課題別提案方法 - パロアルトネットワークス

セッション２：
課題別提案方法
Opportunity Finding
次世代セキュリティプラットフォーム
脅威インテリジェンスクラウド
脅威
インテリジェンス
クラウド
§ 次世代ファイアウォールと次世代エンドポイントから潜在
的な脅威の情報を収集
§ 収集された脅威の情報を統合的かつ相関的に分析
§ 新しい脅威の情報を次世代ファイアウォールと
次世代エンドポイントへフィードバック
次世代ファイアウォール
§ 全てのアプリケーションを可視化し安全に利利⽤用
Automated
§ ネットワークベースで既知の脅威を全てブロック
§ 未知の脅威は次世代セキュリティクラウドに送信
次世代エンドポイント
§ すべてのプロセスとファイルを検査
§ 既知と未知のエクスプロイトから防御
§ デスクトップ/ 仮想化/ モバイル端末に対応
§ 軽量量なエージェントが最⼩小リソースで稼働
Natively Integrated
次世代
ファイアウォール
Extensible
TRAPS
アドバンスト
エンドポイント
セキュリティ
攻撃ライフサイクルの各ステージで攻撃を防御: 多層防御
攻撃者
①
エンドユーザーを
引っかける
リスクの⾼高い
アプリケーションをブ
ロック
URL
フィルタ
攻撃⽤用サイトへの
アクセスをブロック
IPS
アンチ
スパイウェア
アンチウィルス
(本体/DNS通信)
Threat License
APP-‐‑‒ID
(アプリ可視化)
②エクスプロイト
実⾏行行
③ マルウェアの
ダウンロード
マルウェアの
ダウンロードをブロッ
ク
既知エクスプロイトを
ブロック
エンドポイント
確⽴立立
⑤
情報の搾取
標準ポートを使わない
C&C通信ブロック
リスクの⾼高い
アプリケーションを
ブロック
DNSを変えるマルウェ
アサイトをブロック
マルウェアサイトへの
通信をブロック
スパイウェア
C&C通信をブロック
スパイウェア
C&C通信をブロック
既知マルウェア
をブロック
Drive-‐‑‒by-‐‑‒download
を
ブロック
ファイル
ブロッキング
サンドボックス
④バックドアの
ファイルの送信を
コントロール
未知のエクスプロイト
を含むファイルを検出
未知のマルウェアを
検出
エクスプロイトを
ブロック
既知・既知マルウェア
の
起動をブロック
ターゲット
Palo Alto Networks カバーエリア（対策別）
⼊入⼝口対策
内部対策
ネットワークセグメ
ンテーション
出⼝口対策
Firewall(アプリ識識別・制御)
通信ログの管理理
IPS/IDS
国別アクセス制御
マルウェア通信の
捕捉・遮断
既知・未知マルウェア
の捕捉・遮断
アプリ単位で通信の可視化
SSL通信復復号化
ボットネットレポート
SPAM対策
データセンター
Internet
DDOS ( Load Balancer)
内部対策
ポリシー
通信ログ管理理
端末上での未知のマ
ルウェア対策
IDやパスワードの
厳格な管理理
Proxy
ログ管理理
起動プロセスの制限
と特定コマンドの実
⾏行行制限
WAF
経営陣
社内ネットワーク
SPAM対策
情報システム部⾨門
CSIRT
パロアルトネットワークスの対応範囲（⾚赤字）
DMZ Network
サンドボックス機能
顧客リクエストまたは顧客の将来計画に
よる提案機会
Office 365 導⼊入予定
内部対策＆仮想化環境
標的型攻撃対策
Office 365
〜市場拡大〜
Office 365
日経 225 銘柄企業
70%
２０１４
Office 365ではProxyが対応出来ない
400名規模のお客様
導⼊入前：
600セッション
Office 365 導⼊入後：
1,800セッション
Proxy が
持たない
Office 365 Upgrade：
20,000セッション以上
・Office 365の仕様により、セッション数を５〜～６倍以上消費
・Proxyのセッションが増加し、既存のProxy で対応できない
現状の対策：Proxyのバイパス
