Comments
Description
Transcript
セールスエンジニアリング本部 技術ソリューション部長 セキュリティ
Sophos Intercept のご紹介 セールスエンジニアリング本部 技術ソリューション部長 セキュリティエバンジェリスト 佐々木 潤世 2016/9/27 アジェンダ • 脅威の所在 • Interceptの機能 o o o o アンチ・エクスプロイト アンチ・ランサムウエア(CryptoGuard) 根本原因解析/脅威の除去(感染元の自動特定) Security HeartBeat • InterceptのDemo • Interceptの導入手順 脅威の所在 ビジネス化するマルウェア 多様な犯罪組織 不正侵入の成功率 • 反社会シンジケート • 敵対国家によるサイバー攻撃 • アノニマスなどのハクティビスト 70%以上 マルウエアの成長 o 400,000 個/日の新しい脅威 (2015 Cyber threat defense) サイバー犯罪による被害 全世界5000億ドル (juniper report) 2019年には1.5兆ドル (推定) 脅威の所在 多様化・複雑化する脅威 ゼロデイ攻撃 メモリ常駐型マルウェア ランサムウェア エクスプロイト 標的型攻撃 ゼロデイ攻撃 ポリモーフィック型マルウェア 問題の所在 マルウェア対策 だけでは不十分 Anti-Hacking(これから必要なもの) • • • • • 通常のアンチ-マルウエア マルウエアを理解 そのコンポーネントを識別 その配布をブロック ファイル、プロセス、シグナルや アトリビュートのモニターするこ とによってデバイス上のマルウエ アの存在を検知 ロックダウン機能により信頼でき るアプリのみ使用可能 この手法はマルウエアを発見する 次世代防御 • 目的と使用される手法の理解 • デバイスやプロセス上での攻 撃を検知 • 悪意のある行為を停止 • 行為を追跡して根本原因(感 染元)を突き止める この手法はハッキングを発見す る Sophos Intercept 主要な特徴 o シグネチャレス検知 - 包括的なエクスプロイト検知・抑止 - 不正トラヒック検知 - シンクロナイズドセキュリティ o CryptoGuard •ランサムウエア検知と復旧 •Universally prevents spontaneous encryption of data •Notifies end user on rapid encryption events •Rollback to pre-encrypted state CRYPTOGUARD Exploit 防御 CryptoGuard - ランサムウエアの検知と復旧 o インシデント対処リポート インシデント対応 - 自動根本原因識別(根本原因解析) - IOC 操作履歴リスト - 攻撃イベントの可視化 o フォレンジックマルウエア削除ツール - Sophos Clean (セカンドオフィニオンスキャ ナー) パッケージ o Interceptは他社のAVと共存できる Sophos Clean エクスプロイト防御 データ侵害 – 問題の根 ∞ 1日に400,000の新規マルウエ アの誕生 通常のアンチウィルス o o o 70%以上 の企業が 被害 データ侵害の90%以上 がエクスプロイトキッ トを利用 2015から30% 以上の増加 効果的なエクスプロ イト手法 6800を超える 脆弱性が発見 20’s ファイル分析 ヒューリスティック URL フィルタ • ブラック/ホワイトリスト • シグネチャ • サンドボックス 答えが出ないSIEM, EDR, UEBA o 自動検知 疑問が o SOC 多くなる o フォレンジック侵害アセスメントチーム パッチ管理 パッチが提供される までおおよそ 200日 o o o 脆弱性スキャン デバイス管理 パッチテストならびに開発 Sophos - Intercept まれに新しい o エクスプロイト、ランサムウエア防止 エクスプロイト手法が o インシデント対処リポート 生まれる o 自動根本原因解析 アンチ-エクスプロイト – 問題の根を対象に エクスプロイト手法の検知・防御 エクスプロイト手法防御 • シグネチャレス • アプリケーションエクス プロイトの検知と停止 Sophos