Prowise Business Forum 標 的 型 攻 撃 に 対 抗 する いまどきのネットワークの 出 口 対 策 最 新 トピックス
Contents 1. 標 的 型 攻 撃 と 出 口 対 策 2.ファイアウォール 再 考 3. 無 線 LANのセキュリティは? 4.ボットは 検 知 できるか 8.まとめ
1 標 的 型 攻 撃 と 出 口 対 策 ~ 防 ぎきれない 侵 入 への 対 応 ~
標 的 型 攻 撃 と 出 口 対 策 標 的 型 攻 撃 明 確 な 目 的 を 持 ち 執 拗 に 狙 いを 定 める 情 報 の 奪 取 システムダウン 完 全 に 防 御 するのは 不 可 能 最 も 困 るのは 情 報 漏 洩 最 悪 でも 情 報 漏 洩 だけは 防 ぎたい 出 口 対 策 侵 入 されたとしても 情 報 奪 取 だけは 防 ぐこと 入 口 対 策 攻 撃 侵 入 されることの 防 御 3
標 的 型 攻 撃 の 情 報 奪 取 方 法 FWでは 検 知 できない ハッカー ボット 型 マルウェア 密 かに 潜 伏 ポート80などを 利 用 コントロール 情 報 奪 取 4
一 般 的 な 情 報 漏 洩 の 経 路 1 正 規 経 路 2 ポータブルWiFi 3 媒 体 持 出 5
標 的 型 攻 撃 は 正 規 経 路 から 入 口 も 出 口 も 正 規 ルートの 不 完 全 性 を 突 く ファイアウォールが 正 規 ルートの 基 本 セキュリティ プラスアルファのセキュリティをどう 整 備 するか AV URL IPS WAF etc 専 用 機? UTM? 新 しいソリューションは? 6
2 ファイアウォール 再 考 ~FWはこのままでいいのか~
ファイアウォール(FW)とは 外 部 からの 攻 撃 に 対 する 防 火 壁 トラフィックをフィルタリング IPアドレス/ポートNo 定 番 のオープンポート ポート80(HTTP) ポート443(HTTPs/SSL) 情 報 漏 洩 対 策 としてほとんど 無 力 8
だからこんな 製 品 が 必 要 になった URLフィルタリング 危 険 なポート80 通 信 をブロック AV(アンチウィルス) ポート80 通 信 中 のマルウェアをブロック WAF(Web Application Firewall) ポート80 通 信 によるL7 脆 弱 性 を 突 いたサーバ 攻 撃 を ブロック IPS(IDP) DoSやワームなどシグネチャや 振 る 舞 いで 攻 撃 を ブロック 9
ネットワークレイヤについておさらい UTMや 独 立 製 品 で 対 応 してきた L7 L6 L5 L4 L3 L2 Application Presentation Session Transport Network Datalink Web メール アプリケーションの 種 類 URL HTTPメソッド(Get, Put) ユーザID メールの 添 付 ファイル 等 実 際 のコンテンツ 部 分 TCPとUDPのポート 番 号 IPアドレス (L3スイッチ/ルータの 世 界 ) MACアドレス(L2スイッチの 世 界 ) L1 Physical ケーブル 等 従 来 のファイアウォール 10
ネットワークレイヤについておさらい L7ファイアウォール L7 L6 L5 L4 L3 L2 Application Presentation Session Transport Network Datalink Web メール アプリケーションの 種 類 URL HTTPメソッド(Get, Put) ユーザID メールの 添 付 ファイル 等 実 際 のコンテンツ 部 分 TCPとUDPのポート 番 号 IPアドレス (L3スイッチ/ルータの 世 界 ) MACアドレス(L2スイッチの 世 界 ) L1 Physical ケーブル 等 従 来 のファイアウォール 11
従 来 のファイアウォールの 限 界 ポート80(HTTP)の 危 険 性 ポート443(SSL)はそれ 以 上 12
L7 ファイアウォール( 次 世 代 FW) L7ペイロードを 検 査 アプリケーションを 識 別 HTTPメソッドを 理 解 (Get/Put) Identityを 理 解 (LDAT 等 と 連 携 し 誰 の 通 信 かを 識 別 ) ポート443(SSL 暗 号 )を 解 読 80と 同 様 に 制 御 13
