Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Copyright © 2017 Kaspersky Lab. All rights reserved.
Save the World from IT threats
Kaspersky Vulnerability and Patch Management
株式会社 カスペルスキー コーポレートビジネス本部
2017年5月18日
Copyright © 2017 Kaspersky Lab. All rights reserved.
脆弱性はなぜ狙われるのか?
2
エクスプロイト攻撃の実態
Copyright © 2017 Kaspersky Lab. All rights reserved.
• プログラムの不具合や設計ミスによる危険な欠陥。 • サイバー攻撃に利用できる。
3
脆弱性とは
権限昇格、任意のコマンド実行が可能なものは重大な危険をもたらし、 バックドアを仕掛けられたり、ボット化する。 業務継続に影響を及ぼす、データ侵害・ランサムウェアの被害をもたらす。
Copyright © 2017 Kaspersky Lab. All rights reserved.
• エクスプロイト攻撃は2016年は、前年比で24.5%増加。
• 脆弱性の情報が公開された後は、様々な攻撃者が利用し危険性が増大する。
• パッチ適用が進まない事実があるため、数年に渡り同じ脆弱性が狙い続けられている。
4
脆弱性が利用され続ける実態
出典 エクスプロイト攻撃:日常の脅威から標的型攻撃まで http://media.kaspersky.com/jp/pdf/pr/Kaspersky_Exploits-Report-PR-1039.pdf
一例 Officeの脆弱性を狙った攻撃が増加し、継続している。
Copyright © 2017 Kaspersky Lab. All rights reserved. 5
狙われるWeb関連アプリとOffice
2016年 合計 深刻度高 深刻度高の脆弱性の割合(%)
Office 48 32 66.67%
ブラウザー 569 84 14.76%
JRE 37 13 35.14%
Flash 266 224 84.21%
Android 523 254 48.57%
26.95%
23.30%
13.15%
6.43%
4.46% 3.97%
0.53%
Browsers
Windows
Android
Office
Flash
Java
Reader
それぞれのアプリケーションを標的とした、 エクスプロイトによる攻撃を受けたユーザーの分布(2016年)
2016年に頻繁に攻撃を受けたアプリケーションで発見された脆弱性の数 (出典:CVEdetails.comおよびKaspersky Labの独自データベース)
Copyright © 2017 Kaspersky Lab. All rights reserved.
エクスプロイト = 脆弱性を突く部分 ペイロード = 仕掛けたい攻撃の部分 (ダウンローダー、ボット化、トロイ、ランサム)
6
エクスプロイト+ペイロード
+
エクスプロイトは、 ユーザーによる操作を 必要としない。
エクスプロイト
メールやブラウザ、 ネットワークから実行
ペイロード
ダウンローダー、トロイ、 ランサム攻撃を実行
Copyright © 2017 Kaspersky Lab. All rights reserved.
脆弱性管理の重要性
7
セキュリティの新しい柱
Copyright © 2017 Kaspersky Lab. All rights reserved. 8
狙われる脆弱性は何か?
狙われるのは何か • 攻撃が効果的であるために、ほとんどのPCに存在するアプリケーションが良い。 • 日常的に使用されるものが良い。 • ネットワーク内部までたどり着ける仕組み
そもそも、攻撃の目的は何か? • データを盗むこと • ボット化させること • 近年増えている直接的な金銭奪取
(ランサム、バンキング、カード情報)
その答えが、ブラウザー、Office、Flash、JAVAである。 また、Webサーバーの改ざんも、 Web経由で攻撃するために行われる。
Copyright © 2017 Kaspersky Lab. All rights reserved. 9
狙われる脆弱性は何か?
