Presentation Title Placeholder

Size: px

Start display at page:

Download "Presentation Title Placeholder"

あいとたにしき
5 years ago
Views:

2 F5 Networks, Inc 2 2

3 Web サイトへのサイバー攻撃のトレンド

4 Webアプリケーションに関連する脅威が半分を占めている脆弱性に対するプロアクティブな対策が重要 3位ウェブサービスからの個人情報の窃取 4位サービス妨害攻撃によるサービスの停止 6位ウェブサイトの改ざん 7位ウェブサービスへの不正ログイン Webアプリケーションへの脅威は引き続き上位に脆弱性を利用した改ざん不正ログインや不正利用も引き続きランクイン 10位インターネットバンキングやクレジットカード情報の不正利用

5 発生時期被害を受けた企業被害内容 2016 年 4 月メディア系 A 社各番組の応募フォームに不正侵入氏名住所電話番号メールアドレス等の情報漏洩の可能性 2016 年 4 月メディア系 B 社番組宛メッセージや応募フォームから名前住所メールアドレス電話番号性別年齢職業など約 64 万件の個人情報の漏洩の可能性 2016 年 9 月流通系 C 社通販サイトから氏名電話番号住所購入情報クレジットカード番号が漏洩一部は不正利用も 2016 年 11 月流通系 D 社なりすましログインによるポイント不正利用原因コマンドインジェクションコマンドインジェクションシステムの脆弱性パスワードリスト型攻撃上記の他にも多くの被害が報告されています

6 F5 Networks, Inc 6

7 ビジネス CMS パッケージ (PHP モジュール ) プラグインプラグインプラグインパッケージパッケージ PHP パッケージ OS コマンド MYSQL OS

8 ボット ( 踏み台 ) Web アプリケーション不正アクセスをリモートコントロールプログラム化されているため高速に処理ができる気がついたときには手遅れリスト型攻撃不正ログインスクレーピング

9 根本的対策 : 保険的対策 : アプリケーション (OS 基盤も含む ) の脆弱性対策運用上のアプリケーションセキュリティ (WAF) F5 Networks, Inc 9

10 アプリケーション側だけでセキュリティ対応するのは困難です F5 Networks, Inc 10

11 WAF は運用環境上で脅威を可視化し早期に複数のアプリケーションをまとめてセキュリティ対策を実装することが可能 WAF のポイント 1 攻撃を検知防御アプリケーションセキュリティの根本対策セキュアコーディング対応に時間がかかるソフトウェアにバグは付きもの OS/ ミドルウェアの脆弱性 Attacker WAF 個人情報知財秘密情報 WAF のポイント 2 複数のアプリをまとめて防御可能トランザクションデータ

12 アプリケーションのセキュリティ対策に自信がある WAF導入ユーザ 53% WAF未導入ユーザ 32% アプリケーションのセキュリティ対策に自信がない WAF導入ユーザ 11% WAF未導入ユーザ 25% 何をチェックすると対策の信頼性があがるのか信頼性向上につながる３つの主要な攻撃ポイントリクエスト出展 The State of Application Delivery 2017, F5 Networks 約2,200社のアンケート結果によるレスポンスクライアント

13 F5 Networks, Inc 13

14 課題セキュリティポリシーの違いにより事業吸収した先のアプリケーションの脆弱性が顕在化したまま残っている場合がありますアプリケーション稼動の遅れが事業成長を妨げる経営リスクになりえます WAF 個人情報知財秘密情報アプリケーションの脆弱性を WAF でカバーセキュリティレベルを等しく迅速な Time-to-market を実現共通のポリシー可視化 WAF トランザクションデータ M & Aで取り込んだ事業のアプリケーション個人情報知財秘密情報アプリケーションセキュリティはデジタルエコノミーにおける経営リスクに! トランザクションデータ

15 F5 セキュリティ取り組み

16 Figure 1. Magic Quadrant for Application Delivery Controllers 10 年連続! なぜリーダであり続けるのか? 3 つの重要なポイント可用性最適化セキュリティ * Gartner, Magic Quadrant for Application Delivery Controllers, Andrew Lerner, Joe Skorupa, Danilo Ciscato, 29 August 2016 Source: Gartner (August 2016) This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in the context of the entire document. The Gartner document is available upon request from F5 Networks. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

17 セキュリティは F5 にとって重要な機能です 1996 年 F5 Labs 創立アプリケーションの可用性研究 SSL アクセラレータ統合 IPO 時のファイリング情報ネットワークセキュリティも提供価値に明記機能追加 SSL オフロード機能 SSL 2003 年 uroam 社買収による SSLVPN 製品の提供 WAF 統合 2004 年 Magnifire 社買収により WAF を提供 SSLVPN 2005 年 SSLVPN,SSO, SAML など統合統合 ASM として WAF を製品統合 WAF 技術データセンター FW 統合統合 APM として SSLVPN を製品統合 SWG 統合機能提供 AFM (Network Firewall) をリリース買収 Versafe 社不正送金対策技術 2014 年機能提供 Secure Web Gateway 製品統合 Web Fraud Detection 買収 Defense.Net 社クラウドサービス提供 Silverline DDoS Protection アンチフロードクラウド型 DDOS 対策サービス

