...

先進的なエンドポイントセキュリティ 対策のご紹介

by user

on
Category: Documents
12

views

Report

Comments

Transcript

先進的なエンドポイントセキュリティ 対策のご紹介
IBM Internet Security Systems
先進的なエンドポイントセキュリティ
対策のご紹介
日本アイ・ビー・エム株式会社
ISS事業部
© Copyright IBM Corporation 2008
IBM Internet Security Systems
Agenda
ƒ
従来のエンドポイントセキュリティ
ƒ
今後必要なエンドポイントセキュリティ
ƒ
Proventia® Desktopによるエンドポイントセキュリティ対策
-
クローズアップテクノロジ:VPS
-
クローズアップテクノロジ:BOEP
-
クローズアップテクノロジ:IPS
ƒ
Proventia Desktopの集中管理機能
ƒ
Awards and Certifications
2
© Copyright IBM Corporation 2008
IBM Internet Security Systems
従来型エンドポイントセキュリティ
ƒ
ƒ
アンチウィルスによる伝統的なウィルス対策
-
電子メールに添付されたウィルスへの対応
-
Webブラウズによりダウンロードされる不正プログラム対策
ファイアウォールによるアクセス制限
-
ƒ
スパイウェア対策
-
3
ポート単位でのサービス保護
アンチウィルスと同様のパターン型検知
© Copyright IBM Corporation 2008
IBM Internet Security Systems
従来型エンドポイントセキュリティの限界
ƒ
発見・対応できない脅威
-
大量の未知ウィルスの発生
• ボット
- 参考資料 : http://www.jpcert.or.jp/research/2006/Botnet_summary_0720.pdf
• スピア型不正プログラム
- ボットを埋め込むために利用される特定ターゲット向け不正プログラム
-
アンチウィルスのパターンでは対応不可能
• ウィルス用ハニーポットに感染した不正プログラムのうち80%が未知(Telecom-ISACと
JPCERTの調査結果)
ƒ
攻撃パターンに合わせた検知・防御手法では対応不可能
ƒ
高度に復号化された攻撃手法に対応不可能
-
4
例:スピア型ウィルスによりボットを埋め込まれるケースなど・・・
© Copyright IBM Corporation 2008
IBM Internet Security Systems
限界に達した既存の対策
ƒ
ƒ
5
被害状況
-
毎年半数の団体が深刻なセキュリティ侵害を受けている
-
うち99%の組織がファイアウォールとアンチウィルスを導入済み
既存の対策では保護ができない
© Copyright IBM Corporation 2008
Source: CSI/FBI Computer Crime & Research Survey
IBM Internet Security Systems
今後必要なエンドポイントセキュリティ
ƒ
6
新しい防御手法
-
未知の脅威にも対応可能な防御手法
-
複合的な攻撃手法に対応可能な防御手法
© Copyright IBM Corporation 2008
IBM Internet Security Systems
Proventia® Desktopによるエンドポイントセキュリティ
ƒ
ƒ
7
マルチレイヤ型保護
-
IPS : バーチャルパッチ
-
ファイアウォール
-
VPS : ウィルス防御システム
-
BOEP : バッファオーバーフロー防御
-
アプリケーションコントロール
-
スパイウェア、リスクウェア保護
様々な脅威からエンドポイントを防御
© Copyright IBM Corporation 2008
IBM Internet Security Systems
Proventia® Desktopマルチレイヤ型保護
8
© Copyright IBM Corporation 2008
IBM Internet Security Systems
クローズアップテクノロジ:VPS
ƒ
Virus Prevension System
-
ビヘイビアベースのウィルス防御システム
-
仮想マシンの構築
• Windows API、CPU、memory等・・・
-
仮想マシン上でプログラムを実行し、定義済みの動作を行うプログラムを不正プログラム
として検知、防御
-
定義済みビヘイビアの例
• malcode-SendItselfByEmail
• malcode-AttachFileWithMultipleExtensions
• malcode-WritingExeToIEStartPageRegEntry ・・・
9
© Copyright IBM Corporation 2008
IBM Internet Security Systems
VPSアーキテクチャ概要
Detect
Change
Operating
System
Unknown
Executable
Code
Virtual PC
Loader
OS
Analyze
Decide
Behavior Pattern
And Sequence
Action
Run
Repair
Quarantine
Delete
Report
CPU
Determine Intent
MD5
10
Benign
Malicious
© Copyright IBM Corporation 2008