FW から UTM への 進 化 Unified Thread Management URLフィルタ アンチウィルス IPS 等 を 統 合 問 題 は 性 能 が 出 にくい 機 能 が 中 途 半 端 になりがち 中 小 規 模 では 普 及 してきたが 14
FW から UTM へ 付 け 加 えアーキテクチャゆえ 機 能 と 性 能 に 限 界 Application Application Application Application Presentation Presentation Presentation Presentation Session Session Session Session Transport Transport Transport Transport Network Network Network Network Datalink Datalink Datalink Datalink Physical Physical Physical Physical FW AV URL IPS 15
UTM から L7-FW へ 寄 せ 集 めから 統 合 へ 性 能 面 で 大 きな 改 善 IPSとFWの 融 合 で 効 果 的 な 防 御 ゼロから 製 品 作 り 上 げが 必 要 ( 基 本 アーキテク チャの 変 更 ) 16
アイデンティティ が 分 かるということは? 従 来 のFW L7 FW アイデンティティ 10.212.197.7 の PCが インターネットに 対 して Port80で 通 信 している 総 務 部 の 秋 山 が インターネットに 対 して Skypeでチャット している アプリケーション システム 管 理 者 システム 管 理 者 17
具 体 的 製 品 の 状 況 --- SRXシリーズ App Security ID 認 識 等 L7-FWとしての 実 装 を 進 行 中 SSGシリーズ 安 定 したレガシーファイアウォールモデル 18
具 体 的 製 品 の 状 況 --- 次 世 代 ファイアウォール の 代 名 詞 成 熟 度 の 高 さ 実 効 性 の 高 さから 成 長 M PaloAlto 出 荷 金 額 2500 2000 1500 1000 500 0 2009 2010 2011 Source:ミック 経 済 研 究 所 情 報 セキュリティソリューション 市 場 の 現 状 と 将 来 展 望 2011 19
国 別 に 脅 威 を 把 握 通 信 の 遮 断 攻 撃 の 早 期 検 知 攻 撃 拠 点 国 からの 通 信 を 遮 断 日 本 向 けサイトなら 海 外 通 信 を 一 切 遮 断 も 20
3 無 線 LANのセキュリティは? ~スマホとWiFiの 普 及 スパイラル~
無 線 LANはセキュアか 問 題 暗 号 化 しない 設 定 で 無 線 利 用 企 業 向 け 無 線 LAN 高 い 強 度 の 暗 号 認 証 有 線 部 分 も 暗 号 化 無 線 LAN コントローラ 認 証 と 暗 号 化 無 線 端 末 有 線 端 末 22
勝 手 アクセスポイント の 問 題 個 人 や 部 門 が 統 制 外 のアクセスポイントを 設 置 社 内 LANに 接 続 認 証 設 定 漏 れにより 部 外 者 がアクセス 可 能 に 暗 号 設 定 漏 れ による 盗 聴 悪 意 ある 情 報 奪 取 不 正 AP 不 正 APの 存 在 に 気 づかない 経 営 情 報 勝 手 に 設 置 されたAP システム 管 理 者 23
ポータブル WiFi の 問 題 スマホ/タブレット 用 に 個 人 で 持 ち 込 み 業 務 用 PCで 外 部 と 直 結 するケースも ゆるゆるの 出 口 に 社 内 情 報 を 何 で も 送 信 可 能 会 社 のネット は 遅 いし 制 限 多 すぎ! ポータブル WiFiルータ 認 識 不 能 打 つ 手 なし 経 営 情 報 システム 管 理 者 24
無 線 LANのセキュリティリスクとは 情 報 情 を 報 を 盗 み 見 られること 統 制 外 の 無 線 LANから 情 報 漏 えいすること 25
対 処 はいろいろ エンドポイントセキュリティでデータ 持 ちだしをコント ロールする 正 規 のネットも 勝 手 WiFiも 同 様 に MACアドレス 認 証 を 導 入 する 勝 手 アクセスポイントはシャットアウトできる 番 犬 を 設 置 統 制 外 WiFiを 技 術 的 に 検 知 さらに それを 無 効 化 正 規 の 無 線 LANが 番 犬 に 26