Office 365の通信は、Proxyを経由せず直接インターネットへ通信に変更更
8 | ©2012, Palo Alto Networks. Confidential and Proprietary. パロアルトネットワークスでのOffice365対策
解決
Internet
次世代ファイアウォール
Proxyサーバー
Office 365以外の通信
１．詳細なログ
２．多層防御による
脅威防⽌止
Office 365の通信
１．詳細なログ
２．Office 365の脆弱性対策
３．Office 365の可視化
４．Proxyセッションの負荷軽減
クライアント
PACファイルで
Office 365を除外設定
次世代ファイアウォールを導⼊入し、
セッション数をさばけるようにする
（機能）
PACファイルなどでO365トラ
フィックをプロキシから迂回させ、
次世代ファイアウォールを通すよう
にするプロキシを廃⽌止し、次世代
ファイアウォールで全てのWebト
ラフィックを通過させる
またURLフィルタを始め、各種セ
キュリティ機能を次世代ファイア
ウォールに統合し、トータルコスト
を抑える（コスト）
内部対策
仮想化環境
〜更なる売り上げ〜
内部対策
倉庫
POS
POS
POS
店舗
マネージャ
ステーショ
ン
店舗 -‐‑‒ ⼩小〜～⼤大規模
パートナーとサプライヤー
オンライン
消費者
在庫/流流通追跡と
すべての企業機能
インターネッ
ト
WiFi
インターネッ
ト
プライベート
WAN
外部アクセス
11 | ©2014, Palo Alt o Net works. C onfident ial and Propriet ary. インターネット
と
エクストラネッ
ト
DMZ ゾーン
課題
（または顧客に提⾔言する内容）
WMS
プライベート
WAN
プライベート
WAN
インターネッ
ト
クレジット
カード認証と
処理理
企業本社
在庫管理理
ERP & 企業機能
分析
その他の企業機能
o
o
o
o
eコマース
顧客のサポート/管
理理
データセンター
イントラネットのネッ
トワーク帯域に耐えら
れるセキュリティ製品
感染端末のあぶり出し
の機能
ユーザ名の可視化も⾏行行
いたい
コマンドアンドコント
ロール通信の発⾒見見
Internet Gateway＋内部対策（セグメンテーション）
倉庫の従業員からのアクセス: 企業本社
倉庫
• 誰が何にアクセスしたかを可視化
• 部署、機能別にセグメンテーション
POS
POS
WiFi
POS
店舗
マネージャ
ステーション
店舗 -­ 小～大規模
パートナーとサプライヤー
オンライン
消費者
外部アクセス
12 | ©2014, Palo Alto Networks. Confidential and Proprietary. WMS
インターネット
インターネットゲートウェイ:
•
•
•
すべての通信を可視化と制御
パートナー/サプライヤーからの
アクセスを制御
インターネット
すべての既知と未知の脅威を対策
プライベート
WAN
プライベート
WAN
ファイア
ウォール
インター
ネット と
エクストラ
ネット
在庫管理
ファイア
ウォール
• 境界: す べてのトラフィックを
高パフォーマンスに制御と検査
プライベート
WAN プロファイルの
• 類似のセキュリティ
ゾーンへセグメント化
ファイア
ウォール
DMZ
ゾーン
分析
eコマース
ファイア
ウォー
ル
ERP &
企業機能
その他の
企業機能
インターネット
データセンター :
クレジット
カード認証と
処理
在庫/流通追跡と
すべての企業機能
顧客
サポート/ 管理
仮想化データセンター : •
East-­Westトラフィック(VM間)の
コア/可視化/制御
本社データセンター
Internet Gateway＋内部対策（セグメンテーション）
企業本社
倉庫
クレジット カード ゾーンの分離
•
POS
POS
POS
店舗
マネージャ
ステーション
•
インターネット
プライベート
WAN
店舗 -­ 小～大規模
インターネット
インター
ネット と
エクストラ
ネット
