Traps のベストプラクティスと導入事例
Traps のベストプラクティスと導入事例 本日の内容 Traps の概要 サイバー攻撃の手口から見た Traps のベストプラクティス 製品導入時における Traps のベストプラクティス 導入事例 2 2015, Palo Alto Networks. Confidential and Proprietary.
Traps の製品概要 3 2015, Palo Alto Networks. Confidential and Proprietary.
増加するゼロデイ脆弱性を狙った攻撃 高度な攻撃は 未公開の脆弱性を積極的に攻撃してきている 2014 年と比較し 約 170% 増加 IPA が 2015 年 1 月より 緊急で発表した脆弱性は 2014 年 1 年間を既に超えている Microsoft 社がリリースする月例パッチ XSS DoS SQL Injection 等を除く 12 10 11 10 日付 概要 2015/01/23 Adobe Flash Playerの脆弱性対策について (CVE- 2015-0310) 2015/01/28 Adobe Flash Playerの脆弱性対策について (CVE- 2015-0311 等 ) 8 6 4 2 0 6 3 2 1 1 1 0 Jan- 15 Feb- 15 Mar- 15 Apr- 15 May- 15 Jun- 15 Jul- 15 Aug- 15 Sep- 15 2015 年に公開されたゼロデイ脆弱性 2015/02/06 Adobe Flash Playerの脆弱性対策について (CVE- 2015-0313 等 ) 2015/04/15 Adobe Flash Playerの脆弱性対策について (CVE- 2015-3043 等 ) 2015/05/13 Adobe Flash Playerの脆弱性対策について (CVE- 2015-3078 等 ) 2015/06/10 Adobe Flash Playerの脆弱性対策について (CVE- 2015-3096 等 ) 2015/06/24 Adobe Flash Playerの脆弱性対策について (CVE- 2015-3113) 2015/07/09 Adobe Flash Playerの脆弱性対策について (CVE- 2015-5119 等 ) 2015/07/15 Oracle Javaの脆弱性対策について (CVE- 2015-2590 等 ) 2015/07/15 Adobe Flash Playerの脆弱性対策について (CVE- 2015-5122 等 ) 2015/08/19 Internet Explorerの脆弱性対策について (CVE- 2015-2502) 2015/10/15 Adobe Flash Playerの脆弱性対策について (CVE- 2015-7645) 出典 : Symantec Intelligence Report Sept. 2015 4 2015, Palo Alto Networks. Confidential and Proprietary.
ウイルス対策では 発見できないマルウェアも当たり前になっている WildFire で マルウェアと判定された実行ファイル 290,562 11,223 47,714 850,260 2015 年 7 月 ~2015 年 9 月までの 3 ヶ月間で WildFire で マルウェアと判定された実行ファイル (PE PE64) の 8,839,258 約 88% は 発見時に他社ウイルス対策ソフトウェアで 未検出 未検出 1~2 社 3~10 社 11~30 社 31 社以上 Palo Alto Networks AutoFocus を使用した調査結果より 5 2015, Palo Alto Networks. Confidential and Proprietary.
エンドポイントを何から守る必要があるのか? 未知の脆弱性を狙うエクスプロイトと 未知のマルウェアから守る必要がある エクスプロイト ( 脆弱性を突く攻撃 ) 細工されたデータファイルであり 正規のアプリケーションによって読み込まれ 処理される 正規のアプリケーションにある 悪意のあるプログラムを実行する脆弱性を悪用する 正規のアプリケーションをだまし 攻撃者のプログラムを実行させる 小さいプログラム マルウェア ( 悪意のある実行ファイル ) 実行形式のファイル (.exe) で送られてくる攻撃用のプログラム アプリケーションにある脆弱性に依存しない すぐに実行される - コンピュータを乗っ取ることが目的 大きいプログラム
高度なサイバー攻撃のライフサイクル 情報収集 エクスプロイトの悪用 マルウェアの実行 制御チャネルの確立 データの奪取 攻撃計画の立案 ユーザに悟られずに感染 悪意のあるファイルを実行 マルウェアは攻撃者と通信 データ盗難 妨害行為 破壊活動 防止的なコントロール 反応的なコントロール 被害を抑えるためには 起動前に攻撃を止めることが重要! しかしながら 今までの対策では 止めることが難しい
必要なのは 攻撃を 止める エンドポイントプロテクション 脆弱性を突く攻撃を阻止! 未知のマルウェア実行を阻止! Advanced Endpoint Protection 攻撃者が行う 攻撃のための手法を阻害することで 攻撃を失敗に終わらせる まったく新しい考え方の アドバンストエンドポイントプロテクションです 8 2014, Palo Alto Networks. Confidential and Proprietary.