IBM Internet Security Systems
BagleとVPS
ƒ
2005年5月31日(米国時間) 8種類の
Bagleの亜種が発生
ƒ
数時間のうちにサイトあたり70,000も
のBagle亜種を受信
ƒ
VPSはアップデート無しで全ての亜種
を防御
ƒ
シグネチャ型のアンチウィルスでは対
応不可能
*Source: “Blank virus blanks email”
By John Leyden – The Register – 5/31/05
11
IBM
ISS
© Copyright IBM Corporation 2008
IBM Internet Security Systems
VPSによる未知の攻撃からの防御
Average Vendor Response Time
Data Source: Datamation and AV-Test.org
http://itmanagement.earthweb.co m/co lumns/executive_tech/article.php/3316511
この数時間、VPSはデスクトッ
プを防御します。
Kaspersky
Sophos
Trend Micro
McAfee
Symantec
0h
10h
20h
30h
攻撃開始直後の重要な数時
間、アンチウイルスはシグネ
チャが提供されていないので
防御できません。
12
© Copyright IBM Corporation 2008
IBM Internet Security Systems
VPS vs. サンドボックス
ƒ
サンドボックスとは・・・・
-
不正プログラムを一時的に非常に権限を制限したアカウントで動作させ、リアルタイムで
「現場を押さえる」方法
• 不正プログラム自体は1プロセスとして実行される
-
サンドボックスに権限を昇格される脆弱点がある場合はサンドボックス外に影響が及ぶ
• 例 : Java VMのいくつかの脆弱点
ƒ
VPSは・・・
-
不正プログラム実行前に仮想マシンを構築し、仮想マシン内で実行させる方法
-
不正プログラムは全ての動作を制限なく仮想マシン内で実行
• 仮想マシンを超えて外部に影響を与えることは不可能
13
© Copyright IBM Corporation 2008
IBM Internet Security Systems
VPSログの例
2006/08/30 20:15:24, malcode-PackedVBStrong, 0.0.0.0,
FileName=Email+Component:+Mail+delivery+failed:+returnin
g+message+to+sender.msg<>metaBehavior=File+structure+i
s+unusual+for+normal+applications.::Replicates+via+the+Int
ernet;+such+as+through+email.::Executes+highly+suspicious
+or+restricted+commands.<>checksum=7eca251bdd5a7cd2
9557b729c9e6e160<>timeVirusDetected=1156936524<>acti
onTaken=Quarantine+file<>infectionVector=EMail+or+Internet+Scan<>UserName=SYSTEM<>DomainNa
me=NT+AUTHORITY, 1
14
© Copyright IBM Corporation 2008
IBM Internet Security Systems
クローズアップテクノロジ:BOEP
ƒ
BOEP : Buffer Overflow Exploit Prevension
-
バッファオーバーフローを防止し、不正なプログラムの実行を防止
ƒ
スタックオーバーフロー、ヒープオーバーフロー攻撃から防御
ƒ
カーネルレベルのでの監視(APIレベルの監視ではない)
ƒ
任意のWindowsアプリケーションを保護可能
15
© Copyright IBM Corporation 2008
IBM Internet Security Systems
クローズアップテクノロジ:BOEP
ƒ
特徴は?
-
システムコールのフック
-
書換可能なメモリ空間上でのシェルコード実行の試みに対する監視
-
関数呼び出しを発見するバックトレース
-
3種類のレスポンス
• プロセスのキル
• システムコールのエラー終了
• アラートのみ
16
© Copyright IBM Corporation 2008
IBM Internet Security Systems
BOEP vs. Windows 2003 Server
ƒ
Windows 2003 Serverは・・・
-
スタックのみ。ヒープオーバーフローは未対応
-
10年前から存在する古い技術
• フレームポインタ内にスタッククッキーを保存し、バッファオーバーフローにおりスタッ
ククッキーが操作されることで検知
-
容易な回避
• 過去のスタッククッキーを例外ハンドラからオーバーフローさせるだけ
-
公開されている回避技術
• http://www.nextgenss.com/papers/defeating-w2k3-stack-protection.pdf
17
© Copyright IBM Corporation 2008
IBM Internet Security Systems
BOEPの効果
ƒ
ローカルバッファオーバーフロー攻撃の防御
-
18
不正なWord、PowerPoint、PDFにより引き起こされるバッファオーバーフローからシステ
