PowerPoint プレゼンテーション

Transcription

1 Save the World from IT threats Kaspersky Vulnerability and Patch Management 2017年5月18日 株式会社 カスペルスキー コーポレートビジネス本部

2 脆弱性はなぜ狙われるのか エクスプロイト攻撃の実態 2

3 脆弱性とは プログラムの不具合や設計ミスによる危険な欠陥 サイバー攻撃に利用できる 権限昇格 任意のコマンド実行が可能なものは重大な危険をもたらし バックドアを仕掛けられたり ボット化する 業務継続に影響を及ぼす データ侵害 ランサムウェアの被害をもたらす 3

4 脆弱性が利用され続ける実態 エクスプロイト攻撃は2016年は 前年比で24.5 増加 脆弱性の情報が公開された後は 様々な攻撃者が利用し危険性が増大する パッチ適用が進まない事実があるため 数年に渡り同じ脆弱性が狙い続けられている 一例 Officeの脆弱性を狙った攻撃が増加し 継続している 出典 エクスプロイト攻撃 日常の脅威から標的型攻撃まで 4

5 狙われる Web 関連アプリと Office 4.46% 3.97% 0.53% Browsers 6.43% 13.15% 26.95% Windows Android Office Flash Java 23.30% Reader それぞれのアプリケーションを標的とした エクスプロイトによる攻撃を受けたユーザーの分布 (2016 年 ) 2016 年合計深刻度高深刻度高の脆弱性の割合 (%) Office % ブラウザー % JRE % Flash % Android % 2016 年に頻繁に攻撃を受けたアプリケーションで発見された脆弱性の数 ( 出典 :CVEdetails.com および Kaspersky Lab の独自データベース ) 5

6 エクスプロイト ペイロード エクスプロイト 脆弱性を突く部分 ペイロード 仕掛けたい攻撃の部分 ダウンローダー ボット化 トロイ ランサム エクスプロイトは ユーザーによる操作を 必要としない エクスプロイト メールやブラウザ ネットワークから実行 6 ペイロード ダウンローダー トロイ ランサム攻撃を実行

7 脆弱性管理の重要性 セキュリティの新しい柱 7

8 狙われる脆弱性は何か? そもそも 攻撃の目的は何か? データを盗むこと ボット化させること 近年増えている直接的な金銭奪取 ( ランサム バンキング カード情報 ) 狙われるのは何か 攻撃が効果的であるために ほとんどの PC に存在するアプリケーションが良い 日常的に使用されるものが良い ネットワーク内部までたどり着ける仕組み その答えが ブラウザー Office Flash JAVA である また Web サーバーの改ざんも Web 経由で攻撃するために行われる 8

9 狙われる脆弱性は何か? なぜ ブラウザなのか ネットワーク境界は ルーターやファイウォールのイメージがあるが 一番重要なネットワーク境界はブラウザーである ブラウザーは様々な要求を受け付けねばならず セキュリティを保ちにくい Web アプリケーションからの要求 Plug-in スクリプト 動的コンテンツ API etc Wannacry で見られたネットワーク攻撃 ランサムウェアは目立つ攻撃であるものの 攻撃の主流は引き続き情報を盗むもの Worm は目立つため 情報を盗む活動では下火であった しかし ランサムのように ばらまき型で良いものでは効果的であり 今後も注意が必要である Wannacry では Windows のネットワーク機能である SMB の脆弱性が狙われた 9

10 エクスプロイト ペイロード エクスプロイトは人手を介さないため 脆弱性がある限り エクスプロイト実行を防ぐことは出来ない そして ひとつの脆弱性に対して マルウェアは無数に存在する しかし 脆弱性の修正は一度で良い 10

11 現場任せは限界 多くの企業がパッチ適用を個人任せにしている WindowsUpadate を実行しても その後の再起動がなかなか行われないこともある 特に サードパーティアプリケーションは適用の実態が掴めません 脆弱性情報の把握 アプリケーション存在とバージョンの把握 インベントリ突合せ影響の判断 ( 重大度 緊急度 ) パッチ適用計画告知 実施要請 結果が不明 11