パートナーとサプライヤー
オンライン
消費者
在庫/流通追跡と
すべての企業機能
適正なアプリ/ユーザー/ソース/
宛先のみにトラフィックを制限
WiFi
脅威の横方向の移動をブロック
WMS
プライベート
WAN
ファイア
ウォール
在庫管理
その他の
企業機能
インターネット
ファイア
ウォール
分析
DMZ
ゾーン
クレジット
カード認証と
処理
外部アクセス
13 | ©2014, Palo Alto Networks. Confidential and Proprietary. プライベート
WAN
ERP &
企業機能
eコマース
ファイア
ウォー
ル
コア/本社データセンター
顧客
サポート/ 管理
Internet Gateway＋内部対策（TRAPS）
企業本社
倉庫
Trap
s
POS
Trap
s
POS
店舗
マネージャ
ステーション
Trap
s
Trap
s
Trap
s
WiFi
POS
在庫/流通追跡と
すべての企業機能
WMS
Trap
s
インターネット
Trap
s
プライベート
WAN
店舗 -­ 小～大規模
エンドポイント
インターネット
パートナーとサプライヤー
オンライン
消費者
プロテクション インターネッ
ト
•
POS端末
と
•
店舗PC
エクストラ
ネット
•
企業エンドポイント
インターネット
ファイア
ウォール
プライベート
WAN
ファイア
ウォール
在庫 管理
その他の
企業機能
ファイア
ウォール
分析
DMZ
ゾーン
クレジット
カード認証と
処理
外部アクセス
14 | ©2014, Palo Alto Networks. Confidential and Proprietary. プライベート
WAN
ERP &
企業機能
eコマース
ファイア
ウォー
ル
コア/本社データセンター
顧客
サポート/ 管理
仮想化環境における新たなセキュリティ脅威、課題
•
クラウドでは異なる信頼レベルのアプリエーションが1台のサーバ上で動作
•
•
VM間トラフィック (East-­West) の検査が必要
ポートとプロトコルベースのセキュリティは不十分
MS-­SQL
SharePoint
Web Front End
VM間でアプリケーショントラフィックを安全に利用させることが必要
•
静的なポリシーでは仮想環境の動的な変化に対応できない
•
アプリケーションのプロビジョニングは頻繁に変更され
数分で発生することも
•
セキュリティの変更承認と設定は数週間、数か月かかることも
VMコンテキストを理解する動的なセキュリティポリシーが必要
仮想化環境のリスク：Hidden Lynx Attack
•
APTグループ“Hidden Lynx” (雇われプロフェッショナルハッカー)
•
非常に高度なカスタムのトロイの木馬、ゼロデイマルウェア・エクスプロイトを多用
•
2012年6月, Hidden Lynxはカリフォルニアのハイテク企業を攻撃
•
•
•
SQLインジェクションによる初期侵入
周りのVMに侵入し認証情報を盗む
最終目標はUSディフェンスのネットワーク
Certificate signing server
credential theft
credential theft
SQLインジェクション
Backdoor.Hikit
Hypervisor
物理ホスト
16 | © 2 015, Palo Alto N etworks. C onfidential a nd Proprietary. VM シリーズ -­仮想環境で動作する PAN-­OS
§
§
§
仮想環境で PAN-­OS 上のすべての次世代ファイアウォール機能を提供
VM間（East-­West）の通信に対する可視化と制御を実現
キャパシティに応じたライセンス体系
VM-­Series for VMware vSphere (ESXi)
VM-­Series for Citrix NetScaler SDX
Public Cloud
VM-­Series for VMware NSX
標的型攻撃
〜終わらない戦い〜
標的型攻撃
標的型攻撃＝サンドボックス?
