には2700万件に達すると予想（U.S. Residential VOIP Services 2005-2009 Forecast and Analysis: Miles to Go Before We Sleep, IDC, April 2005）

¾VoIPは、DoS攻撃などIPベースの攻撃に対しては脆弱である ¾不十分な音質では、ユーザに受け入れられない ƒ VoIPのリアルタイム性が、より脆弱性を高めている ƒ VoIPパケットは遅延すると意味がない ¾サービス拒否（DoS）攻撃、分散型サービス拒否（DDoS）攻撃 ƒ ネットワーク上のほぼすべての要素が、DoS攻撃の対象となりうる ƒ VoIPネットワークに対するDoS攻撃には、ネットワーク層におけるものと、 アプリケーション層におけるものがある

身近な電話にも脆弱性の問題が迫っています

Page 13 RTP

VoIPネットワークの脆弱なポイント

インターネット

PSTN

SIPプロキシ ソフトスイッチ メディアGW SIP サービスプロバイダ アプリケーション のスキャン サイトA サイトB ブルートフォース 攻撃 ネットワークとアプリケーション DoS攻撃

脅威のライフサイクル

感染パターン*とリスク分析

攻撃を沈静化する手法

攻撃の 拡大 速度と リスク 時間 攻撃発生 ベンダーのパッチ公開 拡大速度は非常に低速に落ち着く シグネチャ検出 テクノロジ 「ゼロデイ」検出テクノロジ 0 2～4日 6～12月 2～4年 ゼロデイ 検出テクノロジ 発生 （40～80秒）

Page 15

シグネチャでは不十分

¾脆弱性の傾向 ƒ 平均して月に80件の脆弱性が新しく報告されている* ƒ 年に合計1000件の脆弱性が新しく報告されている ¾現在のIPSシステムには、すでに1500～2000のシグネチャが含まれている ¾購入したIPSを3～5年使用する ƒ この期間に3000～5000のシグネチャが追加される ƒ 条件を満たすかどうか（パフォーマンス、メンテナンスの経費、偽陽性など） ¾現在のニーズを満たすIPSより10倍高速なIPSを購入しますか？ ¾頂点に達しているネットワーク速度の成長をどのように考慮しますか？ 結果：シグネチャベースだけのIPSエンジンでは、現在のセキュリティの傾向や 要件に対応できません。 *出典：US-Cert（深刻度「高」～「中」の脆弱性のみ掲載） 1. ネットワークやアプリケーションに対するゼロデイ攻撃には効果的ではない 2. シグネチャの手法では次の問題に対応できない

脅威の範囲

ネットワークワームの発生、 DDoS攻撃 ネットワークリソース ユーザ

攻撃の量

攻撃対象 ネットワークワーム、 トロイの木馬、 IRCボット、... アプリケーション フラッド攻撃、 アプリケーション 脆弱性スキャン、 ブルートフォース攻撃… 発生 サーバ/サービスリソース

Page 17 ネットワークリソース ユーザ 脅威の範囲 攻撃の量 攻撃対象 サーバ/サービスリソース

ラドウェアのテクノロジによる脅威の鎮静化

DefensePro 3.0 ラドウェアによる行動 対応型DoS防御 DefensePro 3.10 ラドウェアによるゼロデイワーム 伝播保護 アプリケーションフラッ ド攻撃、 アプリケーション脆弱性 スキャン、 ブルートフォース攻撃… ラドウェアが提案するゼロデイ フルスペクトル防御技術

