PowerPoint プレゼンテーション

Size: px

Start display at page:

Download "PowerPoint プレゼンテーション"

ゆたかすえたけ
7 years ago
Views:

1 国内導入実績No.1のWAFでPCIDSS対策パスワードリスト攻撃やL7 DDoSの対策方法 2015年7月28日バラクーダネットワークスジャパン株式会社セールスエンジニア澤入俊和

2 会社紹介

4 バラクーダネットワークス会社概要 2002年 Barracuda Networks, Inc. 設立バラクーダネットワークス米国本社本社カリフォルニア州キャンベル海外拠点10カ国 80カ国以上で正規代理店と提携全世界15万社のお客様にセキュリティバックアップソリューションを提供バラクーダバックアップはバックアップ専用アプライアンスとしてシェアNo.1 (IDC Worldwide Quarterly Purpose Built Backup Appliance PBBA Tracker Q2/Q4) 2005年バラクーダネットワークスジャパン株式会社設立スパムメール対策アプライアンスは2005年から2011年 7年間連続で国内出荷台数 No.1 5,000台以上の出荷実績富士キメラ総研 WAFも2007年から2013年まで7年連続国内No1の導入実績バラクーダネットワークスジャパンオフィス富士キメラ総研 4

2013年11月6日 Barracuda Networksはニューヨーク証券取引所に上場しました NYSE:

6 グローバル規模での Barracuda Networksの取り組み

NextG Firewall アンチスパム/ウイルス Web脆弱性対策 Spam Firewall Plus Web Application Firewall Barracuda

8 ９仮想アプライアンス対応種類の幅広い製品展開マイナンバー対応製品 Microsoft Azure対応 Amazon AWS対応 vcloud Air対応 Cloud Control 集中管理クラウドストレージクラウドリレーリモートアクセスサーバ負荷分散/ADC SSL VPN Load Balancer ADC 次世代ファイアウォール次世代ファイアウォール NextG Firewall アンチスパム/ウイルス Web脆弱性対策 Spam Firewall Plus Web Application Firewall Barracuda Firewall Webサーバ URLフィルタマルウェア対策 Web Filter バックアップメールアーカイブ Message Archiver メールサーバ Backup ファイルサーバ DBサーバ 8

9 なぜIPSや統合型製品では不十分なのか?

10 2015年版情報セキュリティの10大脅威 IPA 順位タイトル 1 オンラインバンキングやクレジットカード情報の不正利用 2 内部不正による情報漏えい 3 標的型攻撃による諜報活動 4 ウェブサービスへの不正ログイン 5 ウェブサービスからの顧客情報の窃取 6 ハッカー集団によるサイバーテロ 7 ウェブサイトの改ざん 8 インターネット基盤技術の悪用 9 脆弱性公表に伴う攻撃の発生 10 悪意のあるスマートフォンアプリウェブサイトへの脅威がいずれも上位

4 ウェブサービスへの不正ログイン 5 ウェブサービスからの顧客情報の窃取 6 ハッカー集団によるサイバーテロ 7

11 F/W IPSとWAFは補完的関係 F/W IPS WAFはそれぞれ分野の異なるレイヤーの攻撃を防御する補完的関係それぞれ単体ではシステムを完璧に実現することは出来ない SQL OSコマンドインジェクションクロスサイトスクリプティング Cookie パラメータ改ざん L7 DoS/DDoS OS 脆弱性対策 DoS/DDoS WAF IPS Webアプリケーション Web サーバオペレーティングシステムポートスキャン IP/ポート制御 F/W ネットワーク

OSコマンドインジェクションクロスサイトスクリプティング Cookie パラメータ改ざん L7 DoS/DDoS OS 脆弱性

12 IPS/統合型製品で出来ること出来ないことウェブアプリへの主な攻撃 Barracuda WAF IPS/統合型製品 SQLインジェクション * OSコマンドインジェクション * クロスサイトスクリプティング * ディレクトリトラバーサル * クロスサイトリクエストフォージェリー強制ブラウズバッファオーバーフローパスワードリスト攻撃パラメータ改ざんクッキー改ざんセッションハイジャックスロークライアントアタック IPSでは攻撃が暗号化された場合検知不可またはスループットが激減パスワードリスト攻撃など最新の攻撃へ対応不可統合型製品もIPSと同様の機能しか搭載されていない

