Comments
Description
Transcript
- パロアルトネットワークス
パロアルトネットワークス : Traps データシート Traps: アドバンスト エンドポイント プロテクション Traps: パロアルトネットワークス ® Traps ™は、脆弱性を悪用した巧 アドバンスト エンドポイント プロテクションを 実現 妙な攻撃や未知のマルウェア型攻撃を防御するアドバンスト • 未知のゼロデイ脆弱性など、脆弱性を悪用した あらゆる攻撃を防御 を阻止するための革新的なアプローチを採用し、拡張性の高 • 予備知識を必要とすることなく、あらゆる悪意のある 実行可能ファイルをブロック • 防御した攻撃に関する詳細なフォレンジックを提供 • 拡張性に優れた軽量構造、最小限の中断で エンドポイントをシームレスに保護 • ネットワークおよびクラウド セキュリティと緊密に 統合 エンドポイント プロテクション ソリューションです。攻撃 い軽量エージェントを介して、脅威自体についての予備知識 を一切必要とすることなくエンドポイント プロテクションを 実現することで、ほぼすべての標的型攻撃からエンドポイン トを保護する強力なツールを企業に提供します。 数々のエンドポイント セキュリティ製品が市場に出回っているにもかかわらず、 エンドポイントは依然として驚くべき勢いで感染の被害にあっています。従来 のエンドポイント プロテクション ソリューションで使用されている方法では、 急速に進化する脅威にはとても対応しきれません。Traps は、膨大な数の攻撃 を個々に識別したり、検出できない恐れのある悪意のある動作検出を試みるの ではなく、すべての攻撃者が攻撃を実行するために使用する必要がある一連の 主要な手法に着目します。このアプローチによって、Traps は、悪意のある活 動が実行される前に攻撃を防御することができます。 1 マルウェア 2 エクスプロイト 実行可能 ファイルを開く 任意のコードを 実行する脆弱性 既知のシグネチャ? 認識されている文字列? 既知の動作? 悪意のある 活動の痕跡 いいえ いいえ いいえ いいえ 図1: 従来のセキュリティ アプローチの失敗 さまざまな種類の攻撃、完全な保護 攻撃にはさまざまな形式があり、Web、電子メール、外部ストレージなどのさ まざまな経路から侵入する可能性があります。従来のほとんどのエンドポイン ト セキュリティ製品は、悪意のある実行可能ファイルからエンドポイントを保 護しますが、これは最も単純な攻撃パターンです。最も高度な標的型攻撃の中 には、正規のアプリケーションで開く、一見無害なデータ ファイルとして侵入 するものがあります。たとえば、悪意のあるコードが Microsoft Word ドキュメ ントや PDF ドキュメントに埋め込まれていることがあります。これは、エクス プロイトとも呼ばれます。Traps は、実行可能ファイル形式のマルウェアに加 えて、データ ファイル形式のエクスプロイトやネットワークベースの攻撃を防 御することによって、エンドポイントを保護します。 昨今の最も高度な脅威は、私たちが一般的に使用するソフトウェアの脆弱性を 悪用します。多くの場合、よく使用するデータ ファイル (pdf、rtf、doc、ppt、 xls など ) として侵入しますが、さまざまな業種で使用されている独自仕様のソ フトウェアを標的として個別に作成されることもあります。 パロアルトネットワークス : Traps データシート ファイルを開くと、ファイルの表示に使用されている正規のアプリケー ションの脆弱性を悪用して、悪意のあるコードが実行され、エンドポ イントが完全に制御下に置かれてしまいます。 Traps ポリシーはデフォルトで、100を超えるプロセスを保護するよ うに設定されています。それぞれに独自の EPM ( エクスプロイト防御 モジュール ) が数十個あります。 脆弱性の悪用を防御する仕組み ただし、Traps は他の製品とは異なり、それらのプロセスやアプリケー ションを保護するだけではありません。 攻撃やその複雑さに関係なく、攻撃者が攻撃を成功させるためには、 一連のエクスプロイト テクニックを順番に実行しなければなりませ ん。手順の多い攻撃もあれば少ない攻撃もありますが、標的のエンド ポイントの脆弱性を悪用するには、いずれの場合も少なくとも2つか 3つの手法を使用しなければなりません。Traps は、攻撃者が使用で きるさまざまなエクスプロイト テクニックを緩和およびブロックす ることを目的とした一連のエクスプロイト防御モジュールを使用しま す。さらに、脆弱性の悪用が成功するためには、一連のエクスプロイ ト テクニックを使用する必要があります。Traps はこれらの手法を完 全に無効にするので、アプリケーションは脆弱でなくなります。 攻撃そのものではなくエクスプロイト テクニックに着目することによっ て、脆弱性に関する予備知識がなくても攻撃を防御することができま す。