DefensePro 4.00

DefensePro 4.00 ラドウェアによる行動 対応型 サービス保護 サービスの不正使用 リソース保護

セキュリティ

のギャップ

まとめ

¾

DoS/DDoS攻撃 - 既知、

ゼロデイ

¾

ネットワークワーム - 既知、

ゼロデイ

¾

ネットワークの攻撃前の偵察行為（ネットワークスキャン）

¾

サーバベースの攻撃 – 既知、

ゼロデイ

¾

既知のアプリケーション脆弱性を悪用した攻撃

¾

SSL

を介した攻撃

ソリューションに必須の要素：

¾

ハイブリッドテクノロジ - 以下の要素の絶妙なバランス

ƒ ネットワークに適応させサーバを保護するための振る舞い分析 ƒ シグネチャベースの検出 ƒ 帯域管理（トラフィックシェーピング）

ネットワークIPSによる防御対象：

Page 19

Radware DefensePro

Radware DefensePro IPS

DefenseProは、振る舞い検知、コンテンツ検知をベースとし、併せ てトラフィックシェーピング機能を拡張性の高いアプライアンスベー スのマルチレイヤセキュリティソリューションとしてひとつにまとめ た、高度なマルチギガビットの侵入防御/DoS攻撃防御システムです。

Page 21

DefensePro IPS - 外観

最もポート密度が高い IPS スイッチ：20xGE

HA： デュアル電源 HA： 内部バイパス スキャンポート： IPアドレスなし、 MACなし 管理コンソール： 設定、 レポート機能

DefenseProセキュリティアーキテクチャ

フルスペクトル防御技術

ゼロデイワームの 増殖 ネットワークで DoS/DDoSフラッド 攻撃が発生 侵入行為 クリーンな環境 ネットワーク動作の 事前解析 ユーザ動作の 事前解析 シグネチャベースの ステートフルな防御 サーバ サーバへのへの攻撃攻撃 サーバ動作の 事前解析 DP 4.00

Page 23

効果的なトラフィックシェーピング

トラフィックの 優先順位制御 P2P VoIP Web メール… 1 2 キューイング 帯域管理ルール 3 4

VoIP

Web

P2P

トラフィック 通過

帯域管理ルールの採用によるネットワークリソースの保証

キューイングアルゴリズム（CBQ、WFQ、wRED）や階層的な 帯域管理などにより、100種類以上のアプリケーションに対応 クリーンな環境

DefenseProの主な防御カテゴリー

¾ネットワークインフラストラクチャをDDoS攻撃から防御 ¾ゼロデイネットワーク自己増殖ワーム（スラマー、Nachi、Rahack など）から防御 ¾サーバリソースの不正使用を防止（L4-L7） ƒ HTTPセッションベースのDoSフラッド攻撃

ƒ スプーフィングされたSIP invite/register によるDoSフラッド攻撃

ƒ SPIT前の活動 ƒ TCPセッションベースのDoSフラッド攻撃 ¾攻撃偵察プローブ（サーバクラッキング）から防御 ƒ ネットワークスキャンとアプリケーションスキャン（HTTP脆弱性スキャン、 SIPスキャンなど） ¾認証の不正使用（サーバクラッキング）から防御 ƒ ブルートフォース攻撃、ディクショナリ攻撃 （Web、メール、FTP、SIP、MsSqlなど） ¾既知のアプリケーション脆弱性の悪用を防止 ¾プロトコル違反とその他のネットワーク異常の防止 ゼロデイ ゼロデイ ゼロデイ ゼロデイ ゼロデイ

Page 25

シグネチャベースの防御

既知のアプリケーション脆弱性

¾

クライアント側の脆弱性

¾

フィッシング

¾

SIPの異常

¾

IRCボット

¾

スパイウェア

¾

匿名化ツール

¾

プロトコル異常

¾

IPv6侵入

¾

SSLベースの攻撃*

¾

サーバへの侵入

ƒ Webの脆弱性 ƒ メールサーバへの侵入 ƒ FTPサーバへの侵入 ƒ SIPサーバへの侵入 ƒ SQLサーバへの侵入 ƒ DNSサーバへの侵入... ¾

ワーム、ウイルス

¾

トロイの木馬、バックドア

* Radware AppXcelが別途必要です。 ¾サービスベースのフラッド攻撃 ¾HTTP Mitigator –HTTPフラッド攻撃に対する振る舞い検知型防御 ¾VoIP（SIP）防御 –「スプーフィングされた」 InviteやRegister によるフラッド攻撃に対する振る舞い検知型防御 ¾サーバクラッキング–サーバベースの振る舞い検知型防御 ¾HTTPの脆弱性スキャンからの防御 ¾SIPスキャン、SPIT前の動作からの防御 ¾認証の不正使用：以下に対するブルートフォース攻撃、 ディクショナリ攻撃からの防御：