バッファオーバーフローパスワードリスト攻撃パラメータ改ざんクッキー改ざんセッションハイジャックスロークライアントアタック

13 Webサイトへの攻撃の多くは上位レイヤーが対象弊社検証サイトに対する攻撃数の内訳 (2015年2月18日-24日 IPS 3.7% 主な検知攻撃 WAF SQLインジェクションエラーレスポンスの抑制ホストヘッダなし IPS バッファーオーバーフロー (CVE ) Open SSL脆弱性 WAF 96.3% IPS防ぐことが出来る攻撃はごくわずか 3.7 )

14 最近のハッキング事件からみるウェブシステムへの攻撃手法

15 最近のハッキング事件からみるウェブシステムへの攻撃手法第 5 位ウェブサービスからの顧客情報の窃取

16 大型個人情報漏えい事件海外用データ通信機器レンタル会社攻撃手法 :SQLインジェクション被害 :10 万 9000 件のカード情報セキュリティコード住所

17 SQLインジェクション攻撃 SELECT * FROM users WHERE uid= sato@sato.com' AND pwd= Sato123 正しいユーザIDとパスワードであればログインが可能通常通信 OK! 会員ページ表示 Webアプリデータベース ORの後は常に真の為前の条件が全て打ち消される攻撃 SELECT * FROM users WHERE uid= example@example.com' AND pwd= OR 'A'='A

会員ページ表示 Webアプリデータベース ORの後は常に真の為前の条件が全て打ち消される攻撃 SELECT

18 最近のハッキング事件からみるウェブシステムへの攻撃手法第 4 位 Webサービスへの不正ログイン

19 2014年主な不正ログイン事件パスワードリスト攻撃不正ログイン試行成功成功率 6月大手ブログサービス 2,293,543 38, % 8月大手小売業者ＥＣサイト 4,220,382 20, % 8月大手電子マネーサービス 9月大手鉄道会社 11,520,000 21, % 12月リサーチ会社 3,161,872 1, % 296, % ブルートフォース攻撃に比べて非常に効率的に不正ログインに成功一般的なブルートフォース攻撃の成功率約0.001%

50% 8月大手電子マネーサービス 9月大手鉄道会社 11,520,000 21,000 0.

20 パスワードリスト攻撃の手口 ECサイト A ID:cuda@example.com Pass:Cuda123 攻撃によりパスワードリストを搾取攻撃者利用者パスワードリスト IDの使い回し ECサイト B ID:cuda@example.com Pass:Cuda123 ECサイトAの情報を元にパスワードリスト攻撃

21 最近のハッキング事件からみるウェブシステムへの攻撃手法第 6 位ハッカー集団によるサイバーテロ

22 ボットネットを利用するのはメールもウェブも同じボットネットコントローラボットネット( 数千台 ~) スパムメールメールサーバウェブサイト SQLインジェクション攻撃など

L7 DDoS Slow Client Attack 従来のSYN floodやsmurfなどレイヤーの低い攻撃だけではなく最近のDDoS攻撃は L7へ仕掛けてくるものが多数存在 Slow HTTP Headers ゆっくりリクエストヘッダを送り続ける Slow HTTP POST ゆっくりPostデータを送信し続ける Slow Read DoS レスポンスデータをゆっくりダウンロードする

