安全な証拠保全を実現 抑止効果と迅速な証拠発見 PacketBlackHole Counter SSL Proxy のご紹介 ネットエージェント株式会社 営業部 2018 年 4 月
PacketBlackHole ( 以下 PBH) について リピーター HUB や ミラーポート付きのスイッチから 通信をコピーし 取得します 取得した通信を分析処理し PBH の管理画面にて検索 再現可能な状態にします インターネット 1. 通信をコピーして取得 2. 通信を取得 解析し 再現 PacketBlackHole 管理端末 3. ウェブブラウザを利用して通信内容を確認 クライアント端末 横からコピーして取得するので 既存のネットワークに影響なく導入が可能です 1
Counter SSL Proxy( 以下 CSP) について Counter SSL Proxy(CSP) は 本来は暗号化されている HTTPS 通信を復号化し あたかも HTTP 通信であるかのように通信内容の記録を行う WebProxy 製品です CSP と PBH を組み合わせて使用する事で ネットワークに流れる全ての通信を記録すると同時に HTTPS 通信の検索と再現 ( ) が可能になります インターネット 1. 取得した通信を転送 メール HTTP HTTPS 2. 通信を取得 解析し 再現 PacketBlackHole 管理端末 3. 通信内容を確認 クライアント端末 CSP ご利用の際には 端末に対する下記の設定が必要となります 1Proxy 設定 2CSP の証明書をインポート 2
PBH CSP のポジショニング 事前対策 事後対策 入口対策 (FW/IPS) 教育 啓蒙 潜伏検疫 ( ウィルス ) 原因調査 ( パケット分析 ) 出口対策 ( フィルタリング ) PBH CSP では社内 外への通信の記録 保存 解析を行います ネットワークセキュリティ製品におけるポジショニングでは 事後対策 と位置づけられ 昨今のインシデント対応の中では 事後対策 から 事前対策 につなげるサイクルとして重要な位置づけに属しています 3
ログだけでは 漏えいデータ は分からない [ 各サーバ 端末でわかる情報 ] 誰が どの IP なのか 誰が いつログインしたのか ファイルの操作履歴 AD サーバ メールサーバ ファイルサーバ どこから 何に対してコピー / 削除されたのか クライアント端末 スイッチングハブ ファイアウォール インターネット どこから どこに どれ位のサイズのファイルが転送されのか Proxy サーバ このようなファイルが漏れただろうと仮定して調査する ファイルサーバへのアクセス履歴 プロキシ経由の通信履歴などを複合的に見て 類推しながら調査していくしかない ログからは 何かあった ことはわかるが 実際にどのような情報が漏れたかは解らない 実際にどのファイルが漏れたかの特定は難しい! 4
通信データを取得しておく必要性 つまり 経路上の通信データを取っておく必要があります 実行ファイルのダウンロード 実行後消去 C&C サーバとのやり取り 01100011 11010001 10101010 11010001 漏洩情報 記録されない 送信後消去 ダウンロードされた攻撃用実行ファイル C&C サーバとのやり取りの詳細 漏洩したデータの実体 端末に残りにくいデータも 通信データを取得することで保存できます 5
PBH&CSP の効果 ネットワークを利用した通信の内容が見えるので 1 監視による抑止効果 2 3 何かが起きてしまった後 迅速な調査が可能になる 情報漏えいリスクを発見できる つまり 情報漏えい対策製品 6
PBH の処理と性能指標 有事に際に備えて通信内容の記録をしたい 定期的に通信の検査を行いたい パケットの記録 処理名称 : 取得処理 PBH でパケットの取得を行い ハードディスクに記録する処理 性能値 ( パケットの解析 処理名称 : 解析処理ファイル内容や通信内容の検索と再現を行う為の処理 手動解析 普段はパケットの記録だけを行い 検索が必要なタイミングで解析処理を実行します 安定したパケット取得が可能です 常時解析 ( 値はネットエージェント検証値でお客様環境での性能を保証する値ではありません ) パケットを取得しながら常にパケット解析を行います 通信料量により処理遅延やパケット取得漏れが発生します 7