18 脆弱性ハニーポットボットネットソーシャル観測 CVE のレビュー独自のソフトウェア診断 Underground フォーラムの追跡 Bot プログラムや Script Injection 型マルウェアの調査 F5 自らボットネット環境を構築し自社製品の精度向上試験に利用 Social Media を観測して攻撃の兆候を察知シグネチャ作成解析レポート False Positive 分析等 SDL: Software Development Lifecycle

Attack on OVH IoT Threats: A First Step into a

19 IoT デバイスに関連したセキュリティ事例をタイムリーかつ詳細に提供中! レポート記事ブログ IoT Devices are the Latest Minions in Cyber Weaponry Toolkits Mirai: The IoT Bot That Took Down Krebs and Launched a Tbps Attack on OVH IoT Threats: A First Step into a Much Larger World of Mayhem 下記の URL から情報発信中

20 F5のWAF BIG-IP ASMのご紹介 Application Security Manager

ションシステム全体を守るソリューションを提供できる製品特徴防御モードと検知モードを容易に切り替え可能ポリシーチューニングに有効なシグネチャーステージング機能 ADCと一体になったアーキテクチャによる高速な処理性能 WAFだけではなくL7

21 Application Security ManagerはBIG-IPプラットフォームで動作する Web Application Firewall WAF SQLインジェクションクロスサイトスクリプティング(XSS) 不正なフロー不正なリクエスト Cookie/FORMパラメータ改ざんバッファオーバーフロー DoS/DDoS攻撃 CSRF ブルートフォース(総当たり)攻撃クレジットカード番号機密情報個人情報双方向のトラフィックを監視しあらゆる攻撃からWebアプリケーションシステム全体を守るソリューションを提供できる製品特徴防御モードと検知モードを容易に切り替え可能ポリシーチューニングに有効なシグネチャーステージング機能 ADCと一体になったアーキテクチャによる高速な処理性能 WAFだけではなくL7 DDoS攻撃対策機能を提供セッションコントロールによるブルートフォース攻撃や Webスクレーピング対策 BOT検知レスポンスパケットの評価による攻撃検知データ露出の検知と防御 irulesによる柔軟なトラフィック制御主要DASTツール脆弱性スキャンツールとの連携

22 WAF Everywhere データセンターからパブリッククラウドに至るまでどこにアプリがあっても妥協することなく同じセキュリティレベルを実装することが可能オンプレミスパブリッククラウド (Azure/AWS) クラウドサービス型 WA F VIPRION Platform BIG-IP Platform BIG-IP ASM 仮想版 F5 Silverline WAF Silverline WAF は BIG-IP ASM を使用

脆弱性診断ツール結果との連携による容易なポリシー作成と迅速なレスポンス F5 独自のプログラマブルなトラフィック制御技術 (irules) Virtual

23 卓越したテクノロジーによってレイヤ 7 やゼロディ攻撃からお客様サイトを保護プロアクティブなボット対策と入念な攻撃分析 OWASP TOP10 はもとより L7 DDoS 攻撃にも有効なフルプロキシーアーキテクチャー IP レピュテーション評価によるリスクベースのポリシー評価脆弱性診断ツール結果との連携による容易なポリシー作成と迅速なレスポンス F5 独自のプログラマブルなトラフィック制御技術 (irules) Virtual Edition Appliance Cloud WebSocket トラフィックに対する攻撃検知 Gartner や SC Magazine 社によって業界をリードする WAF として推奨

24 BIG-IP ASM は ADC のリーダとして培った F5 が提供する高機能かつ高性能な WAF 包括的なセキュリティ機能による web アプリの保護 HTTP エレメントの詳細なポイントに設定できるきめ細かいルールプロアクティブなボット対策クライアントサイドのパラメータチェックによる強力なホワイトリスティングレスポンスパケットのエラー評価とメッセージ検証による情報漏えい対策アンチウイルス製品との連携柔軟な構築形態 WAF 単体の導入もしくは ADC のアドオン物理アプライアンス / 仮想アプライアンス双方をサポートクラウドサービス (F5 Silverline) 自動および手動のポリシー作成マルチテナンシー対応主要 DAST( 脆弱性診断ツール ) との連携可視化と分析 L7 DoS ダッシュボードハイスピードで詳細なロギング出力攻撃のトラッキングとプロファイリングポリシーもしくは PCI へのコンプライアンスレポーティング機能 HTTPS の可視化複数の攻撃を関連付ける相関イベント表示

