Comments
Description
Transcript
サイバー攻撃対策ソリューションのご紹介
Prowise Business Forum サイバー攻撃対策ソリューションのご紹介 株式会社 日立ソリューションズ セキュリティソリューション部 坂本 篤郎 © Hitachi Solutions, Ltd. 2011. All rights reserved. Contents 1 2 3 APT対策についての考察 出口対策ソリューション 入口対策ソリューション © Hitachi Solutions, Ltd. 2011. All rights reserved. 1 APT(新しいタイプの攻撃)とは? Advanced ・諜報機関並みのすぐれた情報収集能力 ・高度な不正侵入技術 Persistent ・継続的な不正侵入行為 ・目的を達成するまで潜伏・詮索・監視を繰り返す Threat ・重要情報/知的財産を搾取される脅威 ・破壊的行為による脅威 © Hitachi Solutions, Ltd. 2011. All rights reserved. 2 APTの恐ろしい動作 ① 初期潜入 IPS(不正侵入防御装置)、ウィルス対策ソフトでは 検知できない未知の攻撃(ゼロday攻撃)、未知のウィルスで潜入 例:標的型攻撃メール、USB経由でのウィルス混入 Web改竄によるウィルスダウンロードサーバへの誘導 ② 攻撃基盤構築 バックドアを作成し、業務で使用しているHTTP通信を使って、 埋め込んだウィルスと攻撃者が通信 ③ システム調査 長い時間をかけて、重要情報・機密情報のありかを調査 ④ 攻撃最終目標の遂行 見つけた重要情報の搾取 © Hitachi Solutions, Ltd. 2011. All rights reserved. 3 出口対策の重要性 【出展】IPA 「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド © Hitachi Solutions, Ltd. 2011. All rights reserved. 4 5つの共通脅威パターンごとの出口対策 共通脅威パターン1:バックドア通信 ● httpプロトコルでのバックドア通信 ● port80使用、proxy未使用 共通脅威パターン2:バックドア通信 ● 独自通信プロトコルでのバックドア通信 ● port80使用、proxy未使用 共通脅威パターン3:バックドア通信 ● httpメソッド(GET, POST, CONNECT) 利用のバックドア通信 ● port80使用、proxy使用 共通脅威パターン4: ● システム内情報の捜索脅威 共通脅威パターン5: ● ウィルスのシステム内拡散、 機能更新脅威 ファイアウォールの 通信遮断ルール 及び ファイアウオールの 遮断ログ監視で対応 いかに対応 するかが問題 ネットワークの設計 で対応 【出展】IPA 「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド © Hitachi Solutions, Ltd. 2011. All rights reserved. 5 IPAの共通脅威パターン3の対策案 案1:認証Proxyを導入する ウィルスが、人間が認証した後の既認証状態を 使用するような仕様となった場合、遮断できない。 案2:内部Proxyを 導入する ウィルスが内部Proxy 経由で攻撃者と通信 する仕様となった場合、 遮断できない。 【出展】IPA 「『新しいタイプの攻撃』 の対策に向けた設計・運用ガイド © Hitachi Solutions, Ltd. 2011. All rights reserved. 6 IPAの共通脅威パターン3の対策案 案3:JavaScriptやMETAタグを利用したリダイレクト方式 ① PCからProxyへのHTTPリクエスト ② 強制リダイレクト指示 (JavaScriptやMETAタグを利用) ブラウザからのHTTP通信の場合、 ③を実行できるが、ウィルスによ るHTTP通信は③を実行できない。 【出展】IPA 「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド © Hitachi Solutions, Ltd. 2011. All rights reserved. 7 Contents 1 2 3 APT対策についての考察 出口対策ソリューション 入口対策ソリューション © Hitachi Solutions, Ltd. 2011. All rights reserved. 