...

セールスエンジニアリング本部 技術ソリューション部長 セキュリティ

by user

on
Category: Documents
4

views

Report

Comments

Transcript

セールスエンジニアリング本部 技術ソリューション部長 セキュリティ
Sophos Intercept
のご紹介
セールスエンジニアリング本部
技術ソリューション部長
セキュリティエバンジェリスト
佐々木 潤世
2016/9/27
アジェンダ
• 脅威の所在
• Interceptの機能
o
o
o
o
アンチ・エクスプロイト
アンチ・ランサムウエア(CryptoGuard)
根本原因解析/脅威の除去(感染元の自動特定)
Security HeartBeat
• InterceptのDemo
• Interceptの導入手順
脅威の所在
ビジネス化するマルウェア
多様な犯罪組織
不正侵入の成功率
• 反社会シンジケート
• 敵対国家によるサイバー攻撃
• アノニマスなどのハクティビスト
70%以上
マルウエアの成長
o
400,000 個/日の新しい脅威
(2015 Cyber threat defense)
サイバー犯罪による被害
全世界5000億ドル
(juniper report)
2019年には1.5兆ドル (推定)
脅威の所在
多様化・複雑化する脅威
ゼロデイ攻撃
メモリ常駐型マルウェア
ランサムウェア
エクスプロイト
標的型攻撃
ゼロデイ攻撃
ポリモーフィック型マルウェア
問題の所在
マルウェア対策
だけでは不十分
Anti-Hacking(これから必要なもの)
•
•
•
•
•
通常のアンチ-マルウエア
マルウエアを理解
そのコンポーネントを識別
その配布をブロック
ファイル、プロセス、シグナルや
アトリビュートのモニターするこ
とによってデバイス上のマルウエ
アの存在を検知
ロックダウン機能により信頼でき
るアプリのみ使用可能
この手法はマルウエアを発見する
次世代防御
• 目的と使用される手法の理解
• デバイスやプロセス上での攻
撃を検知
• 悪意のある行為を停止
• 行為を追跡して根本原因(感
染元)を突き止める
この手法はハッキングを発見す
る
Sophos Intercept
主要な特徴
o
シグネチャレス検知
- 包括的なエクスプロイト検知・抑止
- 不正トラヒック検知
- シンクロナイズドセキュリティ
o
CryptoGuard
•ランサムウエア検知と復旧
•Universally prevents spontaneous
encryption of data
•Notifies end user on rapid
encryption events
•Rollback to pre-encrypted state
CRYPTOGUARD
Exploit 防御
CryptoGuard
- ランサムウエアの検知と復旧
o
インシデント対処リポート
インシデント対応
- 自動根本原因識別(根本原因解析)
- IOC 操作履歴リスト
- 攻撃イベントの可視化
o
フォレンジックマルウエア削除ツール
- Sophos Clean (セカンドオフィニオンスキャ
ナー)
パッケージ
o
Interceptは他社のAVと共存できる
Sophos Clean
エクスプロイト防御
データ侵害 – 問題の根
∞
1日に400,000の新規マルウエ
アの誕生
通常のアンチウィルス
o
o
o
70%以上
の企業が
被害
データ侵害の90%以上
がエクスプロイトキッ
トを利用
2015から30%
以上の増加
効果的なエクスプロ
イト手法
6800を超える
脆弱性が発見
20’s
ファイル分析
ヒューリスティック
URL フィルタ
• ブラック/ホワイトリスト
• シグネチャ
• サンドボックス
答えが出ないSIEM, EDR, UEBA
o 自動検知
疑問が
o SOC
多くなる
o フォレンジック侵害アセスメントチーム
パッチ管理
パッチが提供される
までおおよそ
200日
o
o
o
脆弱性スキャン
デバイス管理
パッチテストならびに開発
Sophos - Intercept
まれに新しい
o エクスプロイト、ランサムウエア防止
エクスプロイト手法が
o インシデント対処リポート