Intercept エクスプロイト手法:ROP DEPとDEP回避について HW/SWが参照可能な メモリ領域(アドレス空間)の例 上位 アドレス DEP※ カーネル領域 これらの領域で実行されたプログラムを 異常終了させる スタック領域 (空き領域) 攻撃コードは主にスタックエリアやヒープエリアに 読み込まれて実行される ヒープ領域 下位 アドレス コード領域 正規のプログラムは 一般的にコード領域で実行される ※ ※ ROP は Return Oriented Program の略 DEP は Data Execution Prevention(データ実行防止)の略 エクスプロイト手法:ROP DEPとDEP回避について DEPとWindowsアプリケーション • Windows XP SP2以降のほぼ全てのバージョン/エディションに含まれる。 • アプリケーションはコンパイル時にDEPを有効化しないと攻撃コードが実行される場合がある。 • Windows 8以降のWinRTアプリ(ストアアプリ)は常にDEPが有効となる。 DEPを回避して攻撃する代表的な手法 • DEPの有効化オプションがない時代の古いプログラムを攻撃対象とする • ROP(Return Oriented Program):プログラムに(偶然)存在する悪用可能な機械 語を見つけ制御を移す、現在主流となっている方法。戻りアドレスの下にROPチェーンを 構築し、正規の実行モジュールで悪意あるコードを実行する。 (例)Return to Libc:標準Cライブラリを使ってDEPを無効化するAPIを呼び出す エクスプロイト手法:ROP 従来のスタック オーバーフロー 攻撃者が書き換えたスタックメモリ スタック上の バッファ リターン アドレス 攻撃コード DEPが実行をブロックする ROP 攻撃者が書き換えたスタックメモリ スタック上の バッファ リターン アドレス 実行可能なコード + 実行可能なコード + 実行可能なコード =悪意ある行為 エクスプロイト手法:ROP InterceptでブロックできるROP • Virtual Protect関数をコールするROP • NtProtectVirtualMemory関数をコールするROP • WinExec関数をコールするROP • その他 エクスプロイト手法を検知することは • ハッキングの検知 o o o o いくつかのエクスプロイト手法 が組み合わせて使われる 使われるすべてのエクスプロイ ト技術を検知できる必要はない 使われるエクスプロイト技術の うちいくつか検知・ブロックす ればハッキングは成立しない。 結果、マルウエアを仕込まれる ことはなくなる • キルチェーンの分断 o o o ハッキングを防止することはキ ルチェーンの前段で止めること になる ソーシャルエンジニアリングに よって正規のオペレーションと みなされる操作を伴う場合、侵 入をすすめられてしまう可能性 はまだある。 多層防御は必要 ランサムウエア対策 Sophos Interceptの機能 アンチ・ランサムウェア(CryptoGuard) • シンプルで包括的 • ランサムウエアによる自動データ暗号化からの防御 • 暗号化イベントをユーザに通知 CRYPTOGUARD • 暗号化前へのロールバック 防止 CryptoGuard (クリプトガード) プロセス監視 ランサムウエア 行動検知 プロセスロック 書き換え (暗号化) コピーを生成 ロールバック Sophos Interceptは PC上に動作している すべてのプロセスを常 時監視。ランサムウエ アの特徴的な動作を把 握するとプロセスをブ ロックし、暗号化され たファイルを自動ロー ルバックする。 根本原因解析 - 感染元の自動特定 - エンドポイントはマルウエアを発見し排除した。 でも何が起きたの? どんなダメージを受けた? 重要なデータが盗まれたのか? 何処からやってきたのか? 警察に届けるべき? 何時? どうやって? 何処? 誰が? なぜ? 何を? 感染検知後の悩み • どこから感染したのかが分からないと本当の意味での対処はではない。 (感染元の特定) o 何を防止するようにしたら、マルウエアの侵入を防止することができるのか? • 本当にマルウエアを完全に駆除できたのかわからない。