Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
© Hitachi Solutions, Ltd. 2011. All rights reserved.
いまどきのネットワークの ”出口対策” “標的型攻撃” に対抗する
最新トピックス
Prowise Business Forum
Contents
© Hitachi Solutions, Ltd. 2011. All rights reserved.
1.“標的型攻撃”と“出口対策” 2.ファイアウォール再考 3.無線LANのセキュリティは? 4.ボットは検知できるか 8.まとめ
© Hitachi Solutions, Ltd. 2011. All rights reserved.
“標的型攻撃” と “出口対策”
3
• 明確な目的を持ち執拗に狙いを定める – 情報の奪取 – システムダウン
• 完全に防御するのは不可能 • 最も困るのは“情報漏洩” • 最悪でも“情報漏洩”だけは防ぎたい
標的型攻撃
出口対策 • 侵入されたとしても、 情報奪取だけは防ぐこと
入口対策 • 攻撃・侵入されることの防御
© Hitachi Solutions, Ltd. 2011. All rights reserved.
“標的型攻撃” の情報奪取方法
4 4
FWでは検知できない
密かに潜伏
ポート80などを利用
コントロール
情報奪取
ボット型マルウェア
ハッカー
© Hitachi Solutions, Ltd. 2011. All rights reserved.
“標的型攻撃” は正規経路から
6
• “入口”も“出口”も、正規ルートの不完全性を突く • ファイアウォールが正規ルートの基本セキュリティ • プラスアルファのセキュリティをどう整備するか
– AV、URL、IPS、WAF、etc – 専用機? UTM? – 新しいソリューションは?
© Hitachi Solutions, Ltd. 2011. All rights reserved.
ファイアウォール(FW)とは
8 8
• 外部からの攻撃に対する防火壁 • トラフィックをフィルタリング
– IPアドレス/ポートNo • 定番のオープンポート
– ポート80(HTTP) – ポート443(HTTPs/SSL)
• 情報漏洩対策としてほとんど無力
© Hitachi Solutions, Ltd. 2011. All rights reserved.
だからこんな製品が必要になった
9
• URLフィルタリング – 危険なポート80通信をブロック
• AV(アンチウィルス) – ポート80通信中のマルウェアをブロック
• WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック
• IPS(IDP) – DoSやワームなどシグネチャや振る舞いで攻撃を ブロック
© Hitachi Solutions, Ltd. 2011. All rights reserved.
UTMや独立製品で対応してきた。
従来のファイアウォール
ネットワークレイヤについておさらい
10
Web、メール、アプリケーションの種類、URL、HTTPメソッド(Get, Put)、ユーザID、メールの添付ファイル、等実際のコンテンツ部分
L1
L2
L3
L4
L5
L6
L7
Physical
Datalink
Network
Transport
Session
Presentation
Application
TCPとUDPのポート番号
IPアドレス (L3スイッチ/ルータの世界)
MACアドレス(L2スイッチの世界)
ケーブル等
© Hitachi Solutions, Ltd. 2011. All rights reserved.
L7ファイアウォール
従来のファイアウォール
ネットワークレイヤについておさらい
11
Web、メール、アプリケーションの種類、URL、HTTPメソッド(Get, Put)、ユーザID、メールの添付ファイル、等実際のコンテンツ部分
L1
L2
L3
L4
L5
L6
L7
Physical
Datalink
Network
Transport
Session
Presentation
Application
TCPとUDPのポート番号
IPアドレス (L3スイッチ/ルータの世界)
MACアドレス(L2スイッチの世界)
ケーブル等
© Hitachi Solutions, Ltd. 2011. All rights reserved.
従来のファイアウォールの限界
12
ポート80(HTTP)の危険性
ポート443(SSL)はそれ以上
© Hitachi Solutions, Ltd. 2011. All rights reserved.
L7ペイロードを検査
アプリケーションを識別
HTTPメソッドを理解 (Get/Put)
Identityを理解 (LDAT等と連携し、 ”誰の”通信かを識別)
ポート443(SSL暗号)を 解読、80と同様に制御
L7 ファイアウォール(次世代FW)
13
© Hitachi Solutions, Ltd. 2011. All rights reserved.