パッチが適用されているかどうか、シグネチャやソフトウェアが 更新されているかどうかは関係ありません。重要なのは、悪意のある 活動のスキャンや監視を Traps が行わないという点です。したがって、 CPU やメモリをほとんど使用しないので、このアプローチには、拡張 性に関して大きなメリットがあります。 Traps フォレンジック データを収集 プロセスを 終了 PDF PDF ユーザー/管理者 に通知 PDF 無防備なユーザーによって 感染したドキュメントが 開かれる Trapsはプロセスに シームレスに注入される エクスプロイト テクニック が試行されるが、Trapsに より悪意のある活動は 開始前に阻止される Trapsによりイベントが 報告され、詳細なフォレン ジックが収集される 図2: エクスプロイトの防御 – ユーザー エクスペリエンス 悪意のある実行可能ファイルの防御 Traps エージェントが起動すると、エージェントが各プロセスに注入 されます。主要な攻撃手法のいずれかをプロセスが実行しようとして も、Traps によってプロセスが保護されており、攻撃プロセスがブロッ クされるので、エクスプロイトは失敗します。Traps はその手法を即 座にブロックし、プロセスを終了し、攻撃が防御されたことをユー ザーと管理者の双方に通知するとともに、すべての詳細を Endpoint Security Manager (ESM) に報告します。エクスプロイトにはチェーン のような性質があるため、攻撃を阻止するには、チェーンに含まれる 手法を1つだけ阻止すれば悪用は失敗します。 エクスプロイトの防御に加えて、Traps は、3つの重要な領域に着目 して悪意のある実行可能ファイルを防御するための多層アプローチを 使用することで、包括的な保護を実現します。次のような方法を組み 合わせると、比類のないマルウェア防御が実現します。 1. ポリシーベースの制限 : 特定の実行シナリオを制限するポリシー を簡単に設定することができます。たとえば、Outlook のテン ポラリー フォルダからファイルが実行されないようにしたり、 USB ドライブから特定の種類のファイルが直接実行されない ようにしたりすることができます。 2. 高度な実行制御 : Traps の実行制御では、グローバル ポリシー をきめ細かく制御して、子プロセス、フォルダ、署名のない 実行可能ファイルなどを制御することができます。また、実 行を許可する / 許可しないアプリケーションやハッシュをきめ 細かく制御できるので、システムを堅牢化することもできます。 20を超える エクスプロイト 防御モジュール ローカル ハッシュ管理 実行制限 WildFire 統合 高度な実行制御 2 ページ 図3: 悪意のある実行可能ファイルを防御するための適切な方法 マルウェア 防御モジュール パロアルトネットワークス : Traps データシート 3. WildFire ™インスペクションおよび分析 : Traps は、WildFire 脅威クラウドにハッシュについて問い合わせ、未知の .exe ファ イルがあれば送信して、グローバルな脅威コミュニティにお ける分析結果を評価します。 の通信は、HTTPS を介して行われます。ESM サーバにはデータが保 存されないので、適切な地理的範囲と冗長性を確保するために、必要 に応じて簡単に環境に追加したり、環境から削除したりすることがで きます。 4. マルウェア手法の緩和 : Traps は、スレッド インジェクション などの手法をブロックすることによって攻撃を防御する、手 法ベースの緩和策を実装します。 Traps エージェント フォレンジック 攻撃を防御した後で得られるフォレンジック情報が、成功して危害を 加えた攻撃に関して得られる情報よりも少なくなることはどうしても 避けられません。それでも、大量のインテリジェンスを収集すること が可能です。試行された攻撃に関するあらゆるフォレンジックを収集 することで、保護されていない可能性のある他のエンドポイントに対 して未然に防御策を適用することができます。 Trapsエージェントからは広範なデータが収集されます。Trapsエージェ ントは、実行された各プロセスの詳細を継続的に記録し、記録した情 報を Endpoint Security Manager (ESM) に報告します。また、Traps の 停止、削除、または改ざんが試行された場合は警告します。攻撃を防 御したときには、完全なメモリ ダンプや、悪意のあるコードによっ て試行された活動に関する情報など、さらに詳しい情報をエンドポイ ントから収集することができます。 Traps の導入アーキテクチャ Endpoint Security Manager - コンソール Traps インフラストラクチャは、さまざまなアーキテクチャ オプショ ンをサポートしているので、大規模な分散環境に拡張可能です。