ランサムウェアは目立つ攻撃であるものの、 攻撃の主流は引き続き情報を盗むもの。 Wormは目立つため、情報を盗む活動では下火であった。 しかし、ランサムのように、ばらまき型で良いものでは効果的であり、 今後も注意が必要である。 Wannacry では、Windowsのネットワーク機能であるSMBの脆弱性が狙われた。
ネットワーク境界は、ルーターやファイウォールのイメージがあるが、 一番重要なネットワーク境界はブラウザーである。
ブラウザーは様々な要求を受け付けねばならず、セキュリティを保ちにくい。 Webアプリケーションからの要求 Plug-in、スクリプト、 動的コンテンツ、API etc…
Wannacryで見られたネットワーク攻撃
なぜ、ブラウザなのか
Copyright © 2017 Kaspersky Lab. All rights reserved. 10
エクスプロイト+ペイロード
+
そして、 ひとつの脆弱性に対して、マルウェアは無数に存在する。 しかし、脆弱性の修正は一度で良い。
エクスプロイトは人手を介さないため、脆弱性がある限り、 エクスプロイト実行を防ぐことは出来ない。
Copyright © 2017 Kaspersky Lab. All rights reserved. 11
現場任せは限界
多くの企業がパッチ適用を個人任せにしている。 WindowsUpadateを実行しても、その後の再起動がなかなか行われないこともある。 特に、サードパーティアプリケーションは適用の実態が掴めません。
脆弱性情報の把握 アプリケーション存在と
バージョンの把握
インベントリ突合せ
影響の判断(重大度、緊急度)
パッチ適用計画
告知、実施要請
結果が不明
Copyright © 2017 Kaspersky Lab. All rights reserved. 12
現場任せは限界
システムによる自動運用が必要
Copyright © 2017 Kaspersky Lab. All rights reserved. 13
まとめ
サイバー攻撃には脆弱性が使われ、増加している。 攻撃に使われるのは、ほとんどが既知の脆弱性である。 ひとつの脆弱性に対し、それを利用しようとする攻撃は無数である。 しかし、大本の脆弱性をなくせば、攻撃は失敗する。 脆弱性の把握、パッチ適用の2段階をシステム化することが重要。 脆弱性は日々発見されるので、管理サイクルが重要
Copyright © 2017 Kaspersky Lab. All rights reserved.
製品機能 脆弱性管理
14
Copyright © 2017 Kaspersky Lab. All rights reserved. 15
管理端末上の脆弱性の把握
カスペルスキーが持つマイクロソフト製品とサードバーティー製品の脆弱性情報と、 Microsoftから取得した脆弱性情報により、 端末ごとの情報をレポート。
Copyright © 2017 Kaspersky Lab. All rights reserved. 16
【Microsoft 製品のパッチ管理】
パターンA: KSCをWSUSサーバーとして使用する KSCがWSUSサーバーとなり、パッチを配信するパターンです。
Kasperskyのネットワークエージェント
Copyright © 2017 Kaspersky Lab. All rights reserved. 17
パターンB:外部のWSUSサーバーを使用する
パターンB:外部のWSUSサーバーを使用する KSCが管理下のコンピューターに対し、WSUSサーバー(もしくはインターネット上のMicrosoft アップデートサイト)から パッチを取得する様、指示を出すパターン。
Windowsアップデートクライアント
比較的小規模で、サーバーのHD容量が確保出来ない場合向け
Copyright © 2017 Kaspersky Lab. All rights reserved. 18
【サードパーティー製アプリケーションのパッチ管理】
Kasperskyのネットワークエージェント
Copyright © 2017 Kaspersky Lab. All rights reserved.
管理端末上の脆弱性の把握
Microsoftとサードパーティ製アプリケーションの脆弱性有無を確認可能
・CVEなどの脆弱性情報データベースに登録されるサードパーティアプリにも対応 ・対応脆弱性を持つコンピューター名、脆弱性のCVE番号の確認も可能
19
Copyright © 2017 Kaspersky Lab. All rights reserved.
パッチ配信 – Microsoftのアプリケーション
Kaspersky Security Center からMicrosoft製品のアップデートを配布
• WSUS 単体ではクライアントへの配信スケジュールを設定できないが Kaspersky Security Center の「タスク」機能により可能となります • ワークグループ環境におけるクライアントのレジストリ設定は不要
Microsoft Update サーバー
クライアントPC
① マイクロソフトからアップデートを インターネット経由で取得
② 管理端末へ配信
管理サーバー (Kaspersky Security Center)
20
Copyright © 2017 Kaspersky Lab. All rights reserved.