FW から UTM への進化
14
• Unified Thread Management – URLフィルタ、アンチウィルス、IPS等を統合
• 問題は – 性能が出にくい、機能が中途半端になりがち
• 中小規模では普及してきたが。
© Hitachi Solutions, Ltd. 2011. All rights reserved.
FW から UTM へ
15
付け加えアーキテクチャゆえ機能と性能に限界
Physical
Datalink
Network
Transport
Session
Presentation
Application
Physical
Datalink
Network
Transport
Session
Presentation
Application
Physical
Datalink
Network
Transport
Session
Presentation
Application
Physical
Datalink
Network
Transport
Session
Presentation
Application
FW AV URL IPS
© Hitachi Solutions, Ltd. 2011. All rights reserved.
UTM から L7-FW へ
16
• 寄せ集めから、統合へ – 性能面で大きな改善 – IPSとFWの融合で効果的な防御
ゼロから製品作り上げが必要。 (基本アーキテクチャの変更)
© Hitachi Solutions, Ltd. 2011. All rights reserved.
“アイデンティティ” が分かるということは?
17
システム管理者
従来のFW L7‐FW
システム管理者
10.212.197.7 の PCが、 インターネットに対して Port80で通信している。
総務部の秋山 が、 インターネットに対して、 Skypeでチャット している。
アイデンティティ
アプリケーション
© Hitachi Solutions, Ltd. 2011. All rights reserved.
具体的製品の状況 ---
18
SRXシリーズ
“App Security” ”ID認識” 等、L7-FWとしての 実装を進行中
SSGシリーズ
安定したレガシーファイアウォールモデル
© Hitachi Solutions, Ltd. 2011. All rights reserved.
具体的製品の状況 ---
19
• “次世代ファイアウォール”の代名詞 • 成熟度の高さ、実効性の高さから成長
Source:ミック経済研究所『情報セキュリティソリューション市場の現状と将来展望2011』
0
500
1000
1500
2000
2500
2009 2010 2011
M¥ PaloAlto出荷金額
© Hitachi Solutions, Ltd. 2011. All rights reserved.
国別に脅威を把握、通信の遮断
20
攻撃の早期検知
日本向けサイトなら海外通信を一切遮断も
攻撃拠点国からの 通信を遮断
© Hitachi Solutions, Ltd. 2011. All rights reserved.
無線LANはセキュアか
22
• 問題 – 暗号化しない設定で無線利用
• 企業向け無線LAN – 高い強度の暗号 – 認証 – 有線部分も暗号化
無線LAN コントローラ
無線端末
有線端末
認証と暗号化
© Hitachi Solutions, Ltd. 2011. All rights reserved.
“勝手アクセスポイント” の問題
23
不正AP
悪意ある情報奪取
経営情報 システム 管理者
勝手に設置されたAP
不正APの存在 に気づかない
暗号設定漏れ による盗聴
認証設定漏れにより部外者がアクセス可能に
個人や部門が、統制外のアクセスポイントを設置、社内LANに接続
© Hitachi Solutions, Ltd. 2011. All rights reserved.
ポータブル WiFi の問題
24 24
経営情報 システム 管理者
ポータブルWiFiルータ
会社のネットは遅いし、 制限多すぎ!
社内情報を何でも送信可能
認識不能、 打つ手なし…
スマホ/タブレット用に個人で持ち込み 業務用PCで外部と直結するケースも
ゆるゆるの “出口”に
© Hitachi Solutions, Ltd. 2011. All rights reserved.
情報を盗み見られること
無線LANのセキュリティリスクとは
25
情報を盗み見られること
統制外の無線LANから 情報漏えいすること
© Hitachi Solutions, Ltd. 2011. All rights reserved.
対処はいろいろ
26
• エンドポイントセキュリティでデータ持ちだしをコントロールする – 正規のネットも、勝手WiFiも同様に
• MACアドレス認証を導入する – 勝手アクセスポイントはシャットアウトできる
• “番犬”を設置 – 統制外WiFiを技術的に検知 – さらに、それを無効化 – 正規の無線LANが“番犬”に
© Hitachi Solutions, Ltd. 2011. All rights reserved.