サンドボックスだけで良良いのか？（サンドボックの他にも出⼝口対策など必
要）
サンドボックスはWeb専⽤用、メール専⽤用、ファイルサーバ専⽤用と、、⾼高価
である（コスト）
（メーカによる）サンドボックスだけでは検知したマルウェアを防御でき
ず、連携ソリューションが必要になる（コスト）
SSL経由で運ばれてくるマルウェアの検知が出来ない
①エンドユーザーを
②エクスプロイト
引っかける
実⾏行行
APP-‐‑‒ID
(アプリ可視化)
リスクの⾼高い
アプリケーションを
ブロック
URL
フィルタ
攻撃⽤用サイトへの
アクセスをブロック
アンチ
スパイウェア
アンチウィルス
(本体/DNS通
信)
防 未
Threat License
IPS
ファイル
ブロッキング
WildFire
(サンドボックス)
Traps
御 知
③マルウェアの
ダウンロード
マルウェアの
ダウンロードを
ブロック
既知エクスプロイトを
ブロック
④バックドアの
確⽴立立
⑤情報の搾取
標準ポートを使わない
C&C通信ブロック
リスクの⾼高い
アプリケーションを
ブロック
DNSを変えるマルウェ
アサイトをブロック
マルウェアサイトへの
通信をブロック
スパイウェア
C&C通信をブロック
スパイウェア
C&C通信をブロック
既知マルウェア
をブロック
シ の
グ マ
ネ ル
Drive-‐‑‒by-‐‑‒downloadを
ブロック
チ ウ
ャ ェ
の ア
⾃自 に
動 対
配 す
信 る
ファイルの送信を
コントロール
未知のエクスプロイト
を含むファイルを検出
未知のマルウェアを
検出
エクスプロイトを
ブロック
既知・既知マルウェア
の
起動をブロック
弊社次世代FWの対象範囲
例えば。。FEとのカバレッジの違い
•
標的型攻撃に対する
防御機能のカバレッジの
範囲の違い
the network security company
tm
App-­ID/User-­ID
Anti-­Virus
Anti-­Spyware
IPS/IDS
File Blocking
URL Filtering
Data Filtering
SSL Decryption
・・・ etc
NXシリーズ
(HTTP専用)
EXシリーズ
(Mail 専用)
出典：http://www.macnica.net/fireeye/index.html/
FXシリーズ
(SMB専用)
＋
HTTP、Mail(SMTPのみ)、
SMB(CIFS)
でそれぞれ別々の専用ア
プライアンスが必要！
ランサムウェア対策
23 | © 2 015, Palo Alto N etworks. C onfidential a nd Proprietary. ⽇日本で拡散！ランサムウェアとは？
“実⾏行行されると端末内部や、
ネットワークドライブ上の
ファイルを暗号化
暗号化解除の為に⾦金金銭を要求する
⾝身代⾦金金要求型ウィルス“
⽇日本国内で作成されたランサムウェア
http://gigazine.net/news/20160411-‐‑‒ransomware-‐‑‒know-‐‑‒where-‐‑‒you-‐‑‒live/
拡⼤大してゆくランサムウェア
> 20 Families
昨年年末に⽇日本国内に⼤大量量に出回っていたランサムウェア
昨年年12⽉月に急激に増加！
⽇日本国内のWildFire(サンドボックス)で検知したランサムウェア
実被害はそれ以上
ランサムウェアは従来のサイバー攻撃の推移と⼤大きな違いが
C&Cサーバと通信をして
情報を抜き出す⽬目的ではない
情報収集
エクスプロイ
ト
の悪⽤用
マルウェア
の実⾏行行
制御チャネル
の
確⽴立立
データの奪取
攻撃計画の
⽴立立案
ユーザに
悟られずに感染
悪意のある
ファイルを実⾏行行
マルウェアは
攻撃者と通信
データ盗難、
妨害⾏行行為、
破壊活動
実⾏行行されてしまった段階で実被害が発⽣生！
ランサムウェア対策に必要なのはファイルの取得の防⽌止とファイル実⾏行行の防⽌止
ランサムウェアの脅威とは・・・
実⾏行行したら即
OUT!!!!