ESM をインストールすると、Microsoft SQL サーバ上にデータベースが作 成され、IIS 内に管理コンソールがインストールされます。Microsoft SQL 2008および2012がサポートされており、SQL サーバを ESM 専 用にすることも、既存の SQL サーバ上にデータベースを作成すること もできます。 Endpoint Security Manager - サーバ ESM サーバは基本的に、Traps エージェントと ESM データベース間の プロキシの役割を果たします。Traps エージェントから ESM サーバへ Traps エージェントのインストーラは9 MB 以下の MSI パッケージと して、任意のソフトウェア導入ツールから使用できます。 エージェントの更新は、ESM を介してできます。ディスクの使用量 は25 MB 未満、メモリ内で実行中の使用量は40 MB 未満です。観測 される CPU 使用率は0.1パーセント未満です。エージェントには、ユー ザーや有害なコードが保護を無効にしたり、エージェント設定を細工 できないように、様々な細工防止策が講じられています 軽量構造のため、Traps 環境を横展開に拡張可能で、ESM ごとに最大 50,000のエージェントという大規模導入をサポートしながらも、ポ リシーの設定およびデータベースを一元管理することができます。 Traps はほとんどの主要なエンドポイント セキュリティ ソリューショ ンと共存可能で、CPU 使用率と I/O は非常に低く維持されます。この ように中断を最小限に抑えることができる Traps は、重要なインフラ ストラクチャ、特殊なシステム、VDI 環境に最適です。 外部ログ ESM は、ログを内部に保存できるだけでなく、SIEM、SOC、syslog など、 外部ログ プラットフォームにログを書き込むこともできます。複数 の ESM を導入した組織では、外部ログ プラットフォームを使用する ことで、それらのログ データベースを集約して表示することができます。 適用範囲とサポートしているプラットフォーム Traps は、パッチが適用されていないシステムも保護します。デスク トップ、サーバ、産業用制御システム、端末、VDI、VM、組み込み システムなど、Microsoft Windows を実行するプラットフォームでサ ポートされています。さらに、Trapsは極めて軽量で、任意のアプリケー ション プロセスを保護するように拡張可能なので、ユーザーに意識 されないように独自のプロセスを保護する必要がある ATM、POS、 SCADA をはじめとする多くの産業用アプリケーションなど、特殊な システムの保護に最適です。 Traps は現在、次の Windows ベースのオペレーティング システム をサポートしています。 仮想環境 : オペレーティング システム : ‒‒ Citrix ‒‒ VDI ‒‒ VM ‒‒ Windows XP (32ビット、SP3以降 ) ‒‒ Windows 7 (32ビット、64ビット、RTMおよびSP1。Homeを除くすべてのエディション) ‒‒ Windows 8 (32 ビット、64 ビット ) ‒‒ ESX ‒‒ VirtualBox/Parallels ‒‒ Windows 8.1 (32 ビット、64 ビット ) 物理プラットフォーム : ‒‒ Windows Server 2003 R2 (32ビット、SP2以降 ) ‒‒ SCADA ‒‒ Windows Server 2003 (32ビット、SP2以降 ) ‒‒ Windows タブレット ‒‒ Windows Server 2008 (32 ビット、64 ビット ) ‒‒ Windows Server 2012 ( すべてのエディション ) ‒‒ Windows Server 2012 R2 ( すべてのエディション ) ‒‒ Windows Vista(32 ビット、64 ビット、SP2以降) 〒102-0094 千代田区紀尾井町4番3号 泉館紀尾井町3F 電話番号 : 03-3511-4050 www.paloaltonetworks.jp Copyright ©2015, Palo Alto Networks, Inc. All rights reserved. パロアルトネッ トワークス、パロアルトネットワークス ロゴ、PAN-OS、App-ID、および Panorama は、Palo Alto Networks, Inc. の商標です。製品の仕様は予告なく変 更となる場合があります。パロアルトネットワークスは、本書の記述の間 違いまたは本書の情報の更新について一切の責任を負いません。パロアル トネットワークスは予告なく本書の変更、修正、移譲、改訂を行う権利を 保有します。PAN_DS_TRAPS_033115