Presentation Title Placeholder

Save this PDF as:
 WORD  PNG  TXT  JPG

Size: px
Start display at page:

Download "Presentation Title Placeholder"

Transcription

1

2 F5 Networks, Inc 2 2

3 Web サイトへの サイバー攻撃のトレンド

4 Webアプリケーションに関連する脅威が半分を占めている 脆弱性に対するプロアクティブな対策が重要 3位 ウェブサービスからの個人情報の窃取 4位 サービス妨害攻撃によるサービスの停止 6位 ウェブサイトの改ざん 7位 ウェブサービスへの不正ログイン Webアプリケーションへの 脅威は引き続き上位に 脆弱性を利用した改ざん 不正ログインや不正利用も引 き続きランクイン 10位 インターネットバンキングやクレジットカード情報の不正利用

5 発生時期 被害を受けた企業 被害内容 2016 年 4 月 メディア系 A 社 各番組の応募フォームに不正侵入 氏名 住所 電話番号 メールアド レス等の情報漏洩の可能性 2016 年 4 月 メディア系 B 社 番組宛メッセージや応募フォームから名前 住所 メールアドレス 電話番号 性別 年齢 職業など約 64 万件の個人情報の漏洩の可能性 2016 年 9 月 流通系 C 社 通販サイトから氏名 電話番号 住所 購入情報 クレジットカード 番号が漏洩 一部は不正利用も 2016 年 11 月 流通系 D 社 なりすましログインによるポイント 不正利用 原因コマンドインジェクションコマンドインジェクションシステムの脆弱性パスワードリスト型攻撃 上記の他にも多くの被害が報告されています

6 F5 Networks, Inc 6

7 ビジネス CMS パッケージ (PHP モジュール ) プラグイン プラグイン プラグイン パッケージ パッケージ PHP パッケージ OS コマンド MYSQL OS

8 ボット ( 踏み台 ) Web アプリケーション 不正アクセスをリモートコントロール プログラム化されているため高速に処理ができる 気がついたときには手遅れ リスト型攻撃不正ログインスクレーピング

9 根本的対策 : 保険的対策 : アプリケーション (OS 基盤も含む ) の脆弱性対策 運用上のアプリケーションセキュリティ (WAF) F5 Networks, Inc 9

10 アプリケーション側だけでセキュリティ対応するのは困難です F5 Networks, Inc 10

11 WAF は運用環境上で脅威を可視化し 早期に複数のアプリケーションをまとめてセキュリティ対策を実装することが可能 WAF のポイント 1 攻撃を検知 防御 アプリケーションセキュリティの根本対策セキュアコーディング 対応に時間がかかる ソフトウェアにバグは付きもの OS/ ミドルウェアの脆弱性 Attacker WAF 個人情報 知財 秘密情報 WAF のポイント 2 複数のアプリをまとめて防御可能 トランザクションデータ

12 アプリケーションのセキュリティ対策に自信がある WAF導入ユーザ 53% WAF未導入ユーザ 32% アプリケーションのセキュリティ対策に自信がない WAF導入ユーザ 11% WAF未導入ユーザ 25% 何をチェックすると対策の信頼性があがるのか 信頼性向上につながる3つの主要 な攻撃ポイント リクエスト 出展 The State of Application Delivery 2017, F5 Networks 約2,200社のアンケート結果による レスポンス クライアント

13 F5 Networks, Inc 13

14 課題 セキュリティポリシーの違いにより 事業吸収した先のアプリケーションの脆弱性が顕在化したまま残っている場合があります アプリケーション稼動の遅れが事業成長を妨げる経営リスクになりえます WAF 個人情報 知財 秘密情報 アプリケーションの脆弱性を WAF でカバーセキュリティレベルを等しく迅速な Time-to-market を実現 共通のポリシー 可視化 WAF トランザクションデータ M & Aで取り込んだ事業のアプリケーション個人情報知財 秘密情報 アプリケーションセキュリティはデジタルエコノミーにおける経営リスクに! トランザクションデータ

15 F5 セキュリティ 取り組み

16 Figure 1. Magic Quadrant for Application Delivery Controllers 10 年連続! なぜリーダであり続けるのか? 3 つの重要なポイント 可用性 最適化 セキュリティ * Gartner, Magic Quadrant for Application Delivery Controllers, Andrew Lerner, Joe Skorupa, Danilo Ciscato, 29 August 2016 Source: Gartner (August 2016) This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in the context of the entire document. The Gartner document is available upon request from F5 Networks. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