パッチ配信 – サードパーティのアプリケーション
脆弱性が報告されている主要なアプリケーションをカバー
※ 上記は対応アプリケーションの一部です リストにないアプリケーションに関しては、別途アプリ提供元WEBサイトなどから インストールパッケージを取得し、リモートインストール機能でパッチ適用可能(P31)
サードパーティアップデート
サーバー
クライアントPC
① サードパーティサーバーからアップデートを インターネット経由で取得
管理サーバー (Kaspersky Security Center)
② 管理端末へ配信
21
Copyright © 2017 Kaspersky Lab. All rights reserved.
パッチ配信 – 適用ルールに基づいた自動配信
配信対象パッチの選択(承認・拒否)や脆弱性の重要度別にルールを設定し、 パッチ配信の自動化も可能
22
Copyright © 2017 Kaspersky Lab. All rights reserved.
製品機能 インベントリ・リモートインストール
Copyright © 2017 Kaspersky Lab. All rights reserved.
IT資産管理機能
インベントリ情報の収集 ・ハードウェアインベントリ (コンピューター名、IPアドレス、CPU、メモリ、データストレージなど)
・ソフトウェアインベントリ (インストールされたアプリケーション情報やコンピュータ内の実行形式 拡張子を持つプログラム)
アプリケーションのリモートインストール/削除 ・カスペルスキー製品だけでなく、サードパーティアプリケーションの インストール/アンインストールが可能
ソフトウェアライセンス管理 ・管理対象アプリのライセンス数量をレポート表示可能 また、ライセンス超過時に管理者へメールで通知する設定も可能
24
Copyright © 2017 Kaspersky Lab. All rights reserved.
インベントリ情報の収集
管理端末にインストールされたアプリケーション情報を表示 業務上不適切なアプリのインストール状況を把握することが可能
アプリケーション情報を取得
Kaspersky Security Center
ネットワーク エージェント
インストール済コンピューターの 特定が可能
25
Copyright © 2017 Kaspersky Lab. All rights reserved.
インベントリ情報の収集
ハードウェア情報のレポート表示
サマリー表示
端末個別表示
・コンピューター単位での個別表示、各ハードウェア デバイスごとの対象コンピューター数を表示
・ハードウェアスペック状況からPCリプレース 時期の判断材料にできる
・管理者が認識していない、PCパーツの交換・追加を 監査可能
26
Copyright © 2017 Kaspersky Lab. All rights reserved.
インベントリ情報の管理
27
カスタムフィールドを活用することで、お客様が必要とする資産管理項目に対応
各項目ごとに情報のソートやフィルタリングが可能
保守契約番号や障害履歴なども Kaspersky Security Center上で 一括管理できます!
カスタムフィールド項目を含めた 管理項目をCSV形式でエクスポートも可能です
カスタムフィールドで 追加した管理項目
Copyright © 2017 Kaspersky Lab. All rights reserved.
ソフトウェアライセンス管理
• 管理端末にインストールされている アプリケーション情報をもとに管理
• アプリケーションごとに「使用中」「空き」 「超過ライセンス数」を表示
• 管理対象アプリケーションとライセンス 数量を設定し超過がないかチェック (超過時のアラートメールも設定可能)
28
Copyright © 2017 Kaspersky Lab. All rights reserved.
SIEM製品との連携機能
Kaspersky Security Centerが管理対象端末から取得したログを他社SIEM製品へ エクスポートが可能です。(KSC SP2よりSplunkに対応)
SIEMは複数ベンダー機器のログを統合的に相関分析し、潜在的なセキュリティリスクの 早期発見や高度なセキュリティ対策に有効として、近年、注目が高まっております。
QRAder、ArcSight Splunkに対応
Syslogもサポート
29
Copyright © 2017 Kaspersky Lab. All rights reserved.
