Comments
Description
Transcript
先進的なエンドポイントセキュリティ 対策のご紹介
IBM Internet Security Systems 先進的なエンドポイントセキュリティ 対策のご紹介 日本アイ・ビー・エム株式会社 ISS事業部 © Copyright IBM Corporation 2008 IBM Internet Security Systems Agenda 従来のエンドポイントセキュリティ 今後必要なエンドポイントセキュリティ Proventia® Desktopによるエンドポイントセキュリティ対策 - クローズアップテクノロジ:VPS - クローズアップテクノロジ:BOEP - クローズアップテクノロジ:IPS Proventia Desktopの集中管理機能 Awards and Certifications 2 © Copyright IBM Corporation 2008 IBM Internet Security Systems 従来型エンドポイントセキュリティ アンチウィルスによる伝統的なウィルス対策 - 電子メールに添付されたウィルスへの対応 - Webブラウズによりダウンロードされる不正プログラム対策 ファイアウォールによるアクセス制限 - スパイウェア対策 - 3 ポート単位でのサービス保護 アンチウィルスと同様のパターン型検知 © Copyright IBM Corporation 2008 IBM Internet Security Systems 従来型エンドポイントセキュリティの限界 発見・対応できない脅威 - 大量の未知ウィルスの発生 • ボット - 参考資料 : http://www.jpcert.or.jp/research/2006/Botnet_summary_0720.pdf • スピア型不正プログラム - ボットを埋め込むために利用される特定ターゲット向け不正プログラム - アンチウィルスのパターンでは対応不可能 • ウィルス用ハニーポットに感染した不正プログラムのうち80%が未知(Telecom-ISACと JPCERTの調査結果) 攻撃パターンに合わせた検知・防御手法では対応不可能 高度に復号化された攻撃手法に対応不可能 - 4 例:スピア型ウィルスによりボットを埋め込まれるケースなど・・・ © Copyright IBM Corporation 2008 IBM Internet Security Systems 限界に達した既存の対策 5 被害状況 - 毎年半数の団体が深刻なセキュリティ侵害を受けている - うち99%の組織がファイアウォールとアンチウィルスを導入済み 既存の対策では保護ができない © Copyright IBM Corporation 2008 Source: CSI/FBI Computer Crime & Research Survey IBM Internet Security Systems 今後必要なエンドポイントセキュリティ 6 新しい防御手法 - 未知の脅威にも対応可能な防御手法 - 複合的な攻撃手法に対応可能な防御手法 © Copyright IBM Corporation 2008 IBM Internet Security Systems Proventia® Desktopによるエンドポイントセキュリティ 7 マルチレイヤ型保護 - IPS : バーチャルパッチ - ファイアウォール - VPS : ウィルス防御システム - BOEP : バッファオーバーフロー防御 - アプリケーションコントロール - スパイウェア、リスクウェア保護 様々な脅威からエンドポイントを防御 © Copyright IBM Corporation 2008 IBM Internet Security Systems Proventia® Desktopマルチレイヤ型保護 8 © Copyright IBM Corporation 2008 IBM Internet Security Systems クローズアップテクノロジ:VPS Virus Prevension System - ビヘイビアベースのウィルス防御システム - 仮想マシンの構築 • Windows API、CPU、memory等・・・ - 仮想マシン上でプログラムを実行し、定義済みの動作を行うプログラムを不正プログラム として検知、防御 - 定義済みビヘイビアの例 • malcode-SendItselfByEmail • malcode-AttachFileWithMultipleExtensions • malcode-WritingExeToIEStartPageRegEntry ・・・ 9 © Copyright IBM Corporation 2008 IBM Internet Security Systems VPSアーキテクチャ概要 Detect Change Operating System Unknown Executable Code Virtual PC Loader OS Analyze Decide Behavior Pattern And Sequence Action Run Repair Quarantine Delete Report CPU Determine Intent MD5 10 Benign Malicious © Copyright IBM Corporation 2008 IBM Internet Security Systems BagleとVPS 2005年5月31日(米国時間) 8種類の Bagleの亜種が発生 数時間のうちにサイトあたり70,000も のBagle亜種を受信 VPSはアップデート無しで全ての亜種 を防御 シグネチャ型のアンチウィルスでは対 応不可能 *Source: “Blank virus blanks email” By John Leyden – The Register – 5/31/05 11 IBM ISS © Copyright IBM Corporation 2008 IBM Internet Security Systems VPSによる未知の攻撃からの防御 Average Vendor Response Time Data Source: Datamation and AV-Test.org http://itmanagement.earthweb.co m/co lumns/executive_tech/article.php/3316511 この数時間、VPSはデスクトッ プを防御します。 Kaspersky Sophos Trend Micro McAfee Symantec 0h 10h 20h 30h 攻撃開始直後の重要な数時 間、アンチウイルスはシグネ チャが提供されていないので 防御できません。 