8 共通脅威パターン1、2の対策 共通脅威パターン1:バックドア通信 ● httpプロトコルでのバックドア通信 ● port80使用、proxy未使用 共通脅威パターン2:バックドア通信 ● 独自通信プロトコルでのバックドア通信 ● port80使用、proxy未使用 次世代ファイアウォールの導入で、 ルールの防御に加え、以下の機能による より強固な出口対策を実現します。 Internet ■ 国別フィルタ機能 次世代FW サイバー攻撃で利用される中国・北朝鮮 といった国への通信を遮断します。 ■ アプリケーションフィルタ機能 http(ポート80)を使用したWinny, IM, P2P, SNS といったAP通信(約1300種)を遮断します。 ■ ボットネット検知機能 ボットネット特有の通信を振舞い検知し、 感染が疑われる端末を検出します。 © Hitachi Solutions, Ltd. 2011. All rights reserved. × 9 共通脅威パターン1、2の対策 更に、ファイアウォールログ解析ツールを併用することにより、 グラフ・表からなるレポートにFWアクセスをまとめることができます。 これにより、ウィルスによるバックドア通信を検出し、 感染端末の特定につなげるひとつの手立てとなります。 内部→外部の拒否された通信の接続数を、時系列に示します。 突然の、遮断通信の多発。 ウイルス感染か? 攻撃者が用意したサーバか? 内部→外部の拒否された通信のうち、接続数の多い接続元と接続先を示します。 # 1 2 3 接続元 192.168.3.1 192.168.15.33 192.168.17.81 ウイルス感染PCか? 合計 接続先 202.xxx.8.3 201.xxx.45.27 133.xxx.231.160 接続数 872 3 1 876 © Hitachi Solutions, Ltd. 2011. All rights reserved. 10 共通脅威パターン3の対策(自動防御) 共通脅威パターン3:バックドア通信 ● httpメソッド(GET, POST, CONNECT) 利用のバックドア通信 ● port80使用、proxy使用 いかに対応 するかが問題 【出展】IPA 「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド © Hitachi Solutions, Ltd. 2011. All rights reserved. 11 共通脅威パターン3の対策(自動防御) Internet 次世代FW × IPS × ■ DMZ 前頁で示した ブラウザ通信と ウィルスhttpバックドア通信 の違いを利用し、 カスタムシグネチャを作成して、 不正侵入防御装置(IPS) もしくは アプリケーション ファイアウォールで遮断 © Hitachi Solutions, Ltd. 2011. All rights reserved. 12 共通脅威パターン3の対策(情報漏洩防止) ●ネットワークDLP(Data Loss Prevention)ソリューション PCがウィルス感染しても、情報漏洩させない! Internet FW × ゲートウェイでのWeb通信チェック ・信頼できるWebサイトのみ アクセス許可 ・特定のWebサイトのみファイルの アップロードを許可 ・重要情報はアップロードさせない。 (特定キーワードチェック、 HTTPSの通信でもチェック可能) ・上長の承認を受けていない文書 はアップロードさせない。 © Hitachi Solutions, Ltd. 2011. All rights reserved. 13 Contents 1 2 3 APT対策についての考察 出口対策ソリューション 入口対策ソリューション © Hitachi Solutions, Ltd. 2011. All rights reserved. 14 入口対策の再考 入口対策は本当に無意味なのでしょうか? いいえ。ウィルスを検知・駆除するというスタンスでなく、 怪しいと判断したものは、ネットワーク内に侵入させない という考え方が大切です。 また、一度内部に侵入したウィルスは、 OSや各種アプリケーションの脆弱性を利用し、 システム内へ拡散します。 最悪侵入された場合でも、ウィルスの拡散を許してはな りません。 © Hitachi Solutions, Ltd. 2011. All rights reserved. 