振る舞い検知型のサーバの防御

Version 4.00の特徴

ƒ Web ƒ FTP ƒ MAIL ƒ SIPプロキシ認証 ƒ MS-SQL ƒ MySQLサーバアプリケーション ゼロデイ ゼロデイ

Page 27

サーバクラッキングの検出と防御策

正当な 応答コ_ード エラー応答コ ード 正当な応 答コード 頻度が高い 1回のエラー エラー応答コード ブロック済み パブリックWebサーバ

DefensePro製品ラインアップ

DefensePro x02シリーズ

¾企業のゲートウェイ、支社、地域のオフィスに最適 ¾1つのセグメントを保護 ¾ソフトウェアによる拡張性のあるパフォーマンスの アップグレード：

DefensePro 6000

¾ゼロデイ型のDoS攻撃やワームから大企業や大規模 な通信事業者を防御 ¾スループット：最大4.5 Gbps ¾10のGEポートを含む9つのセグメントに対応

DefensePro x20シリーズ

¾本部、コアセンター、データセンターの防御に 適したDoS攻撃、ワーム対応のIPS防御 ¾9つのセグメントを保護 ¾ソフトウェアによる拡張性のあるパフォーマンスの アップグレード： 600 1000 3000 Mbps

Page 29 ゲートウェイプロファイル DoS攻撃、インフラストラ クチャの脅威、ネットワー クのワームなどから防御

一般的な配置

1つのアプライアンスで実現する

仮想

侵入防御システム

DMZプロファイル 例) Webサーバや メールサーバを アプリケーションや プロトコルの 脆弱性から防御 LANプロファイル 例) 一般的なワーム、 バックドア、 トロイの木馬、 スパイウェアなど からユーザを保護 ゲートウェイプロファイル DoS攻撃、インフラストラ クチャの脅威、ネットワー クのワームなどから防御 1つのアプライアンス で複数のセグメント を保護

一般的な配置

1つのアプライアンスで実現する

仮想

侵入防御システム

Page 31

テクノロジ概要と差別化ポイント

DefensePro セキュリティアーキテクチャ

フルスペクトル防御技術

ゼロデイワームの 増殖 ネットワークで DoS/DDoSフラッド攻撃 が発生 侵入行為 クリーンな環境 ネットワーク動作の 事前解析 ユーザ動作の 事前分析 シグネチャベースの ステートフルな防御 サーバへの攻撃 サーバへの攻撃 サーバ動作の 事前解析

Page 33

振る舞い検知型の DoS プロテクション

攻撃防御手法の決定 – シナリオ１

トラフ_ィック の異_常度 （全体_に対 す る割_合） アタックエリア 疑わしい エリア 正常なエリア Attack Degree = 5 (Normal- Suspect) Synパケットの 異常なレート 正常なTCP Flag の配信

新規サイトに対する正常な大量のアクセス

トラフィックの異 常度（レート） Y-axis X-axis Z-axis Attack Degre e ax is

Page 35 Attack Degree = 10 (Attack) DNSパケットの 異常なレート

DNS フラッド

Y-axis X-axis Z-axis Attack Degre e ax is アタックエリア 疑わしい エリア 正常なエリア

攻撃防御手法の決定 – シナリオ2

異常な プロトコル配信 [%] トラフ ィック_の異 常度 （全体_に対 す る割 合） トラフィックの異 常度（レート）

¾

ベーシックなDoS 検出 (ラボ・テスト)

¾

誤りの“無い” ポジティブ検出

ƒ 振る舞い検知型システム, レートベース& 割合レート 検出パラメータ

¾

誤りの“無い”防御

ƒ 細かい粒度のアタック・フットプリント (最大20のパケット・パラメータ)