17 セキュリティは F5 にとって重要な機能です 1996 年 F5 Labs 創立アプリケーションの可用性研究 SSL アクセラレータ統合 IPO 時のファイリング情報ネットワークセキュリティも提供価値に明記 機能追加 SSL オフロード機能 SSL 2003 年 uroam 社買収による SSLVPN 製品の提供 WAF 統合 2004 年 Magnifire 社買収により WAF を提供 SSLVPN 2005 年 SSLVPN,SSO, SAML など統合 統合 ASM として WAF を製品統合 WAF 技術 データセンター FW 統合 統合 APM として SSLVPN を製品統合 SWG 統合 機能提供 AFM (Network Firewall) をリリース 買収 Versafe 社 不正送金対策技術 2014 年 機能提供 Secure Web Gateway 製品統合 Web Fraud Detection 買収 Defense.Net 社 クラウドサービス提供 Silverline DDoS Protection アンチフロード クラウド型 DDOS 対策サービス

18 脆弱性ハニーポットボットネットソーシャル観測 CVE のレビュー 独自のソフトウェア診断 Underground フォーラムの追跡 Bot プログラムや Script Injection 型マルウェアの調査 F5 自らボットネット環境を構築し 自社製品の精度向上試験に利用 Social Media を観測して攻撃の兆候を察知 シグネチャ作成解析レポート False Positive 分析等 SDL: Software Development Lifecycle

19 IoT デバイスに関連したセキュリティ事例をタイムリーかつ詳細に提供中! レポート記事ブログ IoT Devices are the Latest Minions in Cyber Weaponry Toolkits Mirai: The IoT Bot That Took Down Krebs and Launched a Tbps Attack on OVH IoT Threats: A First Step into a Much Larger World of Mayhem 下記の URL から情報発信中

20 F5のWAF BIG-IP ASMのご紹介 Application Security Manager

21 Application Security ManagerはBIG-IPプラットフォームで動作する Web Application Firewall WAF SQLインジェクション クロスサイトスクリプティング(XSS) 不正なフロー 不正なリクエスト Cookie/FORMパラメータ改ざん バッファオーバーフロー DoS/DDoS攻撃 CSRF ブルートフォース(総当たり)攻撃 クレジットカード番号 機密情報 個人情報 双方向のトラフィックを監視し あらゆる攻撃からWebアプリケー ションシステム全体を守るソリューションを提供できる製品 特徴 防御モードと検知モードを容易に切り替え可能 ポリシーチューニングに有効なシグネチャーステージング 機能 ADCと一体になったアーキテクチャによる高速な処理性能 WAFだけではなくL7 DDoS攻撃対策機能を提供 セッションコントロールによるブルートフォース攻撃や Webスクレーピング対策 BOT検知 レスポンスパケットの評価による攻撃検知 データ露出の 検知と防御 irulesによる柔軟なトラフィック制御 主要DASTツール 脆弱性スキャンツール との連携

22 WAF Everywhere データセンターからパブリッククラウドに至るまで どこにアプリがあっても妥協することなく同じセキュリティレベルを実装することが可能 オンプレミス パブリッククラウド (Azure/AWS) クラウドサービス型 WA F VIPRION Platform BIG-IP Platform BIG-IP ASM 仮想版 F5 Silverline WAF Silverline WAF は BIG-IP ASM を使用

23 卓越したテクノロジーによってレイヤ 7 やゼロディ攻撃からお客様サイトを保護 プロアクティブなボット対策と入念な攻撃分析 OWASP TOP10 はもとより L7 DDoS 攻撃にも有効なフルプロキシーアーキテクチャー IP レピュテーション評価によるリスクベースのポリシー評価 脆弱性診断ツール結果との連携による容易なポリシー作成と迅速なレスポンス F5 独自のプログラマブルなトラフィック制御技術 (irules) Virtual Edition Appliance Cloud WebSocket トラフィックに対する攻撃検知 Gartner や SC Magazine 社によって業界をリードする WAF として推奨

24 BIG-IP ASM は ADC のリーダとして培った F5 が提供する高機能かつ高性能な WAF 包括的なセキュリティ機能による web アプリの保護 HTTP エレメントの詳細なポイントに設定できるきめ細かいルール プロアクティブなボット対策 クライアントサイドのパラメータチェックによる強力なホワイトリスティング レスポンスパケットのエラー評価とメッセージ検証による情報漏えい対策 アンチウイルス製品との連携 柔軟な構築形態 WAF 単体の導入もしくは ADC のアドオン 物理アプライアンス / 仮想アプライアンス双方をサポート クラウドサービス (F5 Silverline) 自動および手動のポリシー作成 マルチテナンシー対応 主要 DAST( 脆弱性診断ツール ) との連携 可視化と分析 L7 DoS ダッシュボード ハイスピードで詳細なロギング出力 攻撃のトラッキングとプロファイリング ポリシーもしくは PCI へのコンプライアンスレポーティング機能 HTTPS の可視化 複数の攻撃を関連付ける相関イベント表示