デバイス 認 証 の 強 化 MACアドレス 認 証 &DHCPで 接 続 可 能 デバイスを 統 制 MACアドレス 認 証 DHCP Infoblox MA or オープンネットガード ユーザID 認 証 Aruba 無 線 LAN DHCP スヌーピング Juniper EX スイッチ 正 規 無 線 クライアント 不 正 無 線 クライアント 不 正 アクセス ポイント 不 正 クライアント 経 営 情 報 正 規 アクセス ポイント 正 規 クライアント 27
正 規 無 線 LANを 番 犬 に 1 無 線 の 干 渉 を 逆 手 にとって 他 のアクセスポイントの 存 在 を 検 知 2 遮 断 パケットを 送 出 し 不 正 アクセスポイントの 通 信 を 遮 断 3 不 正 アクセスポイントまでの 距 離 も 検 知 4 三 点 測 量 の 原 理 で 不 正 アクセスポイントの 位 置 を 推 定 管 理 ソフトにて 図 面 上 で 位 置 を 特 定 可 能 管 理 者 は 勝 手 WiFiの 所 在 保 有 者 を 突 き 止 め 除 去 することが 可 能 28
による 不 正 AP 捕 捉 29
4 ボットは 検 知 できるか? ~スパイを 見 つければ 漏 洩 は 防 げるが~
標 的 型 攻 撃 への 新 たな 対 策 標 的 型 攻 撃 は 入 口 対 策 が 難 しい ターゲット 組 織 にバックドアやマルウェア ボット トロイの 木 馬 密 かに 感 染 拡 大 コントロール ターゲット 情 報 にコンタクト 奪 取 ボットは 顕 在 化 しにくく ウィルス 駆 除 ソフトでも 検 知 しにくい 仕 込 まれてしまったマルウェア(ボット)や その 通 信 を 検 知 して 対 処 する 31
通 信 を 分 析 して 感 染 PCを 検 出 L7-FW ハッカーとの 通 信 ゾンビ 化 したPC ゾンビPCの 通 信 の 特 徴 ハッカー 既 知 のマルサイトへのアクセス DDNSへのアクセス unknown アプリケーション IRC 通 信 32
ボット 検 出 レポートの 画 面 例 33
標 的 型 攻 撃 のリアルタイム 検 出 に 挑 む シグネチャの 事 前 入 手 は 困 難 標 的 型 は 感 染 して 初 めてマルウェアと 分 る 感 染 をシミュレーションしてマルウェアを 検 出 ハニーポット ハッカーをおびき 寄 せるワナ サンドボックス PCやサーバを 独 立 した 安 全 な 環 境 で シミュレーションし 怪 しい 通 信 に 晒 して マルウェアの 感 染 や 行 動 を 確 かめる 34
クラウド 上 のサンドボックス 信 頼 できないゾーンか らの 未 知 のファイル L7-FW 被 害 を 最 小 化 新 たな 感 染 ゾンビ 化 抑 止 サンドボックスで マルウェアを 検 出 35
WildFireの 実 証 実 験 から 7%のファイルがマルウェア 既 存 顧 客 に 対 する WildFire の 実 証 試 験 では 35,387 の ファイル 提 供 があり そのうち 7% 以 上 がマルウェア うち57%は 未 知 発 見 されたマルウェアのうち 57% はどのアンチウィルス ベンダでも 検 知 できず またウィルス 報 告 サイトでも 未 発 見 うち15%は 独 自 通 信 新 しく 発 見 されたマルウェアのうち 15% は 独 自 暗 号 した バックドア 通 信 とみられる 未 知 のプロトコル 通 信 を 行 う ポート80Web 経 由 がほとんど 特 に 多 くのマルウェアが 確 認 されたのは Web ベースの ファイル 共 有 や Web メールアプリケーションの 通 信 出 典 :パロアルトネットワークス 社 36
8 まとめ ~ 明 らかな 時 代 の 流 れ L7 化 ~
L7-FW へのシフトは 妨 げようがない 攻 撃 を 防 ぐFWから 情 報 漏 洩 も 防 ぐFWへ L7でトラフック 制 御 し ユーザを 識 別 だから 脅 威 や 漏 洩 を 最 大 限 に 防 御 性 能 の 出 ないUTMは 卒 業 足 し 算 でなく L7-FWとしてのアーキテクチャ 38
統 制 外 へのアクセスを 防 げる 無 線 LAN 勝 手 アクセスポイントの 排 除 認 証 されたデバイスのみ 接 続 許 可 ポータブルWiFiなど 外 への 情 報 漏 洩 ルートをシャット 39
ありがとうございました!