23 L7 DDoS Slow Client Attack 従来のSYN floodやsmurfなどレイヤーの低い攻撃だけではなく最近のDDoS攻撃は L7へ仕掛けてくるものが多数存在 Slow HTTP Headers ゆっくりリクエストヘッダを送り続ける Slow HTTP POST ゆっくりPostデータを送信し続ける Slow Read DoS レスポンスデータをゆっくりダウンロードする結果サーバは大量のコネクションを保持しダウンするハッカーのメリットツールが存在しているため非常に簡単サーバのコネクションタイムアウトを回避攻撃を検知されにくい GET / HTTP/1.1 Host: xx.xx User-Agent: Mozilla/4. (compatible; ) Content-Length: 42 X-a: b X-a: b 30秒から2分毎に 1ヘッダ送る X-a: b X-a: b Slow HTTP Headersの例ネットワーク使用量の急増もなくプロトコルとしては正しい通信のためFWやIPSでも検知できず ISPでトラフィック量を監視していても検知できない

24 攻撃への対策

25 ハッキングの手口ウェブ攻撃はほかの犯罪の手口と一緒ターゲットを特定防犯設備分析調査弱点をつく

26 Webサイトクローキングクローク(cloak)=覆い隠す攻撃者脆弱性を見つけるためにサイトを調査 X-Powered-By:PHP/5.4.0 Webアプリケーション自動スキャンで脆弱性のあるサーバを探すワーム隠ぺい Webサーバ Appサーバ OS バージョン番号パッチレベルディレクトリ構造既知の脆弱性通信遮断/カスタムレスポンス/リダイレクト攻撃者がまず行うこと: 弱点を探すために事前調査 Webサーバデータベースサーバアプリケーションサーバは何を使用しているかどんなバージョンパッチを使用しているかそれらに既知の脆弱性はあるかクローキングはハッカーやワームにWebリソースを隠すエラーページエラーコード HTTPヘッダー IPアドレスを隠す攻撃者に攻撃される隙を与えない頑強なWebサイトに

27 情報収集対策一般的なWAFは改ざん防止のトラッキングのため独自の Cookieや Hidden パラメータを挿入 WAFを使っているか使っているならどんなWAFを使用しているかチェックするツールが存在バラクーダのWAFは Cookieやパラメータ名を変更可能判別される心配はありません

28 攻撃への対策 SQLインジェクション

攻撃定義ファイルによる防御難読化された攻撃も正規化を行ってシグネチャマッチングを実施バラクーダセントラルシグネチャセキュリティのエキスパート作成攻撃者ダウンロード脆弱性の研究第三者機関の情報収集解析ハニースポットハッキング大会の開催 Parameter=' OR 'A'='A バラクーダセントラルでは常に最新の攻撃の監視/解析を実施以下の攻撃をブロックすることが可能

29 攻撃定義ファイルによる防御難読化された攻撃も正規化を行ってシグネチャマッチングを実施バラクーダセントラルシグネチャセキュリティのエキスパート作成攻撃者ダウンロード脆弱性の研究第三者機関の情報収集解析ハニースポットハッキング大会の開催 Parameter=' OR 'A'='A バラクーダセントラルでは常に最新の攻撃の監視/解析を実施以下の攻撃をブロックすることが可能クロスサイトスクリプティング SQLインジェクションリモートファイルインクルージョンディレクトリートラバーサル OSコマンドインジェクション攻撃定義ファイルは常にバラクーダセントラルから最新のものをダウンロード更新間隔:10分から30分おきに更新ブラックリスト型で簡単最新の攻撃にもすぐに対応可能 bash脆弱性 Shellshockへ対応済 WAFならサーバーを停止させることなく対応可能

30 攻撃への対策パスワードリスト攻撃

31 ブルートフォース攻撃パスワードリスト攻撃の防止パスワード辞書総当たりによるログイン突破の攻撃同一IPがら同じようなりリクエストを大量に送りつける攻撃に有効攻撃者例 60秒以内に同一IPから不正アクセスが10回あった場合攻撃者とみなし防御 GET/POST数を監視あらかじめ設定した期間内に同じIPからのリクエスト数をカウント決められた閾値以上のアクセスの際にはブロックする除外IPや特定URLのみ認証エラーのみなど柔軟に対応可能簡単な脆弱性を利用するスキャンツールを使ったハッカーの大部分をアクセス拒否悪意のあるリクエストを防止することで正規のクライアントに適切なサービスを提供