25 セキュリティデバイスとしての WAF の重要な機能は インシデントに対する防御機能 一方で誤検知 (False Positive) 対策も重要 F5 の ASM は 検知モードと防御モード シグネチャのステージング機能などにより 誤検知の影響を少なくするとともに重要なポリシー設定に関しては防御設定を行うことが可能 WAF として機能全体を検知モードと防御モードの切り替えが容易 シグネチャや機能毎に検知 防御のモードの設定も可能

26 脆弱性診断ツールによる脆弱性の発見から アプリケーション開発の対応の完了までには時間がかかる 診断ツールの結果を ASM にインポート ブロックポリシーを容易に作成 対応脆弱性診断ツール : IBM App Scan Standard, HP WebInspect/Fortify Ondemand, Qualys Guard Web Application Scanning, WhiteHat Sentinel, Cenzic Hilstorm WAF 検知 防御 バーチャルパッチで検知 防御 脆弱性診断ツール特定 アプリケーション開発チームの対応 サーバチームパッチ対応 アプリの改修 Web サーバ CGI/ アプリケーション JavaScript サーバ データベースサーバ 情報 パッチ運用計画

27 ④ ASMがレスポンス ⑤ 正しく認証された をチェック Cookieの署名 タイムスタンプ デバイスフィン 通常のブラウザはチャ ガープリント レンジ要求をバイパス JavaScriptの チャレンジ&レ スポンスに返答 Web Application ① ASMはWebサーバか Internet ③ブラウザが リクエストだけが Webサーバに送信 される Webサーバへ の初回アクセ ス時 らのレスポンスに JavaScriptを挿入 ② JavaScriptのチャ 不正なリクエストは 拒否される レンジ&レスポン スがブラウザ上で 実行される BOTの場合 チャレ ンジ&レスポンスの 実行がされない ボット検知の仕組み

28 量的メトリックス Transactions / sec.(ip/url/latency) 質的メトリックス フィンガープリティング技術 ( どのデバイス? 能力は?) ボットシグネチャ 既知のボットもしくはクローラーを識別 (Black or White?) POINT Fail Block メッセージ OK GET HTTP/1.1 アプリケーション

29 # curl <html><head><meta http-equiv="pragma" content="no-cache"/> <meta http-equiv="expires" content="-1"/> <meta http-equiv="cachecontrol" content="no-cache"/> <meta http-equiv="x-ua-compatible" content="ie=edge"/> <link rel="shortcut icon" href="data:;base64,ivborw0kggo="/> <script> (function(){ window["bobcmn"] = " d8c2b TSPD_ /TSPD/ TSPD_ http "; window.njxf=!!window.njxf;try{(function(){try{var SS,_S,JS=1,lS=1,OS=1,zS=1,o_=1,Z_=1,Si=1,_i=1,ii=1;for(var Ji=0;Ji<_S;++Ji)JS+=2,lS+=2,OS+=2,zS+=2,o_+=2,Z_+=2,Si+=2,_i+=2,ii+=3;SS=JS+lS+OS+zS+o_+Z_+Si+_i+ii;window.L_===SS&&(window.L_=++SS)}catch(SI){window.L_=SS}var _I=!0;function ii(s){s&&(_i=!1);return _I}function II(){}iI(window[II.name]===II);iI("function"!==typeof ie9rgb4);ii(/ x3c/.test(function(){return" x3c"})&/x3d/.test(function(){return"0";"x3d"})); ( 途中省略 ) HTMLElement&&(J(L),++z)}catch(jS){}}return z}js(lj,j)})();window.io={lo:"0814bbe3a e668cbdb7803cafb13eb339d65763a57dde9025b86fc7d88d ce3565e09788a703da14f9c d8747e87c3b5816a8c3daddc47926e4 17ad23a1e84f07db079ab4675c2e16423a94ca71db603c3623a479013eccc5619fbf82a37051ca979a4f01a30f89560d05c5d9a6f6606e9f42d7d0652dcd925c1"};function _(S){_j() (arguments[0]="ebvw76");return 396>S}function l(){var S=arguments.length,I=[];for(var J=0;J<S;++J)I.push(arguments[J]-59);return String.fromCharCode.apply(String,I)} function O(S){!_I&&new Date%3&&arguments.callee();S+=0;return S.toString(36)}(function Lj(I){return I?0:Lj(I)*Lj(I)})(_j());})();}finally{ie9rgb4=void(0);};function ie9rgb4(a,b){return a>>b>>0}; })(); </script> <script type="text/javascript" src="/tspd/081c54028aab2000f0bd6b2bffd9b4ed8ffd0fd18c1e92bce07f7ba6b976b931d a?type=6"></script> <noscript>please enable JavaScript to view the page content.</noscript> </head><body>