¾

非対称環境のサポート

ƒ 非対称環境でのステートフルフラッドアタック (e.g., Syn & Syn+Ack floods) の防御

¾

アタックの詳細

ƒ アタックの特性と振る舞い検知フットプリントの概要

振る舞い検知型DoSプロテクション

– 他社のサポート状況

3

3

Radware

他社

3

2

3

2

3

2

3

2

Page 37

振る舞い検知型DoSプロテクション

– 競合他社は？

¾

高い誤検出

ƒ

異常度（レート）と全体に対する異常度という両方の検出パラメータの

ƒ

解析無し

(正常な大量アクセスをブロックしてしまう可能性あり）

¾

アタックと同時に正常なトラフィックもブロックしてしまう

ƒ

ソースIPとポートによるブロック以上のアタック・フットプリントの生成不可

ƒ

感染したホスト（ bot 等）によって生成されたアタックトラフィックのみをブ

ロックすることは

不可

…しかも同じホストからの正常なネットワークトラフ

ィックに影響を与えないで

¾

メンテナンスが大変

ƒ

常時、閾値のチューニングが必要

ワーム増殖の防御

Page 39 3番目に 感染したPC 2番目に 感染したPC 最初に 感染したPC 新種のワーム

自己増殖するネットワークワーム

ネットワーク スキャン 感染した PC 感染した PC 感染した PC ネットワーク スキャン 赤と黄色のオブジェクトは 、ワームを表す。 赤のワームはより確度の 高いワームを表す。 緑のオブジェクトは、正常 なトラフィックを表す。 解析

?

X

X

最初の防御 計測 確度の高い ワーム

自己増殖型ワームの沈静化

Page 41

クローズド・フィードバックオペレーション

赤と黄色のオブジェクトは 、ワームを表す。 赤のワームはより確度の 高いワームを表す。 緑のオブジェクトは、正常 なトラフィックを表す。 解析 解析

?

X

X

?

X

X

最初の防御 計測

(e.g., source IP -> port 135 (TCP))

最適化

(e,g., source IP -> port 135 (TCP) OR port 445 (TCP) ) ワームに対する最初のフ ィルタが適用された後、ク ローズド・フィードバックメ カニズムによって、フィル タ後のワームがネットワー クの動作に異常を来たす かどうかの判断が下され る。 直前の計測に加え、より 可能性の低い基準に従っ て再度防御計測を行う。 確度の高い ワーム 可能性の高い ワーム

自己増殖型ワームの沈静化

クローズド・フィードバックオペレーション

赤と黄色のオブジェクトは 、ワームを表す。 赤のワームはより確度の 高いワームを表す。 緑のオブジェクトは、正常 なトラフィックを表す。 解析 解析 解析

?

X

X

?

X

X

?

最初の防御 計測 最適化

(e,g., source IP -> port 135 (TCP)

ワームに対する最初のフ ィルタが適用された後、ク ローズド・フィードバックメ カニズムによって、フィル タ後のワームがネットワー クの動作に異常を来たす かどうかの判断が下され る。 直前の計測に加え、より 可能性の低い基準に従っ て再度防御計測を行う。 防御計測が充分に行われ たので、ステータスが変化 するまで、これ以上の計測 は実行されない。このステ ージでは、より最適化され たブロッキングルールが実 行される（さらなる絞込み が行われる。） 確度の高い ワーム 可能性の高い ワーム 正常な環境 最適化

(e,g., source IP -> port 135 (TCP) OR

自己増殖型ワームの沈静化

Page 43

¾

基本的なスキャン検出 (ラボ・テスト)

¾

誤りの“無い” ポジティブ検出

(NAT や Proxy の場合)