12 © Copyright IBM Corporation 2008 IBM Internet Security Systems VPS vs. サンドボックス サンドボックスとは・・・・ - 不正プログラムを一時的に非常に権限を制限したアカウントで動作させ、リアルタイムで 「現場を押さえる」方法 • 不正プログラム自体は1プロセスとして実行される - サンドボックスに権限を昇格される脆弱点がある場合はサンドボックス外に影響が及ぶ • 例 : Java VMのいくつかの脆弱点 VPSは・・・ - 不正プログラム実行前に仮想マシンを構築し、仮想マシン内で実行させる方法 - 不正プログラムは全ての動作を制限なく仮想マシン内で実行 • 仮想マシンを超えて外部に影響を与えることは不可能 13 © Copyright IBM Corporation 2008 IBM Internet Security Systems VPSログの例 2006/08/30 20:15:24, malcode-PackedVBStrong, 0.0.0.0, FileName=Email+Component:+Mail+delivery+failed:+returnin g+message+to+sender.msg<>metaBehavior=File+structure+i s+unusual+for+normal+applications.::Replicates+via+the+Int ernet;+such+as+through+email.::Executes+highly+suspicious +or+restricted+commands.<>checksum=7eca251bdd5a7cd2 9557b729c9e6e160<>timeVirusDetected=1156936524<>acti onTaken=Quarantine+file<>infectionVector=EMail+or+Internet+Scan<>UserName=SYSTEM<>DomainNa me=NT+AUTHORITY, 1 14 © Copyright IBM Corporation 2008 IBM Internet Security Systems クローズアップテクノロジ:BOEP BOEP : Buffer Overflow Exploit Prevension - バッファオーバーフローを防止し、不正なプログラムの実行を防止 スタックオーバーフロー、ヒープオーバーフロー攻撃から防御 カーネルレベルのでの監視(APIレベルの監視ではない) 任意のWindowsアプリケーションを保護可能 15 © Copyright IBM Corporation 2008 IBM Internet Security Systems クローズアップテクノロジ:BOEP 特徴は? - システムコールのフック - 書換可能なメモリ空間上でのシェルコード実行の試みに対する監視 - 関数呼び出しを発見するバックトレース - 3種類のレスポンス • プロセスのキル • システムコールのエラー終了 • アラートのみ 16 © Copyright IBM Corporation 2008 IBM Internet Security Systems BOEP vs. Windows 2003 Server Windows 2003 Serverは・・・ - スタックのみ。ヒープオーバーフローは未対応 - 10年前から存在する古い技術 • フレームポインタ内にスタッククッキーを保存し、バッファオーバーフローにおりスタッ ククッキーが操作されることで検知 - 容易な回避 • 過去のスタッククッキーを例外ハンドラからオーバーフローさせるだけ - 公開されている回避技術 • http://www.nextgenss.com/papers/defeating-w2k3-stack-protection.pdf 17 © Copyright IBM Corporation 2008 IBM Internet Security Systems BOEPの効果 ローカルバッファオーバーフロー攻撃の防御 - 18 不正なWord、PowerPoint、PDFにより引き起こされるバッファオーバーフローからシステ ムを防御 © Copyright IBM Corporation 2008 IBM Internet Security Systems BOEPログの例 boep-iexplore, 0.0.0.0, ProcessID=4908<>SystemCall=NtCreateFile<>Blocked=YES <>Killed=NO<>ExeFile=C:¥Program+Files¥Internet+Explorer ¥iexplore.exe<>User=hogura<>Domain=ADMIN<>SecChkID =16202<>AlertName=boepiexplore<>ReturnAddr=080934a0, 1 19 © Copyright IBM Corporation 2008 IBM Internet Security Systems IBM ISS クローズアップテクノロジ:IPS MS Plug & Play / Zotobの例 20 4/13/2005 8/9/2005 8/11/2005 8/13/2005 ISS implements protection for MS PnP vulnerability into ISS products. ISS’ Virtual Patch protection begins. Microsoft publicly announces vulnerability and availability of a patch. Plug and Play exploits become public Zotob Bot runs rampant and causes damage to organizations worldwide. ISS customers enjoy protection since 4/13/2005. 4/13/2005 8/9/2005 8/11/2005 8/13/2005 8/16/2005 Others do not have internal research to find and understand vulnerabilities; therefore, they have no knowledge of the MS Plug and Play vulnerability. Other claim “preemptive protection” through broad blocking and alerting methods which are prone to false positives and false negatives Plug and Play exploits become public Zotob Bot propagates, some competition see the bot, but none of the (many) variants, resulting in continuous updates offering little to no zero day coverage. Exploit-based signatures released to reactively protect against the Zotob Bot © Copyright IBM Corporation 2008 IBM Internet Security Systems 脆弱性発表から攻撃発生まで Window Between Vulnerability and Exploit EXPLOIT MS02-039 Slammer July 24, 2002 185 Days MS03-026 Jan 25, 2003 26 Days July 16, 2003 MS04-011 Apr. 13, 