25 セキュリティデバイスとしての WAF の重要な機能はインシデントに対する防御機能一方で誤検知 (False Positive) 対策も重要 F5 の ASM は検知モードと防御モードシグネチャのステージング機能などにより誤検知の影響を少なくするとともに重要なポリシー設定に関しては防御設定を行うことが可能 WAF として機能全体を検知モードと防御モードの切り替えが容易シグネチャや機能毎に検知防御のモードの設定も可能

にインポートブロックポリシーを容易に作成対応脆弱性診断ツール : IBM App

26 脆弱性診断ツールによる脆弱性の発見からアプリケーション開発の対応の完了までには時間がかかる診断ツールの結果を ASM にインポートブロックポリシーを容易に作成対応脆弱性診断ツール : IBM App Scan Standard, HP WebInspect/Fortify Ondemand, Qualys Guard Web Application Scanning, WhiteHat Sentinel, Cenzic Hilstorm WAF 検知防御バーチャルパッチで検知防御脆弱性診断ツール特定アプリケーション開発チームの対応サーバチームパッチ対応アプリの改修 Web サーバ CGI/ アプリケーション JavaScript サーバデータベースサーバ情報パッチ運用計画

④ ASMがレスポンス ⑤ 正しく認証されたをチェック Cookieの署名タイムスタンプデバイスフィン通常のブラウザはチャガープリントレンジ要求をバイパス JavaScriptのチャレンジ&レスポンスに返答 Web Application ① ASMはWebサーバか Internet ③ブラウザが

27 ④ ASMがレスポンス ⑤ 正しく認証されたをチェック Cookieの署名タイムスタンプデバイスフィン通常のブラウザはチャガープリントレンジ要求をバイパス JavaScriptのチャレンジ&レスポンスに返答 Web Application ① ASMはWebサーバか Internet ③ブラウザがリクエストだけが Webサーバに送信される Webサーバへの初回アクセス時らのレスポンスに JavaScriptを挿入 ② JavaScriptのチャ不正なリクエストは拒否されるレンジ&レスポンスがブラウザ上で実行される BOTの場合チャレンジ&レスポンスの実行がされないボット検知の仕組み

28 量的メトリックス Transactions / sec.(ip/url/latency) 質的メトリックスフィンガープリティング技術 ( どのデバイス? 能力は?) ボットシグネチャ既知のボットもしくはクローラーを識別 (Black or White?) POINT Fail Block メッセージ OK GET HTTP/1.1 アプリケーション

29 # curl <html><head><meta http-equiv="pragma" content="no-cache"/> <meta http-equiv="expires" content="-1"/> <meta http-equiv="cachecontrol" content="no-cache"/> <meta http-equiv="x-ua-compatible" content="ie=edge"/> <link rel="shortcut icon" href="data:;base64,ivborw0kggo="/> <script> (function(){ window["bobcmn"] = " d8c2b TSPD_ /TSPD/ TSPD_ http "; window.njxf=!!window.njxf;try{(function(){try{var SS,_S,JS=1,lS=1,OS=1,zS=1,o_=1,Z_=1,Si=1,_i=1,ii=1;for(var Ji=0;Ji<_S;++Ji)JS+=2,lS+=2,OS+=2,zS+=2,o_+=2,Z_+=2,Si+=2,_i+=2,ii+=3;SS=JS+lS+OS+zS+o_+Z_+Si+_i+ii;window.L_===SS&&(window.L_=++SS)}catch(SI){window.L_=SS}var _I=!0;function ii(s){s&&(_i=!1);return _I}function II(){}iI(window[II.name]===II);iI("function"!==typeof ie9rgb4);ii(/ x3c/.test(function(){return" x3c"})&/x3d/.test(function(){return"0";"x3d"})); ( 途中省略 ) HTMLElement&&(J(L),++z)}catch(jS){}}return z}js(lj,j)})();window.io={lo:"0814bbe3a e668cbdb7803cafb13eb339d65763a57dde9025b86fc7d88d ce3565e09788a703da14f9c d8747e87c3b5816a8c3daddc47926e4 17ad23a1e84f07db079ab4675c2e16423a94ca71db603c3623a479013eccc5619fbf82a37051ca979a4f01a30f89560d05c5d9a6f6606e9f42d7d0652dcd925c1"};function _(S){_j() (arguments[0]="ebvw76");return 396>S}function l(){var S=arguments.length,I=[];for(var J=0;J<S;++J)I.push(arguments[J]-59);return String.fromCharCode.apply(String,I)} function O(S){!_I&&new Date%3&&arguments.callee();S+=0;return S.toString(36)}(function Lj(I){return I?0:Lj(I)*Lj(I)})(_j());})();}finally{ie9rgb4=void(0);};function ie9rgb4(a,b){return a>>b>>0}; })(); </script> <script type="text/javascript" src="/tspd/081c54028aab2000f0bd6b2bffd9b4ed8ffd0fd18c1e92bce07f7ba6b976b931d a?type=6"></script> <noscript>please enable JavaScript to view the page content.</noscript> </head><body>