15 入口対策ソリューション1(3つの侵入経路対策) ① 電子メールによる侵入(標的型メール攻撃)の防御 ・ゲートウェイでの電子メールチェック ■ 元のファイルタイプを認識し、偽装添付ファイル付きメールはブロック ■ 信用できないサーバからのメールはブロック ■ 仮想クラウド環境で添付ファイルを実行し、問題があればブロック ② Web経由による侵入の防御 ・ゲートウェイでのWeb通信チェック ■ 信頼できるWebサイトからのダウンロードでなければブロック ■ 特定のWebサイトからのダウンロードでなければブロック ■ 仮想クラウド環境でダウンロードファイルを実行し、 問題があればブロック ③ USB等の外部デバイス経由による侵入の防御 ■ 未許可デバイスの利用禁止 ■ 未許可デバイス利用時の警告・通報 ■ USBデバイスの利用禁止 © Hitachi Solutions, Ltd. 2011. All rights reserved. 16 入口対策ソリューション2(高度な標的型メール攻撃対策) 入口対策の判定精度強化 標的型攻撃メールは、検知できないウイルス(マルウェア)を利用した攻撃でもあるため、 ウイルス対策だけでは完璧に防ぐことができません。「入口対策」には、スパムやウイルス 対策の判定精度を多角的に強化し、少しでも不審なメールの受信を拒否します。 対策 • 送信者になりすまして不正なサーバからメール送信しているか、 送信ドメイン認証(DKIM,SPF)を利用して判定 対策 • スパムの送信実績がないか、送信元サーバの信用度(IPレピュ テーション)を利用して判定 対策 • 送信元サーバがリストに登録されているかによる判定 対策 • スパムの判定精度を今まで以上に向上させるために、異なるアプ ローチ(製品追加やルール変更)を組み合わせて判定 対策 • ウイルスの判定精度を今まで以上に向上させるために、異なるア プローチ(製品追加やルール変更)を組み合わせて判定 対策 • ウイルスメールを誰が受信したのかを、後日判別できるようにメー ルをアーカイブ © Hitachi Solutions, Ltd. 2011. All rights reserved. 17 脆弱性管理の必要性 <②の攻撃> システム内の 脆弱性を利用し、 ネットワーク内に 感染を拡大する。 <目的> システム内の情報 を、より効率的に 窃取するため。 【出展】IPA 「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド © Hitachi Solutions, Ltd. 2011. All rights reserved. 18 入口対策ソリューション3 ●脆弱性管理ソリューション 日頃未管理の端末も漏れなく診断・管理が可能 ■ 自動的に診断を実施 ■ 診断範囲をセグメントで指定できるため、 端末を漏れなく診断 ■ 脆弱性が発見された場合、対策パッチ適用チケットを 端末管理者に自動配布(ワークフローでのチケット管理) ■ 診断結果がスコア(100点満点)で表示されるため、 現在のセキュリティレベルを容易に把握可能 ■ ■ 診断エンジン © Hitachi Solutions, Ltd. 2011. All rights reserved. 19 入口対策ソリューション4 ●不正アクセス防御ソリューション ゼロディ攻撃対策 脆弱性は存在するが、対策パッチがリリースされていない 状況であっても、IPSで検知・防御が可能なものがあります。 ■理由1 IPSのメーカーは専門のセキュリティ研究機関を保持しており、 日々様々なOS・アプリケーションの脆弱性を調査している。 ⇒ 発見した脆弱性対策シグネチャを日々更新 ■理由2 脆弱点だけに着目するのではなく、 攻撃パケット シェル部分 に着目して、 攻撃パケット 攻撃を検知・ 脆弱点を突く部分 不正に実行するシェル部分 防御する機能 が向上している。 脆弱点に着目 攻撃そのものに着目 脆弱点 © Hitachi Solutions, Ltd. 2011. All rights reserved. 20 まとめ ■ セキュリティに100%はありません。 ■ しかし、ITを使わなければ、業務の継続は困難です。 ■ お客様の守るべき情報をもとに、出口対策・入口対策 をどこまで実施するかを絶えず検討・決定していく 必要があります。 ■ 今回ご紹介させて頂いたソリューションでご興味が あるものがございましたらご連絡ください。 詳細な内容をご説明させて頂きます。 © Hitachi Solutions, Ltd. 2011. All rights reserved. 21 END サイバー攻撃対策ソリューションのご紹介 株式会社 日立ソリューションズ © Hitachi Solutions, Ltd. 2011. All rights reserved.