2004 MS05-039 Aug. 9, 2005 21 17 Days 4 Days MS Blaster Aug 11, 2003 Sasser Apr. 30, 2004 Zotob Aug. 13, 2005 © Copyright IBM Corporation 2008 Source: Microsoft Security Center IBM Internet Security Systems IBM ISSが誇る事前防御を実現する研究機関X-Force® 研究 独自の脆弱性研究 テクノロジー ソリューション X-Force®診断エンジン サ ー 脅威傾向分析 保護技術研究 X-Force®製品アップデート シグネチャ開発 X-Force®インテリジェンス X-Force®データベース ナレッジの共有 ビ ス ソリューション X セ -Fo ア キ rc ッ ュ リ e® プ デ ティ ー ト セ 統 キ 合 ュ 化 情 リテ 報 ィ 不正プログラム分析 新エンジン開発 製 公開脆弱性の分析 品 既存エンジンの拡張 IBM ISS X-Force® 研究開発チーム ● 民間企業では世界最大規模の脆弱性研究開発組織 ● 33,000以上の脆弱性情報データベースを所有 X-Forceによる情報分析により情報を蓄積し反映 22 © Copyright IBM Corporation 2008 IBM Internet Security Systems Proventia Desktopの集中管理機能 23 SiteProtector™による集中管理 - グループ化による効率のよいポリシー管理 - イベントコリレーション、分析、レポート生成 - Network IPS、Enterprise Scanner等と統合された管理機能 Active Directoryとの統合 - Active Directoryからアセット情報の自動インポートおよび同期 - Active Directoryのユーザ名レポート - Active Directoryのグループとポリシーの関連付けによるアセットの移動サポート - Active Directoryグループ単位でのイベントレポート © Copyright IBM Corporation 2008 IBM Internet Security Systems Agent Refresh 24 © Copyright IBM Corporation 2008 IBM Internet Security Systems Managing Group Settings 25 © Copyright IBM Corporation 2008 IBM Internet Security Systems Managing Group Settings 26 © Copyright IBM Corporation 2008 IBM Internet Security Systems Managing Group Settings 27 © Copyright IBM Corporation 2008 IBM Internet Security Systems Managing Policies 28 © Copyright IBM Corporation 2008 IBM Internet Security Systems Managing Policies 29 © Copyright IBM Corporation 2008 IBM Internet Security Systems Managing Policies 30 © Copyright IBM Corporation 2008 IBM Internet Security Systems Managing Policies 31 © Copyright IBM Corporation 2008 IBM Internet Security Systems Awards and Certifications Cisco NAC Compatible Solution West Coast Labs “Checkmark” certification for Spyware SC Magazine Reader’s Trust Awards 2006: - Best Integrated Security Software - Best Unified Threat Solution Frost & Sullivan 2005 Technology Leadership Award Gartner 2006 Magic Quadrant Leader 32 © Copyright IBM Corporation 2008 IBM Internet Security Systems Awards and Certifications Cisco NAC Compatible Solution West Coast Labs “Checkmark” certification for Spyware SC Magazine Reader’s Trust Awards 2006: - Best Integrated Security Software - Best Unified Threat Solution Frost & Sullivan 2005 Technology Leadership Award Gartner 2006 Magic Quadrant Leader 33 © Copyright IBM Corporation 2008 IBM Internet Security Systems 本資料に関するお問合せ 日本アイ・ビー・エム株式会社 ITS事業 ISS事業部 パートナーセールス部 TEL : 03-5740-4060 E-Mail : [email protected] URL : http://www.ibm.com/services/jp/index.wss/offerfamily/its/b1327874 ※当資料に関するお問い合わせは、担当営業、または上記までご連絡ください。 ©Copyright IBM Japan, Ltd. 2008 日本アイ・ビー・エム株式会社 Produced in Japan Jun 2008 All Rights Reserved ●この説明資料の情報は2008年6月現在のものです。仕様は予告なく変更される場合があります。 ●記載のデータはIBM社内の調査に基づくものであり、全ての場合において同等の効果が得られることを意味するものではありませ ん。効果はお客様の環境その他の要因によって異なります。 ●製品、サービスなどの詳細については、[email protected]弊社もしくはビジネス・パートナーの営業担当員にご相談ください。 IBM、IBMロゴ、X-Force、Proventia Network MFSは、International Business Machines Corporationの米国およびその他の国における商標。 Microsoftは、Microsoft Corporationの米国およびその他の国における商標。 Adobeは、Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標。 他の会社名、製品名およびサービス名等はそれぞれ各社の商標。 34 © Copyright IBM Corporation 2008