¾

誤りの“無い”防御

¾

増殖度が低い/ スキャンの検出

¾

ワーム挙動の詳細を提供

¾

閾値設定が必要ない

ワームの防御 – 他社のサポート状況

3

3

Radware

他社

3

2

3

2

3

2

3

2

3

2

ワームの防御 – 競合他社は？

¾ NATやProxy の場合、効率的に処理されない ƒ 誤検出– 一つのIPで多くの正常なコネクション (scanに似ている) ƒ 全体的なブロック– ブロックはソースIP単位でのみ実行される ¾ 感染したホストは完全に隔離される ƒ フットプリントを展開させることが出来ない（単なるソースIPブロッキングだけでなく） ƒ ワーム自身によって生成されたコネクションのブロックができない…正常なネットワーク トラフィックに影響を与えることなく ¾スプーフされたscanが他の正当なユーザをブロックするために使われる ƒ プロファイルの展開の一つとして、TTLの特定が不可 (i.e., ルート特性) ¾ 新種のアタックに対する対処 最初の防御 計測

(e.g., source IP -> port 135 (TCP))

最適化

(e,g., source IP -> port 135 (TCP) OR

port 445 (TCP) )

最適化

(e,g., source IP -> port 135 (TCP) OR port 445 (TCP) ) AND ( packet size AND TTL AND, …) 競合他社

Page 45

サーバクラッキングの防御

サーバベースの防御

公開Web サーバ Attacker

サーバ クラッキング

HTTP 脆弱性スキャン動作

Get /cgi-bin/info2www http/1.0 Get /cgi/websendmail http/1.0 Get /cgi/textcounter http/1.0… Get /cgi-bin/files.pl http/1.0 Get /cgi-bin/finger http/1.0 Get /cgi http/1.0 Response code Response code Response code Response code Response code Response code 不正使用・妨害 ƒ サービスのバージョンを見つける ƒ 既知の脆弱性を見つける ƒ サービスの妨害 (リソースの不正 使用)

Page 47

サーバクラッキングの検出と防御

正常な レスポ ンス・コ_ード エラーレスポ ンス・コード 正常なレ スポンス ・コード 高い頻度で発生 一回のエラー エラーレスポンス・コード Blocked パブリックWebサーバ

HTTPミティゲータ

Page 49

HTTPフラッド攻撃

のシナリオ

一般的な分散型攻撃

インターネット

パブリックWebサーバ HTTPボット （感染したホスト） HTTPボット （感染したホスト） 攻撃者 BOTコマンド IRCサーバ サービスリソースの 不正使用 Get /s_earch .php http/1_.0 Get /search.p_{hp http/1.0}

Get /search.p

hp http/1.0 Get /s earch. phphttp /1.0 HTTPボット （感染したホスト） HTTPボット （感染したホスト） HTTP Flooder Get /search.php http/1.0 Get /search.php http/1.0 Get /search.php http/1.0 Get /search.php http/1.0

シングルコネクションを使用した

HTTP Requestの繰り返し

典型的なアプリケーション フラッドのシナリオ

パブリックWebサーバ サービスリソースの 不正使用 Attacker

Page 51 Get /search.php http/1.0 Get /search.php http/1.0 Get /search.php http/1.0 Get /search.php http/1.0

複数コネクションを使用した

HTTP Reuqest の繰り返し

典型的なアプリケーション フラッドのシナリオ

Attacker HTTP Flooder パブリックWebサーバ サービスリソースの 不正使用 Get /search.php http/1.0

GET /search?hl=en&q=radware&btnG=_{Google+Search HTTP/1.1}

Get /search.php http/1.0

HTTP Get Request の周期的な繰り返し

Get /search.php http/1.0 Get /search.php http/1.0 Get /search.php http/1.0

GET /search?hl=en&q=radware&btnG=_{Google+Search HTTP/1.1} GET /search?hl=en&q=radware&btnG=_{Google+Search HTTP/1.1} GET /search?hl=en&q=radware&btnG=_{Google+Search HTTP/1.1}

Get /search.php http/1.0 Get /search.php http/1.0 Get /search.php http/1.0

GET /search?hl=en&q=radware&btnG=_{Google+Search HTTP/1.1} GET /search?hl=en&q=radware&btnG=_{Google+Search HTTP/1.1}