⼤大切切な業務データが暗号化されてしまいます。
①エンドユーザーを
②エクスプロイト
引っかける
実⾏行行
APP-‐‑‒ID
(アプリ可視化)
リスクの⾼高い
アプリケーションを
ブロック
URL
フィルタ
攻撃⽤用サイトへの
アクセスをブロック
アンチ
スパイウェア
アンチウィルス
(本体/DNS通
信)
防 未
Threat License
IPS
ファイル
ブロッキング
サンドボックス
エンドポイント
御 知
シ の
③マルウェアの
ダウンロード
マルウェアの
ダウンロードを
ブロック
既知エクスプロイトを
ブロック
④バックドアの
確⽴立立
⑤情報の搾取
標準ポートを使わない
C&C通信ブロック
リスクの⾼高い
アプリケーションを
ブロック
DNSを変えるマルウェ
アサイトをブロック
マルウェアサイトへの
通信をブロック
スパイウェア
C&C通信をブロック
スパイウェア
C&C通信をブロック
既知マルウェア
をブロック
グ マ
ネ ル
Drive-‐‑‒by-‐‑‒downloadを
ブロック
チ ウ
ャ ェ
の ア
⾃自 に
動 対
配 す
信 る
ファイルの送信を
コントロール
未知のエクスプロイト
を含むファイルを検出
未知のマルウェアを
検出
エクスプロイトを
ブロック
既知・既知マルウェア
の
起動をブロック
①エンドユーザーを
②エクスプロイト
引っかける
実⾏行行
APP-‐‑‒ID
(アプリ可視化)
リスクの⾼高い
アプリケーションを
ブロック
URL
フィルタ
攻撃⽤用サイトへの
アクセスをブロック
アンチ
スパイウェア
アンチウィルス
(本体/DNS通
信)
防 未
Threat License
IPS
ファイル
ブロッキング
サンドボックス
エンドポイント
御 知
シ の
③マルウェアの
ダウンロード
マルウェアの
ダウンロードを
ブロック
既知エクスプロイトを
ブロック
④バックドアの
確⽴立立
⑤情報の搾取
標準ポートを使わない
C&C通信ブロック
リスクの⾼高い
アプリケーションを
ブロック
DNSを変えるマルウェ
アサイトをブロック
マルウェアサイトへの
通信をブロック
スパイウェア
C&C通信をブロック
スパイウェア
C&C通信をブロック
既知マルウェア
をブロック
グ マ
ネ ル
Drive-‐‑‒by-‐‑‒downloadを
ブロック
チ ウ
ャ ェ
の ア
⾃自 に
動 対
配 す
信 る
ファイルの送信を
コントロール
未知のエクスプロイト
を含むファイルを検出
未知のマルウェアを
検出
エクスプロイトを
ブロック
既知・既知マルウェア
の
起動をブロック
ランサムウェア対策には多層防御が有効！
対策②
§ 次世代ファイアウォールと次世代エンドポイントか
ら潜在的な脅威の情報を収集
パロアルトネットワークス
なら多層のすべてが
⾃自動連携！
対策①
§ 収集された脅威の情報を統合的かつ相関的に分析
§ 新しい脅威の情報を次世代ファイアウォールと
次世代エンドポイントへフィードバック
対策③
§ 全てのアプリケーションを可視化し安全に利利⽤用
§ すべてのプロセスとファイルを検査
§ ネットワークベースで既知の脅威を全てブロック
§ 既知と未知のエクスプロイトから防御
§ 未知の脅威は次世代セキュリティクラウドに送信
§ デスクトップ/ 仮想化/ モバイル端末に対応
§ 軽量量なエージェントが最⼩小リソースで稼働
脅威インテリジェンスクラウド “WildFire”
8,000
Email SMTP
31,000 台以上
All ports
SSL encryption
FTP
Endpoint
社以上
未知の脅威を発⾒見見＆フィードバック
§ マルウェア