32 ブロックしたくない場合キャプチャ画像で緩和攻撃キャプチャ画像をWAFが挿入利用者一般のユーザはキャプチャ画像OKで通過以後該当クライアントのトラフィックを監視しアイドル状態が継続すると再開時キャプチャ画像を表示キャプチャが失敗すると通信拒否パスワードリスト攻撃の緩和策としても有効

33 攻撃への対策 L7のDDoS 攻撃

34 IPレピュテーション: 国ごとに許可拒否国地域 IP 辞書を搭載 ( 自動更新 ) 特定の国だけアクセス許可 or アクセス拒否衛星携帯 IPも制御可能例 ) 日本以外はアクセスさせない国情報地域 IP 情報以外にも衛星携帯電話を経由した通信の遮断も可能 IP 情報は定義ファイルによる自動更新のため管理者が常にチェックする必要もありません当然例外設定も可能ですサービス提供範囲が限定されている場合危険にさらす頻度が少なくなり有効な手段

35 IPレピュテーション疑わしいネットワークから通信拒否 NEW Tor IP発信元隠蔽匿名プロキシ IP発信元偽装ボットネット Spam&Virus FirewallのDBを利用 Torネットワーク IP発信元隠蔽技術 NEW!! 匿名プロキシ Anonymous Proxy ボットネットからのアクセス拒否 Spam Virus Firewall Barracuda IP レピュテーションDBを利用 150,000台のBSVFからのボットネットの情報を活用これらのIP情報も定義ファイルとして自動更新されます疑わしいしネットワークからのアクセスはお断り

36 ボットネットの通信遮断で攻撃は 1/500へ激減

37 Slow Client 攻撃防御機能通信量を常に監視して単位時間当たりのクライアント-WAF間の平均通信量を計算想定した通信量よりも著しく少ない場合リアルタイムで攻撃と判断して WAFが通信を切断監視を除外するクライアントIPも設定可能リクエストの送信が明らかに遅い Slow HTTP Headers X-a: b GET / HTTP/1.1 Host: xx.xx User-Agent: Mozilla/4. (compatible; ) Content-Length: 42 X-a: b 30秒から2分毎に X-a: b 1ヘッダ送る X-a: b X-a: b Slow HTTP Headersの例 X-a: b レスポンスボディの送信が明らかに遅い Slow Read DoS

38 DDoS防御人間かロボットかを見分けるブラウザの場合次のページのリクエスト時 JSの結果をクッキーを送信 CudaCookie: WAFが JavaScript挿入クローラーやロボットの場合次のリクエスト時 JSの結果を判断できず答えのクッキーを送信できない失敗すると疑わしいと判断しそのIPにキャプチャ画像を表示

39 PCI DSSとWAF

40 クレジットカードの不正利用被害は年々増加

41 PCI DSS 6.6 実装要件一般公開されているWebアプリケーションで継続的に新たな脅威や脆弱性に対処しこれらのアプリケーションが次のいずれかの方法によって既知の攻撃から保護されていることを確認する一般公開されているWebアプリケーションはアプリケーションのセキュリティ脆弱性を手動/自動で評価するツールまたは手法によって少なくとも年1回および何らかの変更を加えた後にレビューする注この評価は要件11.2で実施する脆弱性スキャンとは異なる Webベースの攻撃を検知および回避するために一般公開されているWebアプリケーションの手前に Webアプリケーションファイアウォールをインストールする

43 PCI DSS 3.0 主な変更点 6.3 セキュアな開発ガイドラインを内部ソフトウェアとカスタムソフトウェアの両方に適用 6.5 よく発生するコーディングの脆弱性に関する開発者向けのトレーニングを更新し機密性の高いデータをメモリで処理する方法を理解する認証の突破とセッション管理 11.3 業界で認知されたアプローチをベースに侵入テストを実行する NIST SP など 11.3 侵入テストには CDE境界とネットワーク内部外部からのテストを含めるアプリケーションレイヤの侵入テストには 6.5 OWASP Top 10などの要件を含める / 年1回以上の内部外部侵入テストに加えインフラまたはアプリケーションの大幅なアップグレード変更のたびに実施セグメンテーション制御および適用範囲の絞り込み制御を検証するテストを含める要件6.6は大きな変更なし