生まれる
o 自動根本原因解析
アンチ-エクスプロイト – 問題の根を対象に
エクスプロイト手法の検知・防御
エクスプロイト手法防御
• シグネチャレス
• アプリケーションエクス
プロイトの検知と停止
Sophos
Intercept
エクスプロイト手法:ROP
DEPとDEP回避について
HW/SWが参照可能な
メモリ領域(アドレス空間)の例
上位
アドレス
DEP※
カーネル領域
これらの領域で実行されたプログラムを
異常終了させる
スタック領域
(空き領域)
攻撃コードは主にスタックエリアやヒープエリアに
読み込まれて実行される
ヒープ領域
下位
アドレス
コード領域
正規のプログラムは
一般的にコード領域で実行される
※
※
ROP は Return Oriented Program の略
DEP は Data Execution Prevention(データ実行防止)の略
エクスプロイト手法:ROP
DEPとDEP回避について
DEPとWindowsアプリケーション
• Windows XP SP2以降のほぼ全てのバージョン/エディションに含まれる。
• アプリケーションはコンパイル時にDEPを有効化しないと攻撃コードが実行される場合がある。
• Windows 8以降のWinRTアプリ(ストアアプリ)は常にDEPが有効となる。
DEPを回避して攻撃する代表的な手法
• DEPの有効化オプションがない時代の古いプログラムを攻撃対象とする
• ROP(Return Oriented Program):プログラムに(偶然)存在する悪用可能な機械
語を見つけ制御を移す、現在主流となっている方法。戻りアドレスの下にROPチェーンを
構築し、正規の実行モジュールで悪意あるコードを実行する。
(例)Return to Libc:標準Cライブラリを使ってDEPを無効化するAPIを呼び出す
エクスプロイト手法:ROP
従来のスタック
オーバーフロー
攻撃者が書き換えたスタックメモリ
スタック上の
バッファ
リターン
アドレス
攻撃コード
DEPが実行をブロックする
ROP
攻撃者が書き換えたスタックメモリ
スタック上の
バッファ
リターン
アドレス
実行可能なコード + 実行可能なコード + 実行可能なコード =悪意ある行為
エクスプロイト手法:ROP
InterceptでブロックできるROP
• Virtual Protect関数をコールするROP
• NtProtectVirtualMemory関数をコールするROP
• WinExec関数をコールするROP
• その他
エクスプロイト手法を検知することは
• ハッキングの検知
o
o
o
o
いくつかのエクスプロイト手法
が組み合わせて使われる
使われるすべてのエクスプロイ
ト技術を検知できる必要はない
使われるエクスプロイト技術の
うちいくつか検知・ブロックす
ればハッキングは成立しない。
結果、マルウエアを仕込まれる
ことはなくなる
• キルチェーンの分断
o
o
o
ハッキングを防止することはキ
ルチェーンの前段で止めること
になる
ソーシャルエンジニアリングに
よって正規のオペレーションと
みなされる操作を伴う場合、侵
入をすすめられてしまう可能性
はまだある。
多層防御は必要
ランサムウエア対策
Sophos Interceptの機能
アンチ・ランサムウェア(CryptoGuard)
• シンプルで包括的
• ランサムウエアによる自動データ暗号化からの防御
• 暗号化イベントをユーザに通知
CRYPTOGUARD
• 暗号化前へのロールバック
防止
CryptoGuard (クリプトガード)
プロセス監視
ランサムウエア
行動検知
プロセスロック
書き換え
(暗号化)
コピーを生成
ロールバック
Sophos Interceptは
PC上に動作している
すべてのプロセスを常
時監視。ランサムウエ
アの特徴的な動作を把
握するとプロセスをブ
ロックし、暗号化され
たファイルを自動ロー
ルバックする。
根本原因解析
- 感染元の自動特定 -
エンドポイントはマルウエアを発見し排除した。
でも何が起きたの?
どんなダメージを受けた?
重要なデータが盗まれたのか?
何処からやってきたのか?
警察に届けるべき?
何時?
どうやって?
何処?