30 プロアクティブなボット検知によりリクエストを拒否 例えば Sentry MBA パスワードリスト型攻撃などを行うツール ツールの OCR 機能による CAPTCHA 突破に対しても有効 (CAPTCHA イメージを画像として送信しません ) F5 ASM (WAF) お客様アプリケーション 詳細なレポートは下記を参照ください

31 利用が広がる WebSocket 通信中からマリシャスコンテンツを検出可能 タクシー配車サービスでのイメージ XSS 現在位置? $#&% オペレータ

32

33 課題 脆弱性が公開されても影響があるかどうかわからない システムを止めずに早期のカウンターメジャー ( 対抗策 ) がとれないか? 攻撃者 1 User-agent: () {:;}; #shellcode セッション RESET 2 irule の処理 () {? 3 Web サーバ Shellshock の例 Web サーバは Linux なので最悪リモートコマンド実行につながる脆弱性 CGI で bash を使っているかどうか判別に時間がかかる irules を使って検知 防御

34 スクリプトによる迅速で柔軟なサイバーセキュリティ対策 脆弱性に対する攻撃をいち早く検知 防御 対応することが可能 脆弱性 CVE 公開の翌日にF5 DevCentralにて提供 when HTTP_REQUEST { Shellshock対策のiRule例 部分 set pattern "*() {*"; foreach header_name [ names] { foreach header_value [ values $header_name] { if { [string match $pattern $header_value] } { log local0. "Detected CVE attack from '[IP::client_addr]' in HTTP Header $header_name = '$header_value'; URI = '[ reject; リクエストを拒否 break; HTTPヘッダ値にshellshockの攻 撃パターン {} ( ; を検知

35 WAF だけでは対応が困難な SSL の脆弱性対策も BIG-IP の irules により検知 & 防御 irules( スクリプト ) は F5 のホームページで提供 4/7 出典 : 株式会社ラック JSOC INSIGHT vol.5 4/8 Heartbeed 通信検知 & 防御の irule を提供 アプリケーション 正規のユーザ アタッカー 4/9 不正な Heartbeed レスポンス検知 & 防御の irule を提供

36 POINT

37 ECDH-ECDSA-AES128-SHA256 SSL cipher Source :SSL Performance Results: F5 BIG-IP iseries vs. Citrix and A10

38 セキュリティ機能 運用面 コスト OWASP TOP10 対策 F5 ASM Imperva 社 SecureSphre * L7DOS 対策 備考 すべての機能には Proxy mode が必要 ) SSL 終端処理 * 別途オプション必要 アンチウイルス連携 ADC 機能 (LB 最適化 ) シグネチャーステージング ( 学習機能 ) 統合管理 TCO ( セキュリティ機能 処理性能 ) * 装置が 1 台でも管理サーバ必須 価格性能は後述のサイジング情報も参照

39

40 F5 事例集 は下記からダウンロード可能です : Package-JP-FEB12.html

41 PIEM 株式会社様 F5 Networks, Inc 41

42 F5 Networks, Inc 42

43

44 お客様固有のセキュリティー上の課題について F5 のプロフェッショナルコンサルタントが専門的見地からの要件のヒアリング セキュリティーポリシーの設計 導入 構築 本番移行の各フェーズ 並びに運用開始後の継続的なアセスメントとチューニングのご支援を実施します BIG-IP ASM コンサルティングサービス 要件定義フェーズ フェーズ 設計 構築フェーズ 運用フェーズ 項目 サービスソリューションに関する要件定義 設計 / 構築 / 動作確認 ASM カスタムトレーニング Q&A Blocking モード移行判定 定期脆弱性アセスメント ASM レポートサービス BIG-IP VIPRION オンサイト :1 回 オンサイト : 四半期 オンサイト :1 回 リモート : 月次 月次レポート 四半期毎にレポート

45

46

47