44 データ盗難プロテクション機能レスポンスにクレジットカード番号やマイナンバーが含まれている場合 WAFでブロックが可能

45 なぜ Barracuda WAFなのか? 開梱後30分シグネチャで XSS/SQLインジェクション対策完了 L7 DDoS対策 IPレピュテーションが可能日本語Web GUIで管理なぜ? サイト運営に必要な機能を全て搭載認証 LB SSL 豊富なアプライアンスのモデル仮想版も提供低価格128.5万(初年度保守込) NEW Microsoft Azure Amazon AWS vcloud Airにも対応

Barracuda Web Application Firewall シリーズ希望小売価格初年度エネルギー充填サービス費用込 128万5千円税別ライセンス専用マネジメントサーバ等は必要ありません Model 960 Open Model 860 Open Model 660 Model 460 257万円 Model 360 180万円 128.

46 Barracuda Web Application Firewall シリーズ希望小売価格初年度エネルギー充填サービス費用込 128万5千円税別ライセンス専用マネジメントサーバ等は必要ありません Model 960 Open Model 860 Open Model 660 Model 万円 Model 万円 128.5万円実サーバ数スループット Mbps 50Mbps 200Mbps 1Gbps 4Gbps 秒間トランザクションリクエスト数 HTTP 3,000 6,000 10,000 25,000 55,000 HTTPS 2,000 4,000 6,000 12,000 20,000

47 Barracuda Web Application Firewall 仮想アプライアンスシリーズゲスト O S Apache Apache IIS Linux Linux Windows Barracuda OS VM ESXi / Xen などハイパーバイザ WAF Model 660 サーバ対応するハイパーバイザ VM ware ESX/ESXi CITRIX XenServer Microsoft Hyper-V +追加コアライセンス最大計8コア 600Mbps Model 660Vx Model 460Vx Model 360Vx CPUコア数目安スループット 360Vx 460Vx 660Vx Mbps 50Mbps 100Mbps 秒間トランザクションリクエスト数 Windows Azure Amazon AWSにも対応可能 HTTP 3,000 6,000 9,000 HTTPS 2,000 4,000 6,000

48 パブリッククラウドへの導入ねサーバ 2 インターネット Load Balancer Barracuda WAF クラスタサーバ N ダイナミックスケールサーバ 1

バラクーダネットワークスの最新情報をチェックバラクーダネットワークス日本オフィシャルサイト http://www.barracuda.co.

com/barracudanetworksjapan バラクーダネットワークスTwitter https://twitter.

50 バラクーダ製品を実際に試してみませんか無償貸出機実際の環境でお試しいただけるよう無償貸出機をご用意しておりますご利用頂くには貸出機がインターネットへアクセスできるようにFWの設定変更が必要です一部製品ではプロキシはサポートしておりません詳細はバラクーダネットワークスまでお問い合わせください無償リモート検証環境一部の製品で実施 FWの設定変更ができないお客様には簡易構成となりますが弊社へリモートアクセス頂いてお試しいただけますハンズオンセミナーオンラインセミナーセミナーを随時開催しておりますスケジュール等はバラクーダネットワークスまでお問い合わせください Barracuda Networks, Inc. All rights reserved.

52 ありがとうございましたご質問ございましたら下記までより詳細な機能の説明導入方法に関するご相談 30日間評価機のご依頼無料など電話メールバラクーダネットワークスジャパン株式会社

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション WAFで対策ウェブへの攻撃は IPSや統合型製品では防げないパスワードリスト攻撃やL7 DDoSの対策方法 2015年3月13日バラクーダネットワークスジャパン株式会社セールスエンジニア澤入俊和会社紹介複雑なITをシンプルに - 全てのお客様にシンプルなセキュリティとストレージソリューションを提供します - 2003-2014 Barracuda Networks, Inc. All