誰が?
なぜ?
何を?
感染検知後の悩み
• どこから感染したのかが分からないと本当の意味での対処はではない。
(感染元の特定)
o
何を防止するようにしたら、マルウエアの侵入を防止することができるのか?
• 本当にマルウエアを完全に駆除できたのかわからない。(完全駆除?)
o
o
一つのマルウエアに感染したということは、ほかにも感染しているかもしれない。
マルウエアの残滓はないのか?
攻撃の根本原因を理解する
初めに – エンドポイントが何をしていたのかのログを保存する
Sophos Data Recorder
Operating Systems
o
o
Windows
MAC OSX (2017年初期)
メモリ
レジストリ
ネットワーク
ファイルシステム
プロセスの振る舞い
IOCを記録するだけではなく、解析結果を可視化
クラウド型EDR
インシデントレスポンス – 振る舞いを理解する
イベントが発生したら、自動的に遡って根本原因を突き止める
分散している脅威チェーン –
脅威チェーンの中で根本原因に関連する
疑わしい振る舞いをしている
Andre.e
xe 生成
USBデバイ
Fred.com
生成
ス経由
にアクセス
•Acrobatより
リスク資産上 –
完全な脅威チェーンにかかわる
すべてのドキュメントを認識
•IEから
•低信頼サイト
Fred.pdf
• IEからダウ
ンロード
•URL
fred.com経
由
Bob.exes
ダウンロード
生成
•URL fred.com
起動
経由
ファイル
感染
イベント
• Bob.exe が C2 サ
イトにアクセス
• HIPS が Bob.exeを
削除
Time
根本原因 特徴–
USBからのpdfファイル
コピー
推奨対処–
デバイスコントロールの
厳密化
脅威チェーン–
Sophos Data Recorder によるIOCアクティビ
ティをリスト化 (プロセス、レジストリ、ファ
イル、ネットワークアクティビティ)
イベントタイムライン –
根本原因から検知までのイベントのチェーン。関
連性のないものはフィルタ
ビーコン イベント
エクスプロイト
不正トラヒック
ランサムウエア
ファイル分析
HIPS
スキャン
ソフォスのインシデント対処リポート
- 根本原因解析(感染元特定支援) • 何処から感染したのかを遡って把握することができる
o
どこから侵入したのか?
- インターネット(特定サイト?)
- USBデバイス?
- メール?
などなど
o
事後対応策の策定を支援
• 感染ルートがわかれば、根元から分岐したルート・マルウエアの存
在が確認できる
o
まだ、潜んでいるマルウエアの駆除が可能
Interceptによる
エンドポイント強化
(おさらい)
Sophosのエンドポイント強化
Sophos Interceptの対応
•
•
•
•
アンチランサムウェア
根本原因解析
アンチエクスプロイト
次世代型の脅威検知
インシデント対応の自動化
エクスプロイト攻撃からの防御
悪意ある暗号化の防止
振る舞いベースの判定
感染ファイルの自動回復
攻撃元の特定
高度なマルウェア
•
•
•
•
ITに親和性の高いインシデント対応
プロセスの脅威チェーン可視化
修復用ガイダンス
高度なマルウェアの除去
可視化の限界
•
•
•
•
シグネチャレスのエクスプロイト抑止
最初の問題/ゼロデイからの保護
メモリ常駐型攻撃のブロック
少ないリソース消費&少ない誤検知
脆弱性を突いた攻撃
SophosのEndpointソリューション
攻撃を遮断し問題を解決する
サイバーキルチェーン 3.0
偵察
配送
Sophos
Intercept
従来の
アンチウイルス
侵入
インストール
C&C
アンチ
エクスプロイト
Web
フィルタ
マルウェア
検知
対応
感染
実行
アンチ
ランサムウェア
悪意ある
トラフィック検知
調査
修復
根本原因解析
マルウェア
駆除
Security Heartbeat
自動インシデント対応
典型的なインシデント対応
インシデント発生
を正確に検知でき
るか?
インシデントを検
知してどのように
対応するか?
未知の攻撃に対し
てマニュアル化は
できない
マニュアルによる個別運用
もしくはSEIMによる統合管理