典型的なアプリケーション フラッドのシナリオ

Attacker HTTP Flooder HTTP Requestは 多くのCPUリソースを 消費してしまう パブリックWebサーバ サービスリソースの 不正使用

Page 53

セキュリティ アップデートサービス

セキュリティアップデートサービス

ActiveX 38% Microsoft Vulnerbilities 8% RealPlayer 7% DoS/DDoS 4% Anonymizers 31% Misc 12%

¾Radware Security Operations and Research Centerは、7月のラドウェア

セキュリティアップデートサービス（SUS）で合計74件の攻撃シグネチャを

新しく公開しました。

¾これらのシグネチャには、アプリケーション、オペレーティングシステム、

Page 55

ラドウェアによるマンスリー脅威レポート

Page 57

モニタリングとレポーティング

モニタリングとレポーティング画面

¾

SLA（Service Level Agreement） レポート

¾

フォレンジック – 攻撃パターンのモニタリング

¾

Web サービスの振る舞いモニタリング

¾

リアルタイムなトラフィックモニタリング

¾

管理者レベルのPDFレポート

Page 59

沈静化モニタリング (SLA)

消費されている帯域の アタックレポート (アタック単位)

DoSの攻撃パターンに関する報告

アタック トラフィック 適合された通常の トラフィック ベースライン

Page 61

DoSの攻撃パターンに関する報告

攻撃の 特性概要 DoS攻撃の 振る舞い特性

振る舞い検知型のWebサーバ監視

H T T P t ra ff ic [ 1 /s e c ]

トラフィックの異常度（レート）

Webトラフィックの レートベース パラメータ

Page 63

トラフィックの異常度（全体に対する割合）

振る舞い検知型のWebサーバ監視

Webトラフィックの異常 度（全体に対する割合） パラメータ

リアルタイム トラフィック・モニタリング

Traffic ut lization

Page 65

カスタマイズレポート： 管理者向けにビット単位での解析報告、フォレンジックにも対応 エクゼクティブレポート：ネットワークセキュリティ全般をサマライズ

集中管理型のセキュリティ・レポート

Page 67

MSSP

¾

海外の大規模ISP

ƒ 10億ドル以上の収入 ƒ 300万人以上のDSLユーザ

¾

ビジネスの課題

ƒ 信頼性の高いMSSPサービスをxDSL顧客に提供することで収入を増やす

¾

技術上の課題

ƒ 非常に高いスループットでのDDoS沈静化 ƒ カスタマイズされたMSSP防御プロファイル ƒ パフォーマンスに影響を与えない ƒ 統合化されたレポート

¾

ラドウェアを選んだ理由

ƒ DoS/DDoS、MSSP IPS、SUS ƒ ラドウェアの優位性：他社の多くはDoS/DDoS防御を提供していない

MSSPにおける導入

Scrubbing Center インターネット BRAS アグリゲーション/バックホール （メトロ） DSLAM / ビジネスブロードバンド xDSL Defense Pro ¾配置 ¾10台以上のDefensePro-3020 ƒ カスタマイズされたMSSP IPSプロファイル、 セキュリティアップデートサービス ƒ 最高のDoS/DDoS防御

Page 69

ボットネットワーク図

ハッカー キャンパスのネットワーク BOTがインストールされたホスト メールサーバ BOTコマンド DoS攻撃 スパム ƒIRCボット ƒメールスパムボット（Socksプロキシ） IRCサーバ SOCKSプロキシ BOTがインストールされたホスト SMTP 攻撃対象になっている ネットワーク 攻撃対象になっている ネットワーク スパム（ トンネル_化） 個人データ漏えい

海外の某大学

海外のニュースポータルサイト

¾

課題

ƒ このサイトは、非常に人気のあるニュースポータルで、政治的なコ ンテンツが含まれることもあるため、最も攻撃を受けるサイトの1つ です。このため、ネットワーク防御が不可欠になりました。 ƒ このサイトは、セキュリティのソリューションだけではなく、帯域 の使用量を減らしてコストを削減できるようなソリューションも探 していました。