ムを防御
© Copyright IBM Corporation 2008
IBM Internet Security Systems
BOEPログの例
boep-iexplore, 0.0.0.0,
ProcessID=4908<>SystemCall=NtCreateFile<>Blocked=YES
<>Killed=NO<>ExeFile=C:¥Program+Files¥Internet+Explorer
¥iexplore.exe<>User=hogura<>Domain=ADMIN<>SecChkID
=16202<>AlertName=boepiexplore<>ReturnAddr=080934a0, 1
19
© Copyright IBM Corporation 2008
IBM Internet Security Systems
IBM ISS
クローズアップテクノロジ:IPS
MS Plug & Play / Zotobの例
20
4/13/2005
8/9/2005
8/11/2005
8/13/2005
ISS implements protection for
MS PnP vulnerability into ISS
products. ISS’ Virtual Patch
protection begins.
Microsoft publicly
announces
vulnerability and
availability of a
patch.
Plug and Play
exploits become
public
Zotob Bot runs rampant
and causes damage to
organizations worldwide.
ISS customers enjoy
protection since 4/13/2005.
4/13/2005
8/9/2005
8/11/2005
8/13/2005
8/16/2005
Others do not have internal
research to find and
understand vulnerabilities;
therefore, they have no
knowledge of the MS Plug
and Play vulnerability.
Other claim “preemptive
protection” through
broad blocking and
alerting methods which
are prone to false
positives and false
negatives
Plug and Play
exploits become
public
Zotob Bot propagates, some
competition see the bot, but
none of the (many) variants,
resulting in continuous
updates offering little to no
zero day coverage.
Exploit-based
signatures released
to reactively protect
against the Zotob Bot
© Copyright IBM Corporation 2008
IBM Internet Security Systems
脆弱性発表から攻撃発生まで
Window Between
Vulnerability and Exploit
EXPLOIT
MS02-039
Slammer
July 24, 2002
185 Days
MS03-026
Jan 25, 2003
26 Days
July 16, 2003
MS04-011
Apr. 13, 2004
MS05-039
Aug. 9, 2005
21
17 Days
4 Days
MS Blaster
Aug 11, 2003
Sasser
Apr. 30, 2004
Zotob
Aug. 13, 2005
© Copyright IBM Corporation 2008
Source: Microsoft Security Center
IBM Internet Security Systems
IBM ISSが誇る事前防御を実現する研究機関X-Force®
研究
独自の脆弱性研究
テクノロジー
ソリューション
X-Force®診断エンジン
サ
ー
脅威傾向分析
保護技術研究
X-Force®製品アップデート
シグネチャ開発
X-Force®インテリジェンス
X-Force®データベース
ナレッジの共有
ビ
ス
ソリューション
X
セ -Fo
ア キ rc
ッ ュ リ e®
プ
デ ティ
ー
ト
セ 統
キ 合
ュ 化
情 リテ
報 ィ
不正プログラム分析
新エンジン開発
製
公開脆弱性の分析
品
既存エンジンの拡張
IBM ISS X-Force® 研究開発チーム
● 民間企業では世界最大規模の脆弱性研究開発組織
● 33,000以上の脆弱性情報データベースを所有
X-Forceによる情報分析により情報を蓄積し反映
22
© Copyright IBM Corporation 2008
IBM Internet Security Systems
Proventia Desktopの集中管理機能
ƒ
ƒ
23
SiteProtector™による集中管理
-
グループ化による効率のよいポリシー管理
-
イベントコリレーション、分析、レポート生成
-
Network IPS、Enterprise Scanner等と統合された管理機能
Active Directoryとの統合