アプリケーションのリモートインストール
Kaspersky Security Center が持つ製品リストから選択して配信可能
リストにない場合は管理者が別途用意したexe、msi、batなどの 実行ファイルも配信可能(次ページ参照)
サードパーティアップデート
サーバー
クライアントPC
① サードパーティサーバーからアップデートを インターネット経由で取得
管理サーバー (Kaspersky Security Center)
② 管理端末へ配信
30
Copyright © 2017 Kaspersky Lab. All rights reserved.
アプリケーションのリモートインストール
カスペルスキー製品のインストールだけでなく、 サードパーティアプリケーションもインストール可能
単体ファイル、複数ファイル、バッチなどを指定できます。 また、引数も設定可能
31
Copyright © 2017 Kaspersky Lab. All rights reserved.
アプリケーションのリモート削除
Windowsのプログラムのアンインストールまたは変更画面と 同様の内容が管理サーバー側でも確認が可能
最新版をインストールしても、複数バージョンが存在する アプリケーション(Javaなど)があると、脆弱性が残り続けてしまう 定期的なインストール済アプリケーションの監査が重要
Windows OS側でのインストールアプリ確認 管理サーバー(KSC)でのインストールアプリ確認
32
Copyright © 2017 Kaspersky Lab. All rights reserved.
アプリケーションのリモート削除
アプリケーションのリモートアンインストール 削除コマンドを自動設定
33
Copyright © 2017 Kaspersky Lab. All rights reserved.
付録
34
その他の機能
Copyright © 2017 Kaspersky Lab. All rights reserved.
OSクローニングの流れ
マスターPCのOSイメージを他PCに複製しセットアップする機能
作成したイメージをネットワーク経由で一斉展開できます
35
マスターPC
②PXEブート要求 Kaspersky Security
Center
PXEサーバー (Windows PE起動 イメージを保持)
①マスターPC イメージ取得
③Windows PE起動 イメージ展開
④Windows PEを起動し、 マスターPCイメージ 展開を開始
※ Windows PEとは ⇒ CDメディアやネットワークブートが容易に可能な軽量なWindows OSです。 Windows PEをブートさせ、その上でマスターイメージ展開が行われます。
同時に一斉展開!
Copyright © 2017 Kaspersky Lab. All rights reserved.
OSクローニングのメリット
Sysprep処理の自動実行
・Windows OSの固有情報(SID)再作成に必須な
Sysprep処理をイメージ取得時に自動実行
・Kaspersky製品への組み込み用処理もイメージ取得時に実施可能 PXEブートによるネットワーク経由での一斉展開
・イメージ展開ツールやWindows PEの起動CD準備が不要
・クライアント側の設定不要(再起動するだけ) KSCがPXEサーバーとして自動構成
・別途PXEサーバーを用意する必要がありません
36
Copyright © 2017 Kaspersky Lab. All rights reserved.
マスターイメージ作成
マスターPCを指定し、作成イメージ保存用の 共有フォルダーを指定するだけ。
37
Copyright © 2017 Kaspersky Lab. All rights reserved.
OSクローニング
■インストール方法 パターン1 すでに検出されているPCにOSイメージを割り当てて展開
38
Copyright © 2017 Kaspersky Lab. All rights reserved.
OSクローニング
■インストール方法 パターン2 あらかじめMACアドレスを登録しておき、端末が起動・検出された際に 自動でOSイメージを割り当て、展開する方法も設定できます (MACアドレスリストから一括登録可能)
Copyright © 2017 Kaspersky Lab. All rights reserved.
リモートコントロール デスクトップ共有
用途:遠隔操作サポート(ヘルプデスク業務)
Windows標準のRDP(リモートデスクトップ)とは異なり、
ログオンユーザーが操作している画面を共有し、操作が可能
ウイルス感染時など、ユーザーが行った操作をヒアリングしながら、
インシデント対応が必要な際などに役立つ機能
操作される側の同意が必要