PowerPoint Presentation

Similar documents
5-5_arai_JPNICSecSemi_XssCsrf_CM_ PDF

Imperva Incapsula Web サイト セキュリティ データシート クラウドを利用したアプリケーション セキュリティ クラウドベースの Web サイト セキュリティ ソリューションである Imperva Incapsula は 業界をリードする WAF 技術に加え 強力な二要素認証および

— intra-martで運用する場合のセキュリティの考え方    

¥Í¥Ã¥È¥ï¡¼¥¯¥×¥í¥°¥é¥ß¥ó¥°ÆÃÏÀ

WEBシステムのセキュリティ技術

クラウド時代のロードバランサ

Delphi/400開発ノウハウお教えします 情報を守ろう!安全性を高めたWebシステムの構築

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

最新 Web 脆弱性トレンドレポート (08.0) ~08.0. Exploit-DB( より公開されている内容に基づいた脆弱性トレンド情報です ペンタセキュリティシステムズ株式会社 R&D センターデータセキュリティチーム サマリー 08 年

PowerPoint Presentation

内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2

2018 年 3Q(7 月 ~9 月 ) の導入企業への攻撃状況は Blacklisted user agent の攻撃が多く確認され 全体の約 60% の割合を占めており 3 ヶ月で 13,098,070 件が検知されています また 無作為に既知の脆弱性を試行する WEB アタック や 攻撃可能な

PowerPoint Presentation

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

第 7 回の内容 動的な Web サイト フォーム Web システムの構成

PowerPoint Presentation

サマリー EDB-Report ペンタセキュリティシステムズ株式会社 R&D センターデータセキュリティチーム 06 年 8 月に公開された Exploit-DB の分析結果 Cross Site Scripting の攻撃に対する脆弱性報告件数が最も多かったです 発見された Cross Site

タイトルを1~2行で入力 (長文の場合はフォントサイズを縮小)

アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)

OP2

PowerPoint プレゼンテーション

最新 Web トレンドレポート (06.04) ~ Exploit-DB( より公開されている内容に基づいたトレンド情報です サマリー ペンタセキュリティシステムズ株式会社 R&D センターデータセキュリティチーム 06 年 4

Microsoft Word 基_シラバス.doc

<4D F736F F F696E74202D A B B C982A882AF82E9835B838D A834C A CE8DF42E >

IM-SecureBlocker

MIRACLE LoadBalancerを使用したネットワーク構成と注意点

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講

Microsoft PowerPoint - webapp.ppt [互換モード]

Drive-by Download 攻撃に おけるRIG Exploit Kitの 解析回避手法の調査

McAfee Application Control ご紹介

TECHNICAL BRIEF BIG-IP v9 を利用したサイトのセキュア化 はじめにビジネスやコミュニケーションのツールとしてインターネットの活用が進み インターネットサイトが様々なシーンで不可欠な存在となっています それに伴い 官民を通じてインターネットサイトで重要なデータ つまり個人情報や

PowerPoint プレゼンテーション

Advanced Application Threats Require an Advanced WAF

最新 Web 脆弱性トレンドレポート (06.0) ~ Exploit-DB( より公開されている内容に基づいた脆弱性トレンド情報です サマリー ペンタセキュリティシステムズ株式会社 R&D センターデータセキュリティチーム 06

Microsoft Word - SSL-VPN接続サービスの使い方

PowerPoint Presentation

金融工学ガイダンス

製品概要

Microsoft PowerPoint - SSO.pptx[読み取り専用]

目次 1. エグゼクティブサマリー 総合評価 総評 内在するリスク 情報漏洩 サービス妨害 対策指針 早急の対策 恒久的な対

9 WEB監視

PowerPoint プレゼンテーション

Webアプリケーションを守るための対策

Webサービス実証実験プロジェクト デモアプリ発表資料

仕様書 1. 件名 福岡女子大学情報セキュリティ対策強化に係る機器調達及び構築業務一式 2. 背景及び目的近年 サイバー攻撃による事件が急激に増加しており その攻撃も年々巧妙化している 外部からの不正アクセス データの改ざんや窃取 あるいは情報システムの破壊や利用妨害など増えてきている また 組織内

ご利用のブラウザのバージョンによっては 若干項目名が異なる場合があります 予めご了承ください Windows をお使いの場合 [ 表示 ] [ エンコード ] [ 日本語 ( 自動選択 )] を選択 [ 表示 ] [ エンコード ] [Unicode(UTF-8)] を選択 Firefox をご利用