マルウェア
対策
ネットワーク
管理
エンドポイント
ネットワーク
人員リソースの消費
手動で相関分析
人のスキルに依存
手動での脅威/インシンデント対応
幅広い製品が必要
エンドポイントとネットワークの連
携なし
一体、収束するま
でにどのくらいか
かるのか?
旅行関連企業事例
約3か月
某県教育
ネット事例
約6か月
Sophos の Synchronized Security ソリューション
世
界
初
検知の自動化
Synchronized Security
エンドポイント
ネットワークと
もに検知アルゴ
リズムを持って
いる
クラウドベース管理
エンドポイント
とネットワーク
は管理基盤を経
由せずとも連係
し、お互いのス
テータスを情報
交換する
エンドポイント






ネットワーク
システムレベルの統合
自動で相関分析
速い判断
加速される脅威検出
自動でインシンデント対応
シンプルなシングル管理
検知から
遮断・隔離まで
約8秒
感染ノードの特定
ユーザ、プロセス
の把握の
自動化
分析リポート
自動出力
セキュリティ自動インシデント対応
ネットワークとエンドポイントが自動連係
連係例
• 迅速な脅威の検出
エンドポイントとネットワークが統合され
ることにより、怪しいふるまいなどの情報
共有を行い、より迅速な脅威の検知を実現
インターネット
エンドポイント
• 簡単な問題の切り分け
セキュリティ問題なし
XG ファイアウォール
不要なアプリケー
ションを使っている
Sophos
XGFW
緑色ステータスの場合
すべてのシステムにア
クセスをできる
マルウェアに感染
している
Sophos
Endpoint/
Intercept
黄色ステータスの場合
システムへのアクセスを
より制限
社内サーバ
赤色ステータスの場合
システムから隔離
感染したエンドポイントを自動的に特定で
きるため、管理者による問題の切り分け調
査時間を大幅に短縮。
• 自動的なレスポンス対応
感染したエンドポイントを自動的に隔離す
るなど、 Security Heartbeat™ のステー
タスを基準としたファイアウォールポリ
シーにより制御が可能。
ソフォス ソリューションの利点
• 多層防御のために豊富な製品の提供
• エンドポイントからネットワークまで
• インシデントの発生から対処までの時間を大幅な短縮
• 自動インシデント対応(伝染、情報漏洩の早期抑止)
• プロセスの隔離(Endpoint/Intercept)
• デバイスのネットワーク隔離の自動化(XGFW)
• 暗号化鍵の削除(SafeGuard)
• 詳細情報の提供による感染プログラムや関連ファイルの特定
• 感染元特定支援(感染ルートの特定)
• SDRによる根本原因の特定→効果的な事後対応が可能
Intercept デモ
Intercept 導入について
導入について
Sophos Interceptは他社のアンチウィルスとの同居ができます。
ここではSophos Anti VirusをインストールせずInterceptのみを導入する方法を紹介します。
導入について
Sophos Central へログインします
導入について
ポリシーを設定します。ここでは新たにポリシーを作成します。
左ペインから「ポリシー」を選択し、「ポリシーの追加」をクリックします
導入について
ポリシー名をつけて、インストールするデバイスを保有しているユーザー/グループを
選択して割り当てボタンをクリックします。設定後、脅威対策を選択します。
導入について
「修復」および「ランタイム保護」
のうち、根本原因分析、ランサム
ウェア、エクスプロイト等、
Interceptに関する項目の有効化を
設定します。
導入について
ポリシーを保存します。これでコンソール側の設定は終わりです。
導入について
次にクライアントモジュールを設定します。
ここではモジュールを直接ダウンロードして
インストールする方法を紹介します。
デバイスの保護をクリックします。
導入について
「Windows Installerの
コンポーネントの選択」
をクリックします。
導入について
「Endpoint Advanced」のチェックを外し、
「インストーラのダウンロード」をクリックします。
導入について
導入するPCにて、ダウンロードしたモジュールをダブルクリックします。
導入について
ウィザードをデフォルトのまま進めてインストールし、再起動します。
クライアント
再起動
導入について
クライアントにて、タスクバーに表示されているアイコンをダブルクリックします。
導入について
クライアントツールが起動します。ステータスにて、状況を確認します。
導入について
「イベント」タブにて、クライアントで発生した挙動を確認します。
Fly UP