12 現場任せは限界 システムによる自動運用が必要 12

13 まとめ サイバー攻撃には脆弱性が使われ 増加している 攻撃に使われるのは ほとんどが既知の脆弱性である ひとつの脆弱性に対し それを利用しようとする攻撃は無数である しかし 大本の脆弱性をなくせば 攻撃は失敗する 脆弱性の把握 パッチ適用の 2 段階をシステム化することが重要 脆弱性は日々発見されるので 管理サイクルが重要 13

14 製品機能脆弱性管理 14

15 管理端末上の脆弱性の把握 カスペルスキーが持つマイクロソフト製品とサードバーティー製品の脆弱性情報と Microsoftから取得した脆弱性情報により 端末ごとの情報をレポート 15

16 Microsoft 製品のパッチ管理 パターンA KSCをWSUSサーバーとして使用する KSCがWSUSサーバーとなり パッチを配信するパターンです Kasperskyのネットワークエージェント 16

17 パターン B: 外部の WSUS サーバーを使用する パターン B: 外部の WSUS サーバーを使用する KSC が管理下のコンピューターに対し WSUS サーバー ( もしくはインターネット上の Microsoft アップデートサイト ) からパッチを取得する様 指示を出すパターン 比較的小規模で サーバーの HD 容量が確保出来ない場合向け Windows アップデートクライアント 17

18 サードパーティー製アプリケーションのパッチ管理 Kaspersky のネットワークエージェント 18

19 管理端末上の脆弱性の把握 Microsoft とサードパーティ製アプリケーションの脆弱性有無を確認可能 19 CVE などの脆弱性情報データベースに登録されるサードパーティアプリにも対応 対応脆弱性を持つコンピューター名 脆弱性の CVE 番号の確認も可能

20 パッチ配信 Microsoftのアプリケーション Kaspersky Security Center からMicrosoft製品のアップデートを配布 Microsoft Update サーバー ① マイクロソフトからアップデートを インターネット経由で取得 管理サーバー Kaspersky Security Center ② 管理端末へ配信 クライアントPC WSUS 単体ではクライアントへの配信スケジュールを設定できないが Kaspersky Security Center の タスク 機能により可能となります ワークグループ環境におけるクライアントのレジストリ設定は不要 20

21 パッチ配信 サードパーティのアプリケーション 脆弱性が報告されている主要なアプリケーションをカバー サードパーティ アップデート サーバー ① サードパーティサーバーからアップデートを インターネット経由で取得 管理サーバー Kaspersky Security Center ② 管理端末へ配信 クライアントPC 上記は対応アプリケーションの一部です リストにないアプリケーションに関しては 別途アプリ提供元WEBサイトなどから インストールパッケージを取得し リモートインストール機能でパッチ適用可能 P31 21

22 パッチ配信 適用ルールに基づいた自動配信 配信対象パッチの選択 ( 承認 拒否 ) や脆弱性の重要度別にルールを設定し パッチ配信の自動化も可能 22

23 製品機能インベントリ リモートインストール

24 IT資産管理機能 インベントリ情報の収集 ハードウェアインベントリ コンピューター名 IPアドレス CPU メモリ データストレージなど ソフトウェアインベントリ インストールされたアプリケーション情報やコンピュータ内の実行形式 拡張子を持つプログラム ソフトウェアライセンス管理 管理対象アプリのライセンス数量をレポート表示可能 また ライセンス超過時に管理者へメールで通知する設定も可能 アプリケーションのリモートインストール/削除 カスペルスキー製品だけでなく サードパーティアプリケーションの インストール/アンインストールが可能 24

25 インベントリ情報の収集 管理端末にインストールされたアプリケーション情報を表示 業務上不適切なアプリのインストール状況を把握することが可能 インストール済コンピューターの 特定が可能 Kaspersky Security Center アプリケーショ ン情報を取得 25 ネットワーク エージェント

26 インベントリ情報の収集 サマリー表示 ハードウェア情報のレポート表示 コンピューター単位での個別表示 各ハードウェア デバイスごとの対象コンピューター数を表示 ハードウェアスペック状況からPCリプレース 時期の判断材料にできる 管理者が認識していない PCパーツの交換 追加を 監査可能 端末個別表示 26