金融工学ガイダンス

金融工学ガイダンス

5. オープンソースWAF「ModSecurity」導入事例 ~ IPA はこう考えた ~

SQLインジェクション・ワームに関する現状と推奨する対策案

別紙 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 年第 3 四半期に登録した脆弱性の種類別件数図 8 のグラフは JVN ipedia へ 2012 年第 3 四半期に登録した脆弱性対策情

Web Gateway資料(EWS比較付)

CDNext ガイドライン:アクセスログ提供機能について

PowerPoint プレゼンテーション

目次 第 1 章 環境構築 システム概要 ロードバランサ ジーンコードサーバー コンテンツサーバー (PC サイトサーバー ) コンテンツサーバー (PC サイトサーバー ) DNS... 6

金融工学ガイダンス

ロイロノートスクールクラウド版表 クラウド サービス利 弊社が 意しているクラウドサービスへ接続し利 するシンプルなプランです サービスだけで利 することができます プラン 保存可能な容量 / ユーザー 額の場合 / ユーザー 年額の場合 / ユーザー 共 タブレット向け 1 0.8GB 40 円

AWS Shield と AWS で構築するセキュアで柔軟性の高いアプリケーション

最新 Web 脆弱性トレンドレポート (05.09) ~ Exploit-DB( より公開されている内容に基づいた脆弱性トレンド情報です サマリー ペンタセキュリティシステムズ株式会社 R&D センターデータセキュリティチーム

Microsoft PowerPoint - 03ポート番号とプロトコル.pptx

Prezentace aplikace PowerPoint

PowerPoint プレゼンテーション

Sample 5

QualysGuard(R) Release Notes

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数 す 別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は 脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C

MySQL Connector/J における SQL インジェクションの脆弱性

汎用プロキシ利用案内 汎用プロキシ利用案内 目次 汎用プロキシ利用案内 はじめに 汎用プロキシとは 利用可能なポート 概要 動作環境 インストール Windows <I

Drive-by-Download攻撃における通信の 定性的特徴とその遷移を捉えた検知方式

CA Federation ご紹介資料

緊急対応から見た、Webサイト用データベースセキュリティ対策

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

パケットモニター (Wireshark) の使い方 第 1 版 1.Wireshark とは ネットワーク上 (LAN ケーブルに流れている ) のパケットを取得して その中の情報を画面に表示するソフトウェア (LAN アナライザーまたはパケットモニター ) の 1 つに Wiresh

SiteLock操作マニュアル

QualysGuard(R) Release Notes

目次 1 はじめに 本資料について 用語の説明 サービス概要 シマンテッククラウド型 WAF について ウェブアプリケーションファイアウォール機能 ブロック モニタリング機能

なぜIDSIPSは必要なのか?(v1.1).ppt

NSPIXP JPNAP などの日本国内の IX と直接にネットワーク接続されている 受注者が自社で保有している 24 時間 365 日の運用監視体制を有している (2) サーバ環境については 受注者が自社で保有していること (3) バーチャルホストなど同一 IP アドレス上でサーバ環境を共有する環

はじめに インフォマート API の呼び出しには OAuth2.0 による認証を受ける必要があります OAuth2.0 を使うことで インフォマート API を利用するサービスは インフォマートプラットフォーム ID( 1 以下 PFID) とパスワードを保存したり処理したりすることなく PFID

PowerPoint プレゼンテーション

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

目次〜.indd

Imperva_page01_B52

Microsoft PowerPoint ラック 村上様.ppt

基本的に LOIC はターゲットサーバに大量のリクエストを絶えず送信します このようなリクエストはターゲットサーバに対する複数の HTTP パケット UDP パケット または TCP リクエストである場合があります JS LOIC JS LOIC は LOIC の JavaScript バージョンで

R80.10_FireWall_Config_Guide_Rev1

Mobile Access IPSec VPN設定ガイド

セミナー原稿

セキュリティ診断サービスのご紹介

音が飛ぶ、途切れる、こんなビデオ会議はやらないほうがマシ

< E345F D834F88EA FD88B9295DB A5F F E786C7378>

Trend Micro Cloud App Security ご紹介資料

(Microsoft PowerPoint - \221\346\216O\225\224.ppt)