攻撃者が行う 攻撃手法の流れと Traps による遮断 攻撃の連鎖を どこかで断ち切れれば 攻撃自体は失敗に終わる! 送付脆弱性の悪用ダウンロードと実行 悪意のある活動 1 2 3 4 5 6 7 攻撃コードの準備 プログラムの問題を攻撃 セキュリティ機構の回避 OS の権限を奪取 マルウェア本体のダウンロード マルウェア本体の起動 他の起動プロセスを悪用した活動 Traps エクスプロイト防御 Traps マルウェア防御 脆弱性を攻撃する際に使用されるテクニック ( 手法 ) を遮断 実行ファイルの場所 コード署名などを使いプログラムの起動を制御 クラウド上の脅威インテリジェンスと連携しマルウェアの起動を阻止 起動したプログラムの動作を監視し 悪意のある活動を阻止
サイバー攻撃の手口から見た Traps のベストプラクティス 10 2015, Palo Alto Networks. Confidential and Proprietary.
実際にあった攻撃の手口 (Cyber Threat Alliance レポートより ) ~Cryptwall ver.3~ ユーザの操作により実行 ZIP 等で圧縮された実行ファイル (.exe /.scr) ExploitKit で脆弱性を悪用 マルウェアの送付と自動実行 11 2015, Palo Alto Networks. Confidential and Proprietary.
日本を主に狙った EMDIVI の感染までの手口 悪用されたゼロデイの脆弱性 - Internet Explorer (CVE-2013-3893) - 一太郎 (CVE-2014-7247) - Adobe Flash Player (CVE-2015-5119) 利用者をだます実行ファイル ( ドロッパーと呼ばれるダウンロードツール ) Emdivi 本体のダウンロードと実行 - 医療費通知 - セミナーの案内 - ニュースの案内 12 2015, Palo Alto Networks. Confidential and Proprietary.
Emdivi: Flash の脆弱性を使った攻撃 Hacking Team から漏えいした Flash の脆弱性を悪用した攻撃 (CVE-2015-5119) Flash ファイル (SWF) の中に入れてあった圧縮ファイルから 実行ファイルを取り出し実行 改ざんされた日本国内のサイト Flash の脆弱性を突く SWF を送付 最終的に EMDIVI の亜種を実行 Dropper といわれるプログラム 最終的に EMDIVI の亜種を実行 13 2015, Palo Alto Networks. Confidential and Proprietary.
Emdivi: 問題のないファイルを装った実行ファイルでの攻撃 実行ファイルは RAR で作成された自己解凍圧縮ファイル Dropper としての実行ファイルと ダミーの文書ファイルを Windows のテンポラリフォルダに展開し 両方のファイルをキック ファイル名.exe TEMP ダミー.doc Dropper.exe 文書ファイルは 通常のアプリケーションで開かれる Dropper は 本体をダウンロードし実行 マルウェアを実行 文書を表示 14 2015, Palo Alto Networks. Confidential and Proprietary.
Word や Excel のマクロを使った攻撃 ユーザがファイルを開くと 自動的にマクロを開始しない限りは マクロの有効化を求める表示がでる マクロを実行すると マクロによってテンポラリフォルダ等に 実行ファイルがダウンロードされ キック TEMP 実行されたプログラムが さらにマルウェアの本体をダウンロードし 実行 Dropper.exe マルウェアの実行 15 2015, Palo Alto Networks. Confidential and Proprietary.
TRAPS を どう設定すると 止まるのか? 16 2015, Palo Alto Networks. Confidential and Proprietary.
エクスプロイト防御のポリシー設定 モジュール名有効動作モード CPL Protection Notify DEP X Terminate DLL Security X Terminate DLL- Hijacking Protection Notify Exception Heap Spray Check X Terminate Font Protection X Terminate Generic X n/a GS Cookie Heap Corruption Mitigation Terminate Terminate Hot Patch Protection X Terminate JIT Mitigation Terminate Library Preallocation X Terminate Master SHE X n/a Master VEH X n/a Memory Limit Heap Spray Check X Terminate Null Dereference Protection X Terminate Packed DLLs Periodic Heap Spray Check Terminate Terminate Random Preallocation X Terminate ROP Mitigation X Terminate SHE Protection X Terminate Shellcode Preallocation X Terminate ShellLink Protection X Terminate SysExit Terminate UASLR X Terminate URI Protection n/a デフォルトの EPM 設定で 十分な保護が提供可能 デフォルトで無効になっているモジュールは 想定以上の過検知が発生する可能性があるため 適用するプロセス等注意が必要 ブラウザや Adobe Flash Player など Drive-by-Download の攻撃の大半は デフォルトの設定で十分に防御可能! 17 2015, Palo Alto Networks. Confidential and Proprietary.