¾

ラドウェアのソリューション

ƒ 同社のネットワークにDefensePro-020を導入し、同社のWebサービ ス閉鎖を目的としたDoSフラッド攻撃をブロックしています。 ƒ ラドウェアのデバイスは、DoS/DDoS攻撃や匿名トラフィックととも に、主に同社のWeb環境に関連した攻撃とワーム（シグネチャベー ス）を検出します。 ƒ DefensePro-1020を同社のファイアウォールの前に配置したことで、 ネットワークトラフィックに保護レイヤを追加した形になりました。

Page 71

まとめ

ラドウェアのセキュリティテクノロジーの価値

ゼロ

デイ

– ネットワーク、サービスおよびユーザ動作

解析テクノロジー

「ゼロ」

- タッチ

– 適応型決定エンジン、自動ブロッキン

グ基準

「ゼロ」

- 誤検出のない

– 「スマート」な決定エンジン、

粒度の高いブロックフィルタ、クローズドフィードバッ

ク「自己最適化」メカニズム

Page 73

¾

業界トップクラスの

ゼロデイ

防御機能:

ƒ

ネットワークベースのゼロデイ防御:

ƒ ゼロデイ型のDoS/DDoSフラッド攻撃を18秒以内に防御 ƒ ネットワークワームの増殖を予防 ƒ ネットワークスキャンと攻撃前の偵察行為を予防 ƒ

サーバベースのゼロデイ防御:

ƒ サーバクラッキングの防御 ƒ HTTPフラッド攻撃の防御 ƒ SIPフラッド攻撃の防御（レートが「低」の場合も含む）

¾

VoIP（SIP）

防御のためのマルチレイヤアーキテクチャ

¾

SSL攻撃からの防御

¾

IPv6防御

- シグネチャおよび行動ベース（ゼロデイ）防御

主な差別化ポイント（1）

フルスペクトル防御技術

¾

ハイブリッドテクノロジ

– 振る舞い検知型の動作解析、プロトコル異常、

シグネチャベースの技術と帯域管理（トラフィックシェーピング）との

バランスが「スマート」にとれたテクノロジー

¾

固定・携帯通信事業者における防御の最前線として、

トンネリング

プロトコルに対応

¾

帯域管理により、

エンドツーエンドのトラフィックシェーピング

、

最適化、P2Pトラフィック制御を実現

¾

最高のポート密度

とIPSポリシーの仮想化

¾

ビジネスの成長に応じた対応

- スループットに応じてライセンスをアッ

プグレードできる、拡張性のあるプラットフォームの選択肢を用意

– 最大のROI（投資収益率）と投資保護を実現

主な差別化ポイント（2）

Page 75 ¾

攻撃対象になっている間もビジネス継続性を確保

ƒ

ネットワークが攻撃されている間も

基幹業務アプリケーションの

可用性を維持（Web、メール、FTP、DNSなど）

ƒ

正規ユーザのトラフィックをブロックすることなく

攻撃をブロック

ƒ

ネットワークの帯域とアプリケーションリソースに対して企業の

ポリシーを適用

（トラフィックシェーピング）

¾

低い総所有コスト - OpEx

ƒ

振る舞い検知型動作解析IPS機能により

「干渉なし」

（最低限の設定、

「メンテナンス不要」）のセキュリティ機能を実現

ƒ

ネットワーク環境に

シームレス統合

できるため、ネットワーク設定の

変更が不要（透過的なデバイス）

¾

低い総所有コスト - CapEx

ƒ

ソフトウェアライセンスのアップグレードのみで

拡張可能なプラット

フォーム

により、最高のROIと投資保護を実現

ラドウェアのセキュリティビジネスの価値

ゼロ

デイ、

「ゼロ」

タッチ、

「ゼロ」

-

誤検出なし