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

Microsoft PowerPoint _y.kenji.pptx

Trend Micro Safe Lock 2.0 Patch1 管理コンソールのシステム要件 OS Windows XP (SP2/SP3) [Professional] Windows 7 (SP なし /SP1) [Professional / Enterprise / Ultimate] W

INDEX Demo の目的 ゴール Scenario 1: 自動化 Scenario 2: 効率化 2

secuprint5 Watermark( セキュプリント 5 ウォーターマーク ) とは secuprint5 Watermark( セキュプリント 5 ウォーターマーク ) は 印刷文書内 に 社外持ち出し禁止です などのテキスト 誰が いつ 何を印刷した か 等のセキュリティ情報 また マル秘

スライド 1

Transcription:

WAF によるセキュリティ対策の勘所 F5 ネットワークスジャパン株式会社 プリセールスコンサルタント 楠木健

なぜ WAF は難しいのか? たくさんのログが出力され 精査できない 個々のログが正しい検知なのか誤った検知なのか判断できない アプリケーションの変更に対して WAF のチューニングが追いつかない F5 Networks, Inc 2

原因 シグネチャ検知だけに頼った運用をしているため 汎用化が難しく 誤検知が多い対策方法 開発者と運用者が異なるのでチューニングできない シグネチャのチューニングは行わず ただログを取得しているだけ ( 導入しただけで対策なし ) F5 Networks, Inc 3

なぜシグネチャを利用するのでしょうか? 1. リスクが高い攻撃に対して シグネチャがもっとも有効的? 2. シグネチャ以外で対応できない脅威は WAF 以外の製品で対応を検討している? 3. シグネチャでほとんどの攻撃に対応できる? 4. WAF は侵入検知製品や NGFW と同じように考えている? 5. シグネチャが当たり前? F5 Networks, Inc 4

OWASP Top10 2013 に見るリスク 1. インジェクション攻撃 2. 認証とセッション管理の不備 3. クロスサイトスクリプティング 4. 安全でないオブジェクトの直接参照 5. セキュリティ設定のミス 6. 機密データの露出 7. 機能レベルのアクセス制御の欠落 8. クロスサイトリクエストフォージェリ 9. 既知の脆弱なコンポーネントの使用 10. 未検証のリダイレクトとフォワード OWASP Top 10 2013 資料より F5 Networks, Inc 5

Web アプリケーションに対する主な対策手法 侵入検知 WAF パターンマッチング セッション管理不備に対する対策 L7DoS 攻撃対策 ネガティブセキュリティの一部 ( シグネチャ ) HTTP コンプライアンス違反対策 リスト型攻撃対策 レスポンスデータ対策 SSL 脆弱性対策 F5 Networks, Inc 6

対策 シグネチャ チューニングの実施 1 検知精度の向上 ( ユーザが望む検知だけを行えること ) 2 レスポンスデータの解析 3 適用範囲の局所化 4 ブロッキングモードとロギングモードの並行運用 シグネチャ以外の機能を利用 F5 Networks, Inc 7

アジェンダ シグネチャ チューニング シグネチャ以外の対策 BIG-IP によるチューニング例とまとめ F5 Networks, Inc 8

シグネチャ チューニング

シグネチャ チューニング 1 検知精度の向上 2 検知データを分析するための支援ツール 3 適用範囲の局所化 4 ブロッキングとロギングの並行運用 F5 Networks, Inc 10

Web アプリケーションでのシグネチャの利用 汎用化が難しい システムごとにチューニングが必要 正しい検知か誤検知かの判断が難しい ログモードとブロックモードレスポンスコード / データ参照 文字列検知だけでは利用が難しい コンテンツの理解 Normalization F5 Networks, Inc 11

Web アプリケーションのデータ通信 アプリごとに作りが異なる 汎用化が難しい クライアント POST /login.cgi HTTP/1.1 Accept: image/png, image/jpeg, */* Referer: https://www.server.com/ Accept-Language: ja Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip, deflate User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/536.5 (KHTML, like Gecko) Version/8.0 Safari/538.35.8 Host: www.server.com Content-Length: 16 Connection: Keep-Alive Cookie: cookie1name=cookie1value; Cache-Control: no-cache user=%27+or+1%3d1+%23&pw= Web サーバ上のプログラム SELECT * from user where uname= $uname を実行 SELECT * from user where uname= or 1=1 # and 文字列検知だけでは難しい スペースは + に変換サーバ上で + をスペースに変換 %20 もスペースに変換 正しい検知か誤った検知かの判断が難しい 実行コード デコード Web サーバ F5 Networks, Inc 12