(完全駆除?) o o 一つのマルウエアに感染したということは、ほかにも感染しているかもしれない。 マルウエアの残滓はないのか? 攻撃の根本原因を理解する 初めに – エンドポイントが何をしていたのかのログを保存する Sophos Data Recorder Operating Systems o o Windows MAC OSX (2017年初期) メモリ レジストリ ネットワーク ファイルシステム プロセスの振る舞い IOCを記録するだけではなく、解析結果を可視化 クラウド型EDR インシデントレスポンス – 振る舞いを理解する イベントが発生したら、自動的に遡って根本原因を突き止める 分散している脅威チェーン – 脅威チェーンの中で根本原因に関連する 疑わしい振る舞いをしている Andre.e xe 生成 USBデバイ Fred.com 生成 ス経由 にアクセス •Acrobatより リスク資産上 – 完全な脅威チェーンにかかわる すべてのドキュメントを認識 •IEから •低信頼サイト Fred.pdf • IEからダウ ンロード •URL fred.com経 由 Bob.exes ダウンロード 生成 •URL fred.com 起動 経由 ファイル 感染 イベント • Bob.exe が C2 サ イトにアクセス • HIPS が Bob.exeを 削除 Time 根本原因 特徴– USBからのpdfファイル コピー 推奨対処– デバイスコントロールの 厳密化 脅威チェーン– Sophos Data Recorder によるIOCアクティビ ティをリスト化 (プロセス、レジストリ、ファ イル、ネットワークアクティビティ) イベントタイムライン – 根本原因から検知までのイベントのチェーン。関 連性のないものはフィルタ ビーコン イベント エクスプロイト 不正トラヒック ランサムウエア ファイル分析 HIPS スキャン ソフォスのインシデント対処リポート - 根本原因解析(感染元特定支援) • 何処から感染したのかを遡って把握することができる o どこから侵入したのか? - インターネット(特定サイト?) - USBデバイス? - メール? などなど o 事後対応策の策定を支援 • 感染ルートがわかれば、根元から分岐したルート・マルウエアの存 在が確認できる o まだ、潜んでいるマルウエアの駆除が可能 Interceptによる エンドポイント強化 (おさらい) Sophosのエンドポイント強化 Sophos Interceptの対応 • • • • アンチランサムウェア 根本原因解析 アンチエクスプロイト 次世代型の脅威検知 インシデント対応の自動化 エクスプロイト攻撃からの防御 悪意ある暗号化の防止 振る舞いベースの判定 感染ファイルの自動回復 攻撃元の特定 高度なマルウェア • • • • ITに親和性の高いインシデント対応 プロセスの脅威チェーン可視化 修復用ガイダンス 高度なマルウェアの除去 可視化の限界 • • • • シグネチャレスのエクスプロイト抑止 最初の問題/ゼロデイからの保護 メモリ常駐型攻撃のブロック 少ないリソース消費&少ない誤検知 脆弱性を突いた攻撃 SophosのEndpointソリューション 攻撃を遮断し問題を解決する サイバーキルチェーン 3.0 偵察 配送 Sophos Intercept 従来の アンチウイルス 侵入 インストール C&C アンチ エクスプロイト Web フィルタ マルウェア 検知 対応 感染 実行 アンチ ランサムウェア 悪意ある トラフィック検知 調査 修復 根本原因解析 マルウェア 駆除 Security Heartbeat 自動インシデント対応 典型的なインシデント対応 インシデント発生 を正確に検知でき るか? インシデントを検 知してどのように 対応するか? 未知の攻撃に対し てマニュアル化は できない マニュアルによる個別運用 もしくはSEIMによる統合管理 マルウェア 対策 ネットワーク 管理 エンドポイント ネットワーク 人員リソースの消費 手動で相関分析 人のスキルに依存 手動での脅威/インシンデント対応 幅広い製品が必要 エンドポイントとネットワークの連 携なし 一体、収束するま でにどのくらいか かるのか? 