搭載機能 パケット通信の解析 再現 端末内のログが削除や改ざんがされてしまった際に ネットワークに流れるパケットは証拠として活用できます また PBHは 取得した通信を 元の状態に再現することができます そのため どなたでも簡単に通信の利用状況を確認することができます Web HTTP/1.1, HTTP/1.0, HTTP PROXY HTTPS ( ) メール POP3, SMTP, IMAP4( 添付ファイルを含む ) IP 電話 SIP,RTP( 音声 ) データ再現が可能な対応プロトコル メッセンジャー動画 Webメール掲示板書込ファイルアップロード MSN メッセンジャー,Yahoo メッセンジャー,MSN Live メッセンジャー Web アクセスされた FLV, H264 Gmail( ), Yahoo Mail, Hotmail Twitter( ), facebook( ), mixi( ), 他 SNS( ), ブログ系サイト, 掲示板系サイト HTTP でアップロードされたデータ ftp ftp, ftp データ (PASV を含む ) Windows ファイル共有 SMB1.0, SMB2.0, SMB2.1, CIFS ポート単位で識別し 上記プロトコルの通信の再現が可能となります HTTPS 暗号化通信を利用している通信の再現にはオプション製品 Counter SSL Proxy が必要となります 8
再現画面例 : メール 検索タブ メールタブを開くと PacketBlackHole で取得したメール通信の内容を確認できます メールの内容は 本文 件名 差出人 受取人 添付ファイルをそのままの状態に再現します 添付ファイルも Word Excel Powerpoint Pdf 等そのままの形で再現が可能 誰でも簡単に どのようなメールが送受信されたのか確認することが出来ます 9
再現画面例 : ファイルアップロード インターネットを利用して 外部の WEB ストレージ等にファイルをアップロードした通信の再現画面となります アップロード先の URL やファイル名 ファイルの再現データ等が確認できます ファイルそのものの内容を確認できるので ファイル名が改ざんされていても どこに いつ 出ていってしまったのか証拠保全と追跡が可能になります 何が確認できる? インターネットを使って外に出て行ったファイルの実態が確認できます HTTPS 暗号化通信を利用した WEB サービスにアップロードしている通信の再現には オプション製品 Counter SSL Proxy が必要となります 10
再現画面例 :WEB メール CSP を使えば Gmail などの HTTPS 暗号化通信 を利用した WEB サービスも再現が可能になります WEB メール画面では Gmail と Yahoo mai の内容を確認できます WEB メールの添付ファイルもそのまま再現できます 11
持ち出しされたファイルを発見してみよう 検索機能を使って 社内からファイルが持ち出されていないか調査してみましょう 社内での Gmail 利用が認められていない場合を想定し 実際に社内での Gmail 利用有無を確認するために Gmail を検索 Gmail を介した持ち出し発生を確認するために送信メールを検索 上記以外の検索条件 1 件怪しいメールが見つかりました 添付ファイルを確認してみましょう! 12
持ち出されたファイルを確認 社外秘のファイルが持ち出されていることを発見しました! このように PacketBlackHole は 情報漏えいの発見 原因の調査が簡単に実現できます 13
その他通信再現画面 社内で閲覧された画像一覧 掲示板への書き込み文字列 閲覧された動画一覧 社内ネットワークを利用した 私的利用通信 の発見等が可能になります 14