EPM によって保護されるアプリケーションのカバレッジ デフォルトでは 110 プロセスが保護対象 日本だけで使用されるようなソフトウェアのプロセスは 入っていない プロセスの追加は 下記の基準で Process Management から 組織で利用数の多いプロセス 攻撃に利用がされ易そうなプロセス ( 自社開発ではなく パッケージ製品など ) 18 2015, Palo Alto Networks. Confidential and Proprietary.
WildFire との連携について ランサムウェア等 多数の標的に送られるものは 防御できる可能性は高い ハッシュ値の問合せを行い Malware と判断された実行ファイルは 遮断 未知の実行ファイルは 積極的にアップロード 未知の実行ファイルは 遮断せずに実行 実行させてしまった未知の実行ファイルは 後述の実行制御で補完 19 2015, Palo Alto Networks. Confidential and Proprietary.
補完的に利用する実行制御 LocalFolderBehavior TEMP フォルダ ブラウザのキャッシュ等からの起動を禁止 Child Processes Word Excel Power Point Adobe Reader 等の文書作成 閲覧ソフトからの子プロセス起動を禁止 Restriction Setting Local Folder Behavior は 署名されている実行ファイルは 除外するよう設定 Child Processes は 署名されている実行ファイル及び ファイル作成後 30~60 分以上経過している実行ファイルを除外するよう設定 UnsignedExecutable Local Folder Behavior で指定した場所以外で ファイル作成後 1 分以内の実行ファイルは起動を禁止 20 2015, Palo Alto Networks. Confidential and Proprietary.
実行制御も 止めることができなかった場合は? WildFire にアップロードされた未知のファイルが Malware と判定され 且つ端末で実行された履歴があれば Malware Post Detection として イベントが作成される 21 2015, Palo Alto Networks. Confidential and Proprietary.
導入時のベストプラクティス 22 2015, Palo Alto Networks. Confidential and Proprietary.
製品導入 チューニングの流れ グループ A 初期ポリシー チューニング 本番運用開始 第二段階第三段階最終段階 グループ B 初期ポリシー 第二段階 チューニング 第三段階 最終段階 グループ C 前のグループでチューニングされたポリシーを展開 初期ポリシー チューニング 第二段階第三段階最終段階 チューニングが進み ノウハウがたまることで チューニング期間が短縮化 23 2015, Palo Alto Networks. Confidential and Proprietary.
導入時のポリシー設定 最終的には 攻撃を 止める ことを目標に進めていくことが重要 初期段階第二段階第三段階最終段階 デフォルトの EPM 設定 WildFire Learning モード 実行制御なし デフォルトの EPM 設定 WildFire Prevent モード 実行制御なし デフォルトの EPM 設定 WildFire Prevent モード 実行制御 Notify モードユーザ通知無効 デフォルトの EPM 設定 WildFire Prevent モード 実行制御 Prevent モードユーザ通知あり Unknown のアップロード有効 Unknown のアップロード有効 Unknown のアップロード有効 Unknown のアップロード有効 ユーザへの通知なし ユーザへの通知あり ユーザへの通知あり ユーザへの通知あり 24 2015, Palo Alto Networks. Confidential and Proprietary.
過検知 互換性チューニングの判断基準 ( 例 ) 発生契機トリガー 発生頻度 1 回 or 複数回 (1 台の頻度 ) 発生端末単一 or 複数 影響範囲 影響度緊急 > 大 > 中 > 小 対応優先度 1>2>3> 4 対処方針 単一 個別 PC1 台 小 4 静観 ( 遮断維持 ) ログアラート確認 ( 遮断検知 ) 1 回 (1 台当たり ) 複数単一 部門的過去 3 日間少数の端末 全体的過去 3 日間多数の端末 個別 PC1 台 中 3 大 2 中 3 経過観察 再発有無 対処 ( 継続監視対象 ) 即対処全端末該当プロセス除外サポートへ問合せ 経過観察 再発有無 対処 ( 継続監視対象 ) 複数回 (1 台当たり ) 複数 部門的過去 1 日間少数の端末 全体的過去 1 日間多数の端末 大 2 緊急 1 状況判断 / 暫定対処対象端末のプロセスの除外サポートへ問合せ 即対処全端末該当プロセス除外サポートへ問合せ
導入事例 26 2015, Palo Alto Networks. Confidential and Proprietary.
27 2015, Palo Alto Networks. Confidential and Proprietary. ご清聴ありがとうございました!