旅行関連企業事例 約3か月 某県教育 ネット事例 約6か月 Sophos の Synchronized Security ソリューション 世 界 初 検知の自動化 Synchronized Security エンドポイント ネットワークと もに検知アルゴ リズムを持って いる クラウドベース管理 エンドポイント とネットワーク は管理基盤を経 由せずとも連係 し、お互いのス テータスを情報 交換する エンドポイント ネットワーク システムレベルの統合 自動で相関分析 速い判断 加速される脅威検出 自動でインシンデント対応 シンプルなシングル管理 検知から 遮断・隔離まで 約8秒 感染ノードの特定 ユーザ、プロセス の把握の 自動化 分析リポート 自動出力 セキュリティ自動インシデント対応 ネットワークとエンドポイントが自動連係 連係例 • 迅速な脅威の検出 エンドポイントとネットワークが統合され ることにより、怪しいふるまいなどの情報 共有を行い、より迅速な脅威の検知を実現 インターネット エンドポイント • 簡単な問題の切り分け セキュリティ問題なし XG ファイアウォール 不要なアプリケー ションを使っている Sophos XGFW 緑色ステータスの場合 すべてのシステムにア クセスをできる マルウェアに感染 している Sophos Endpoint/ Intercept 黄色ステータスの場合 システムへのアクセスを より制限 社内サーバ 赤色ステータスの場合 システムから隔離 感染したエンドポイントを自動的に特定で きるため、管理者による問題の切り分け調 査時間を大幅に短縮。 • 自動的なレスポンス対応 感染したエンドポイントを自動的に隔離す るなど、 Security Heartbeat™ のステー タスを基準としたファイアウォールポリ シーにより制御が可能。 ソフォス ソリューションの利点 • 多層防御のために豊富な製品の提供 • エンドポイントからネットワークまで • インシデントの発生から対処までの時間を大幅な短縮 • 自動インシデント対応(伝染、情報漏洩の早期抑止) • プロセスの隔離(Endpoint/Intercept) • デバイスのネットワーク隔離の自動化(XGFW) • 暗号化鍵の削除(SafeGuard) • 詳細情報の提供による感染プログラムや関連ファイルの特定 • 感染元特定支援(感染ルートの特定) • SDRによる根本原因の特定→効果的な事後対応が可能 Intercept デモ Intercept 導入について 導入について Sophos Interceptは他社のアンチウィルスとの同居ができます。 ここではSophos Anti VirusをインストールせずInterceptのみを導入する方法を紹介します。 導入について Sophos Central へログインします 導入について ポリシーを設定します。ここでは新たにポリシーを作成します。 左ペインから「ポリシー」を選択し、「ポリシーの追加」をクリックします 導入について ポリシー名をつけて、インストールするデバイスを保有しているユーザー/グループを 選択して割り当てボタンをクリックします。設定後、脅威対策を選択します。 導入について 「修復」および「ランタイム保護」 のうち、根本原因分析、ランサム ウェア、エクスプロイト等、 Interceptに関する項目の有効化を 設定します。 導入について ポリシーを保存します。これでコンソール側の設定は終わりです。 導入について 次にクライアントモジュールを設定します。 ここではモジュールを直接ダウンロードして インストールする方法を紹介します。 デバイスの保護をクリックします。 導入について 「Windows Installerの コンポーネントの選択」 をクリックします。 導入について 「Endpoint Advanced」のチェックを外し、 「インストーラのダウンロード」をクリックします。 導入について 導入するPCにて、ダウンロードしたモジュールをダブルクリックします。 導入について ウィザードをデフォルトのまま進めてインストールし、再起動します。 クライアント 再起動 導入について クライアントにて、タスクバーに表示されているアイコンをダブルクリックします。 導入について クライアントツールが起動します。ステータスにて、状況を確認します。 導入について 「イベント」タブにて、クライアントで発生した挙動を確認します。