30 プロアクティブなボット検知によりリクエストを拒否例えば Sentry MBA パスワードリスト型攻撃などを行うツールツールの OCR 機能による CAPTCHA 突破に対しても有効 (CAPTCHA イメージを画像として送信しません ) F5 ASM (WAF) お客様アプリケーション詳細なレポートは下記を参照ください

31 利用が広がる WebSocket 通信中からマリシャスコンテンツを検出可能タクシー配車サービスでのイメージ XSS 現在位置? $#&% オペレータ

33 課題脆弱性が公開されても影響があるかどうかわからないシステムを止めずに早期のカウンターメジャー ( 対抗策 ) がとれないか? 攻撃者 1 User-agent: () {:;}; #shellcode セッション RESET 2 irule の処理 () {? 3 Web サーバ Shellshock の例 Web サーバは Linux なので最悪リモートコマンド実行につながる脆弱性 CGI で bash を使っているかどうか判別に時間がかかる irules を使って検知防御

34 スクリプトによる迅速で柔軟なサイバーセキュリティ対策脆弱性に対する攻撃をいち早く検知防御対応することが可能脆弱性 CVE 公開の翌日にF5 DevCentralにて提供 when HTTP_REQUEST { Shellshock対策のiRule例部分 set pattern "*() {*"; foreach header_name [ names] { foreach header_value [ values $header_name] { if { [string match $pattern $header_value] } { log local0. "Detected CVE attack from '[IP::client_addr]' in HTTP Header $header_name = '$header_value'; URI = '[ reject; リクエストを拒否 break; HTTPヘッダ値にshellshockの攻撃パターン {} ( ; を検知

5 4/8 Heartbeed 通信検知 & 防御の irule を提供 https://devcentral.f5.

35 WAF だけでは対応が困難な SSL の脆弱性対策も BIG-IP の irules により検知 & 防御 irules( スクリプト ) は F5 のホームページで提供 4/7 出典 : 株式会社ラック JSOC INSIGHT vol.5 4/8 Heartbeed 通信検知 & 防御の irule を提供アプリケーション正規のユーザアタッカー 4/9 不正な Heartbeed レスポンス検知 & 防御の irule を提供

36 POINT

37 ECDH-ECDSA-AES128-SHA256 SSL cipher Source :SSL Performance Results: F5 BIG-IP iseries vs. Citrix and A10

38 セキュリティ機能運用面コスト OWASP TOP10 対策 F5 ASM Imperva 社 SecureSphre * L7DOS 対策備考すべての機能には Proxy mode が必要 ) SSL 終端処理 * 別途オプション必要アンチウイルス連携 ADC 機能 (LB 最適化 ) シグネチャーステージング ( 学習機能 ) 統合管理 TCO ( セキュリティ機能処理性能 ) * 装置が 1 台でも管理サーバ必須価格性能は後述のサイジング情報も参照

40 F5 事例集は下記からダウンロード可能です : Package-JP-FEB12.html

41 PIEM 株式会社様 F5 Networks, Inc 41

42 F5 Networks, Inc 42

44 お客様固有のセキュリティー上の課題について F5 のプロフェッショナルコンサルタントが専門的見地からの要件のヒアリングセキュリティーポリシーの設計導入構築本番移行の各フェーズ並びに運用開始後の継続的なアセスメントとチューニングのご支援を実施します BIG-IP ASM コンサルティングサービス要件定義フェーズフェーズ設計構築フェーズ運用フェーズ項目サービスソリューションに関する要件定義設計 / 構築 / 動作確認 ASM カスタムトレーニング Q&A Blocking モード移行判定定期脆弱性アセスメント ASM レポートサービス BIG-IP VIPRION オンサイト :1 回オンサイト : 四半期オンサイト :1 回リモート : 月次月次レポート四半期毎にレポート

<4D F736F F F696E74202D A B B C982A882AF82E9835B838D A834C A CE8DF42E >

<4D F736F F F696E74202D A B B C982A882AF82E9835B838D A834C A CE8DF42E > ゼロデイ攻撃から Web アプリケーションを守る秘訣 F5 Networks, Inc. 1 Agenda 1.Web アプリケーションの脅威分析 2.Web アプリケーションを守るためにとるべき対策 3.F5 のソリューションを使って守る法 3 現在では数多くの企業がクラウドサービスを利用していますしかしながらその際のセキュリティ対策についてはオンプレミスと比較するときちんと施されていないというのが実情ではないでしょうか