デバイス認証の強化
27 正規クライアント
MACアドレス認証&DHCPで接続可能デバイスを統制
MA
or
不正クライアント
MACアドレス 認証DHCP
Juniper EX スイッチ
Aruba 無線LAN
Infoblox
オープンネットガード
ユーザID認証
正規アクセス ポイント
不正アクセス ポイント
不正無線クライアント
正規無線クライアント
経営情報
DHCP スヌーピング
© Hitachi Solutions, Ltd. 2011. All rights reserved. 28
①無線の干渉を逆手にとって、他のアクセスポイントの存在を検知
正規無線LANを “番犬” に
②遮断パケットを送出し、不正アクセスポイントの通信を遮断
③不正アクセスポイントまでの距離も検知
④三点測量の原理で不正アクセスポイントの位置を推定 管理ソフトにて図面上で位置を特定可能
管理者は、勝手WiFiの 所在、保有者を突き止め、
除去することが可能
© Hitachi Solutions, Ltd. 2011. All rights reserved.
標的型攻撃への新たな対策
31
• ターゲット組織にバックドアやマルウェア – ボット、トロイの木馬
• 密かに感染拡大、コントロール • ターゲット情報にコンタクト、奪取 • ボットは顕在化しにくく、
ウィルス駆除ソフトでも検知しにくい
仕込まれてしまったマルウェア(ボット)や その通信を検知して対処する
標的型攻撃は入口対策が難しい
© Hitachi Solutions, Ltd. 2011. All rights reserved.
通信を分析して感染PCを検出
32 32
ゾンビ化 したPC
L7-FW
ハッカーとの通信
ハッカー
既知のマルサイトへのアクセス
DDNSへのアクセス
unknown アプリケーション
IRC通信
ゾンビPCの通信の特徴
© Hitachi Solutions, Ltd. 2011. All rights reserved.
標的型攻撃のリアルタイム検出に挑む
34
シグネチャの事前入手は困難
標的型は、感染して初めてマルウェアと分る
感染をシミュレーションしてマルウェアを検出
ハニーポット サンドボックス
ハッカーをおびき寄せるワナ
PCやサーバを、独立した安全な環境でシミュレーションし、怪しい通信に晒してマルウェアの感染や行動を確かめる
© Hitachi Solutions, Ltd. 2011. All rights reserved.
クラウド上のサンドボックス
35 35
L7-FW
信頼できないゾーンからの未知のファイル
被害を最小化 新たな感染・ ゾンビ化抑止
サンドボックスでマルウェアを検出
© Hitachi Solutions, Ltd. 2011. All rights reserved.
WildFireの実証実験から
36
7%のファイルがマルウェア
うち57%は未知
うち15%は独自通信
ポート80Web経由がほとんど
既存顧客に対する WildFire の実証試験では 35,387 の ファイル提供があり、そのうち 7% 以上がマルウェア
発見されたマルウェアのうち、57% はどのアンチウィルス ベンダでも検知できず、またウィルス報告サイトでも未発見
新しく発見されたマルウェアのうち、15% は独自暗号した バックドア通信とみられる 未知のプロトコル通信を行う
特に多くのマルウェアが確認されたのは、Web ベースの ファイル共有や Web メールアプリケーションの通信
※出典:パロアルトネットワークス社
© Hitachi Solutions, Ltd. 2011. All rights reserved.
L7-FW へのシフトは妨げようがない
38
情報漏洩も防ぐFWへ
L7でトラフック制御し、ユーザを識別
足し算でなく、L7-FWとしてのアーキテクチャ
攻撃を防ぐFWから、
だから脅威や漏洩を最大限に防御。
性能の出ないUTMは卒業。
© Hitachi Solutions, Ltd. 2011. All rights reserved.
統制外へのアクセスを防げる無線LAN
39
勝手アクセスポイントの排除
認証されたデバイスのみ接続許可
ポータブルWiFiなど、外への情報漏洩ルートをシャット