27 インベントリ情報の管理 カスタムフィールドを活用することで お客様が必要とする資産管理項目に対応 各項目ごとに情報のソートやフィルタリングが可能 カスタムフィールドで 追加した管理項目 保守契約番号や障害履歴なども Kaspersky Security Center上で 一括管理できます カスタムフィールド項目を含めた 管理項目をCSV形式でエクスポート も可能です 27

28 ソフトウェアライセンス管理 管理端末にインストールされている アプリケーション情報をもとに管理 アプリケーションごとに 使用中 空き 超過ライセンス数 を表示 28 管理対象アプリケーションとライセンス 数量を設定し超過がないかチェック 超過時のアラートメールも設定可能

29 SIEM製品との連携機能 Kaspersky Security Centerが管理対象端末から取得したログを他社SIEM製品へ エクスポートが可能です KSC SP2よりSplunkに対応 SIEMは複数ベンダー機器のログを統合的に相関分析し 潜在的なセキュリティリスクの 早期発見や高度なセキュリティ対策に有効として 近年 注目が高まっております QRAder ArcSight Splunkに対応 Syslogもサポート 29

30 アプリケーションのリモートインストール Kaspersky Security Center が持つ製品リストから選択して配信可能 サードパーティアップデートサーバー 1 サードパーティサーバーからアップデートをインターネット経由で取得 管理サーバー (Kaspersky Security Center) 2 管理端末へ配信 クライアント PC 30 リストにない場合は管理者が別途用意した exe msi bat などの実行ファイルも配信可能 ( 次ページ参照 )

31 アプリケーションのリモートインストール カスペルスキー製品のインストールだけでなく サードパーティアプリケーションもインストール可能 31 単体ファイル 複数ファイル バッチなどを指定できます また 引数も設定可能

32 アプリケーションのリモート削除 Windows のプログラムのアンインストールまたは変更画面と同様の内容が管理サーバー側でも確認が可能 最新版をインストールしても 複数バージョンが存在するアプリケーション (Java など ) があると 脆弱性が残り続けてしまう定期的なインストール済アプリケーションの監査が重要 Windows OS 側でのインストールアプリ確認 管理サーバー (KSC) でのインストールアプリ確認 32

33 アプリケーションのリモート削除 アプリケーションのリモートアンインストール 削除コマンドを自動設定 33

34 付録 その他の機能 34

35 OSクローニングの流れ マスターPCのOSイメージを他PCに複製しセットアップする機能 作成したイメージをネットワーク経由で一斉展開できます ②PXEブート要求 Kaspersky Security Center マスターPC ①マスターPC イメージ取得 ③Windows PE起動 イメージ展開 PXEサーバー Windows PE起動 イメージを保持 35 同時に一斉展開 ④Windows PEを起動し マスターPCイメージ 展開を開始 Windows PEとは CDメディアやネットワークブートが容易に可能な軽量なWindows OSです Windows PEをブートさせ その上でマスターイメージ展開が行われます

36 OS クローニングのメリット Sysprep 処理の自動実行 Windows OSの固有情報 (SID) 再作成に必須な Sysprep 処理をイメージ取得時に自動実行 Kaspersky 製品への組み込み用処理もイメージ取得時に実施可能 PXEブートによるネットワーク経由での一斉展開 イメージ展開ツールやWindows PEの起動 CD 準備が不要 クライアント側の設定不要( 再起動するだけ ) KSCがPXEサーバーとして自動構成 別途 PXEサーバーを用意する必要がありません 36

37 マスターイメージ作成 マスター PC を指定し 作成イメージ保存用の共有フォルダーを指定するだけ 37

38 OS クローニング インストール方法パターン 1 すでに検出されている PC に OS イメージを割り当てて展開 38

39 OS クローニング インストール方法パターン 2 あらかじめ MAC アドレスを登録しておき 端末が起動 検出された際に自動で OS イメージを割り当て 展開する方法も設定できます (MAC アドレスリストから一括登録可能 )

40 リモートコントロールデスクトップ共有 用途 : 遠隔操作サポート ( ヘルプデスク業務 ) Windows 標準のRDP( リモートデスクトップ ) とは異なり ログオンユーザーが操作している画面を共有し 操作が可能 ウイルス感染時など ユーザーが行った操作をヒアリングしながら インシデント対応が必要な際などに役立つ機能操作される側の同意が必要