§ エクスプロイト（脆弱性攻撃）
§ C&C通信
§ DNSクエリー
§ マルウェア配信サイト（URL）
※Web/Email/FTP等複数プロトコルに対応
All traffic
Data center
We
b
キルチェーンに則した
インライン防御を提供
WildFire
脅威情報を相関的に分析＆共有:
Perimeter
WildFire
All commonly exploited file types
•
•
3rd party data
•
•
アップロードされるユニークなファイル数: ⼀一⽇日当たり 約130万
ü 70%がPDF, 12%がWord, PE/EXEが4%
そのうち ~∼6% が未知含むマルウェア： ⼀一⽇日当たり 約3万
ü 発⾒見見されたマルウェアのうち 97%がPEフォーマット
•
•
脅威防御
URLフィルタ
15分毎に約312の新しい AV シグネチャを配信
15分毎に約150の新しい DNS シグネチャを配
信
30分毎に約280の新しい URL ルールを追加
14%は ポート80番/25番以外で発⾒見見
次世代エンドポイント防御 “TRAPS”
脆弱性を突く攻撃エクスプロイトを阻
⽌止！
Traps
未知のマルウェア実⾏行行を阻⽌止！
Advanced Endpoint Protection
Trapsは、攻撃者が⾏行行う攻撃のための⼿手法を阻害することで
攻撃を失敗に終わらせる、全く新しい考え⽅方の
アドバンスト エンドポイント プロテクションです。
エクスプロイト テクニック
エクスプロイト攻撃
DEPの回避
1. エクスプロイトの試みは、知り合いから送
られたPDFに埋め込まれている
悪意のある活動は
起こらない
2. PDFが開かれ、Acrobat Readerの脆弱性
を突く、エクスプロイト・テクニッックが
作動する
3. エクスプロイトは、ウイルス対策を回避し、
マルウェアの起爆剤をターゲットに落落とす
4. マルウェアはウイルス対策を回避し、
メモリ上で稼働する
Traps Exploit Prevention
Modules (EPM)
1. エクスプロイトの試みを遮断。
脆弱性についての事前知識識は不不要。
2. 管理理者がEPMの１つを無効した場合、最初
のテクニックは成功するが、
次のテクニックが遮断され、
悪意のある⾏行行動は阻⽌止される
ヒープ
スプレー
通常アプリケーションの
起動
Traps
EPM
多層防御を利利⽤用したランサムウェア対策
攻撃⽤用サイトへの誘導
改竄されたWebサイト
攻撃者
APP-‐‑‒ID
(アプリ可視
化)
URL
フィルタ
脆弱性防御
アンチ
スパイウェア
アンチウィル
ス
(本体/DNS通
信)
ファイル
ブロッキング
WildFire
(サンドボックス)
Traps
利利⽤用者
ランサムウェアを含む
標的型メールやWebサイト
ランサムウェア本体(バックドア)の
ダウンロード
リスクの⾼高い
アプリケーションを
ブロック
ランサムウェアの
ダウンロードを
ブロック
攻撃⽤用サイトへの
アクセスをブロック
未
知
シ の
グ ラ
ネ ン
チ サ
ャ ム
の ウ
⾃自 ェ
動 ア
配 に
信 対
す
る
既知エクスプロイ
トを
ブロック
既知ランサムウェ
アを
ブロック
メール添付の
EXEファイルを
ブロック
既知ランサムウェア
をブロック
Drive-‐‑‒by-‐‑‒download
を
ブロック
未知のランサム
ウェアを
検知・ブロック
未知のランサムウェア
を
検知・ブロック
未知ランサムウェ
ア＆
エクスプロイトを
ブロック
未知ランサムウェアを
ブロック
ご静聴誠に有難うございました