オプション紹介バックアップ機能 PBH に搭載されているハードディスク内に取得 解析したデータを保存します ハードディスクの容量が一杯になった際には 古いデータから上書きされます そのため データを長期保存したいお客様向けに バックアップオプションをご提供しております バックアップ方法 1 テープバックアップ パケットデータ 解析データ ( 再現データ ) 共にバックアップが可能です PBH にデータを戻すことにより 通信の再現データを確認することが可能になります バックアップデータを PBH 本体に戻すと再現データを確認することが出来ます FTP 転送バックアップの場合は 再解析が必要です バックアップ方法 2FTP 転送バックアップ FTP 通信 NAS ストレージ 取得したパケットデータを FTP 通信にて任意のサーバ (FTP 機能を有した NAS ストレージ ) へ 転送することが可能となります ( 解析データは転送できません ) バックアップデータを PBH で再現データを見るためには リストア時に再解析が必要となります バックアップ先の FTP 機能を有した NAS ストレージを別途ご用意していただく必要がございます 15
製品ラインナップ 取得 解析機 通信取得 解析どちらも対応可能なモデルです エントリーモデル 小規模向け スタンダードモデル 中 大規模向け 製品イメージ 製品タイプデスクトップ型 2U ラックマウントタイプ 最大 HDD 容量 2TB( シングルディスク ) 8TB ~ 最大 48TB まで搭載可能 (HDD SATA3) HDD の実効容量につきましては RAID の構成により異なります バックアップオプション 1FTP 転送バックアップオプション 1FTP 転送バックアップオプション 2LTO テープバックアップション 取得専用機 通信取得機能に特化したモデルです オプション ソフトウェア 製品イメージ Counter SSL Proxy 製品タイプ 2U ラックマウントタイプデスクトップ型 最大 HDD 容量 製品タイプ 最大 HDD 容量 解析専用機 600GB SAS 4 RAID1+0 実行容量 1.2TB 240GB (SSD SATA) 1 解析機能に特化したモデルです 取得専用機と合わせてご利用ください vpacketblackhole VMware vsphere に対応した仮想化専用アプライアンス ご利用のハードウェアに依存します 最大 49TB 保存まで拡張可能 製品タイプ 備考 ソフトウェア 別途インストール用ハードウェアをご用意お願いします Proxyサーバとしてご利用いただきます ご利用には下記の設定が必要です クライアントPCのProxy 設定 Counter SSL Proxyの証明書をクライアント PCへインポート インストール筐体スペック参考値 ------------------------------------- 推奨スペック CounterSSLProxy 用サーバ推奨スペック -CPU:3.5GHz 以上 1P/4C(8thread 以上 ) -メモリ:16GB -ハードディスク:600GB(SAS) x 6 上記 1 台で 80Mbps 想定の処理性能となります ------------------------------------- 16
構成例 1 2000 名 ( 通信量平均約 40Mbps) 通信量が多い場合 単体構成では取得のロスや解析の遅延が発生する恐れがありますため 取得専用機 と 複数台の解析機 の構成にてご利用いただいております ミラーポート 取得専用機 解析機 FTP 転送オプション PKT データをバックアップ 解析機 NAS ストレージ FTP 転送オプション 複数の PBH のデータを 1 つの管理画面で確認できます 管理端末 17
構成例 2 WEB 通信取得 フィルタリング製品との組み合わせ インターネット CSP を経由して行われた通信 HTTP/HTTPS 暗合化通信の内容を可視化することができます 復号化された通信を転送 CSP PBH フィルタリング製品の設定で X-Forwarded-For をヘッダーに付与していただくことにより PBH にて IP アドレスの確認が可能になります ブラウザを使用して 取得して解析した内容を確認できます HTTP/ HTTPS 暗号化通信 フィルタリング製品 こちらの構成では フィルタリング通過通信の監視や フィルタリング未対象の通信を取得することが可能になります 社内 CSP ご利用の際には 端末に対する下記の設定が必要となります 1Proxy 設定 2CSP の証明書をインポート 18