-
Active Directoryからアセット情報の自動インポートおよび同期
-
Active Directoryのユーザ名レポート
-
Active Directoryのグループとポリシーの関連付けによるアセットの移動サポート
-
Active Directoryグループ単位でのイベントレポート
© Copyright IBM Corporation 2008
IBM Internet Security Systems
Agent Refresh
24
© Copyright IBM Corporation 2008
IBM Internet Security Systems
Managing Group Settings
25
© Copyright IBM Corporation 2008
IBM Internet Security Systems
Managing Group Settings
26
© Copyright IBM Corporation 2008
IBM Internet Security Systems
Managing Group Settings
27
© Copyright IBM Corporation 2008
IBM Internet Security Systems
Managing Policies
28
© Copyright IBM Corporation 2008
IBM Internet Security Systems
Managing Policies
29
© Copyright IBM Corporation 2008
IBM Internet Security Systems
Managing Policies
30
© Copyright IBM Corporation 2008
IBM Internet Security Systems
Managing Policies
31
© Copyright IBM Corporation 2008
IBM Internet Security Systems
Awards and Certifications
ƒ
Cisco NAC Compatible Solution
ƒ
West Coast Labs “Checkmark” certification for
Spyware
ƒ
SC Magazine Reader’s Trust Awards 2006:
-
Best Integrated Security Software
-
Best Unified Threat Solution
ƒ
Frost & Sullivan 2005 Technology Leadership
Award
ƒ
Gartner 2006 Magic Quadrant Leader
32
© Copyright IBM Corporation 2008
IBM Internet Security Systems
Awards and Certifications
ƒ
Cisco NAC Compatible Solution
ƒ
West Coast Labs “Checkmark” certification for
Spyware
ƒ
SC Magazine Reader’s Trust Awards 2006:
-
Best Integrated Security Software
-
Best Unified Threat Solution
ƒ
Frost & Sullivan 2005 Technology Leadership
Award
ƒ
Gartner 2006 Magic Quadrant Leader
33
© Copyright IBM Corporation 2008
IBM Internet Security Systems
本資料に関するお問合せ
日本アイ・ビー・エム株式会社
ITS事業 ISS事業部
パートナーセールス部
TEL
: 03-5740-4060
E-Mail : [email protected]
URL
: http://www.ibm.com/services/jp/index.wss/offerfamily/its/b1327874
※当資料に関するお問い合わせは、担当営業、または上記までご連絡ください。
©Copyright IBM Japan, Ltd. 2008
日本アイ・ビー・エム株式会社
Produced in Japan Jun 2008 All Rights Reserved
●この説明資料の情報は2008年6月現在のものです。仕様は予告なく変更される場合があります。
●記載のデータはIBM社内の調査に基づくものであり、全ての場合において同等の効果が得られることを意味するものではありませ
ん。効果はお客様の環境その他の要因によって異なります。
●製品、サービスなどの詳細については、[email protected]弊社もしくはビジネス・パートナーの営業担当員にご相談ください。
IBM、IBMロゴ、X-Force、Proventia Network MFSは、International Business Machines Corporationの米国およびその他の国における商標。
Microsoftは、Microsoft Corporationの米国およびその他の国における商標。
Adobeは、Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標。
他の会社名、製品名およびサービス名等はそれぞれ各社の商標。
34
© Copyright IBM Corporation 2008
Fly UP