他社製品との構成例 FW 資産管理ソフトと組み合わせ 資産管理ソフトとの組み合わせ クライアントの動作内容のログ管理 制御 (USB の使用 ファイル管理についてなど ) ネットワークを使用して行われた行為の証拠保全 追跡用データ保存 ( 誰が どこに どんなファイルを出したのかなど ) 資産管理ソフトで クライアント端末内の行為を監視 制御 PBH は 実際に送られたファイルの実態など ネットワーク利用実態を監視 証拠保全ができます UTM との組み合わせ 社内と外部の間で 誰が どこに どんなことをしたのか といった通信 人単位の監視が可能です ゲートウェイでのアプリケーションレベルでの監視 制御が可能 外部からの脅威等は UTM で制御し PBH にて社内と社外のネットワークを通じた通信のやりとり ( 誰が どこに どんなことをしたのか ) の証拠保全と追跡用のデータ閲覧が可能になります 19
案件キーワード PBH CSP は下記のキーワードに対応できる製品です 情報漏えい対策 社内の監視 ログ監視 メールアーカイブ フィルタリングはできないけど 対策したい フォレンジック 内部不正への対策をしたい 転職 退職者による機密情報持ち出し ログの長期保管 既存ネットワークに影響を与えないセキュリティ対策 私的利用に対する対策をしたい マイナンバー対策 個人情報保護法 FISC など 20
事例紹介 業種規模導入 検討理由導入タイプ一緒にご利用 ( 検討 ) セキュリティ製品 SIer 800 名 Proxyサーバーから得られるログでは情報が不足しているため 有事 の際の証拠保全のために PBH CSP 導入 2U タイプ CSP 製造業 3,000 名 評価機利用の際に 私的利用通信が多いことを認識 その後 私的 利用通信の制御のため フィルタリング製品を購入 その他通信 フィルタリング通過後を引き続き監視するためPBH 導入 製造業 500 名 WEBメールを利用した情報持ち出しが発生したことを受けて WEB 通 信利用状況の証拠保全のためにPBHを導入 合わせて禁止通信制 御のためにフィルタリング製品を検討開始 2U 取得 解析分離構成 2U タイプ フィルタリング製品 フィルタリング製品 官公庁 10,000 名以上 マイナンバー制度施工に伴うセキュリティ強化の一環として フィルタリング製品と フィルタリング通過後の WEB 通信監視のため PBH CSP を導入 2U タイプ CSP フィルタリング製品 金融 10,000 名以上 UTM フィルタリングにてセキュリティ対策を実施後 法 ( 個人情報保護法 FISC) 対応のため WEB 利用通信の証拠保全 閲覧も必要になったため WEB 通信の取得 解析が可能な CSP PBH を導入 2U タイプ CSP UTM (+ フィルタリング機能利用 ) サービス業 ( 法務 ) 100 名士業の業務内容上 通信の制限が難しい だが WEB 通信利用を野放しにしておくことも出来ないので 監視のために PBH CSP を導入 2U タイプ CSP サービス業 40 台社内にて情報の不正利用が起きると事業に大きな影響が出てしまうことと 上場を意識してセキュリティ対策を強化したかった 評価機を使用して社内状況を確認した際に確認できた再現性の高さと 既存のネットワークに影響なく導入できる点を評価いただき 導入決定 キューブタイプ 製造業 1000 名 ログ監視のため資産管理ソフトを導入しているが ファイルの再現はできないため ファイルの再現が可能なPBHを検討 ( ファイル名を改ざんされてしまっていた場合 実際のファイルを開いて確認する必要があるため ) 2U 取得 解析分離構成 資産管理ソフト 21
まとめ PBH CSP が解決できる課題 再現機能 1 企業を脅かす危険を早期発見 対策できる PBH 導入を周知 2 私的利用抑止により 生産性向上 3 有事の際の証拠保全 PBH CSP で証拠保全 22
お問い合わせ先 ネットエージェント株式会社 Mail: pbh-sales@netagent.co.jp URL: http://www.netagent.co.jp/ TEL:03-5619-1341 23