Normalization # オリジナル http://www.microsoft.com/en/us/default.aspx # 複数のスラッシュ文字 http://www.microsoft.com/en/us/////default.aspx # 複数のバックスラッシュ文字 http://www.microsoft.com/en/us default.aspx # white listed string 文字列を含むリクエスト http://www.microsoft.com/en/us/white_listed_string/../default.aspx # default という文字をヘキサ エンコーディング http://www.microsoft.com/en/us/%64%65%66%61%75%6c%74.aspx # バックスラッシュ文字をエンコード http://www.microsoft.com/en/us%5c%5c%5cdefault.aspx F5 Networks, Inc 13

コンテキストの理解 Web アプリケーションへの攻撃を検知するためにはコンテキストの理解が必要 HTTP ヘッダがパケットをまたいで分断される パケットの組立 デコード コンテキストの理解 F5 Networks, Inc 14

シグネチャ チューニング 1 検知精度の向上 2 検知データを分析するための支援ツール 3 適用範囲の局所化 4 ブロッキングとロギングの並行運用 F5 Networks, Inc 15

検知した情報に対するアクション 正しい? 誤り? パターン文字を検知 SQLインジェクション危険度は? user= or 1=1 #&password クライアント Web サーバ 200?403?500? レスポンスコード? レスポンスデータ F5 Networks, Inc 16

チューニングを支援する BIG-IP の機能 危険度の格付け レスポンスコード レスポンスデータの可視化 検知文字列情報 F5 Networks, Inc 17

シグネチャ チューニング 1 検知精度の向上 2 検知データを分析するための支援ツール 3 適用範囲の局所化 4 ブロッキングとロギングの並行運用 F5 Networks, Inc 18

シグネチャ適用対象の絞り込み シグネチャは全体に対する設定 ホワイトリストの有効利用特定のページやパラメータはシグネチャの適用除外 シグネチャ適用範囲を特定パラメータに限定 シグネチャを有効 シグネチャは無効化 ページ 1 ページ 2 ページ 3 シグネチャを無効化 F5 Networks, Inc 19

シグネチャ チューニング 1 検知精度の向上 2 検知データを分析するための支援ツール 3 適用範囲の局所化 4 ブロッキングとロギングの並行運用 F5 Networks, Inc 20

個々のシグネチャごとにブロッキングとロギングを選択 シグネチャは全体に対してブロッキングモードかロギングモードかの選択のみ 判断が難しいシグネチャはブロッキングにするのが難しい 無効化にはしたくない シグネチャA シグネチャB シグネチャC シグネチャD シグネチャE ブロッキングブロッキング無効ロギング無効 F5 Networks, Inc 21

シグネチャの利用で重要なこと 検知精度の向上 検知データを分析するための支援ツール 適用範囲の局所化 ブロッキングとロギングの並行運用 上記機能がない WAF を導入すると 対策が打てない WAF の導入効果を測ることができない無駄な投資になってしまうケースが多い F5 Networks, Inc 22

シグネチャ以外の対策

Web アプリケーションに対する主な対策手法シグネチャ以外の対策方法 侵入検知 WAF パターンマッチング セッション管理不備に対する対策 L7DoS 攻撃対策 ネガティブセキュリティの一部 ( シグネチャ ) HTTP コンプライアンス違反対策 リスト型攻撃対策 レスポンスデータ対策 SSL 脆弱性対策 F5 Networks, Inc 24

シグネチャ以外の対策方法 セッション管理不備に対する対策 HTTP コンプライアンス違反対策 暗号化 (SSL) 動的パラメータチェック Cookie 管理 HTTP ヘッダチェック 文法チェック (HTTP/SOAP/JSON) L7DoS 攻撃対策 リスト型攻撃対策 接続時間の把握 ( セッション管理 ) BOT 検知 二要素認証 /CAPTCHA プログラミング IP レピュテーション レスポンスデータ対策 データマスキング レスポンスページのカスタマイズ SSL 脆弱性対策 SSL プロキシ 汎用化しやすく 判断が明確な対策手法 F5 Networks, Inc 25

各対策手法の特徴 侵入検知 WAF パターンマッチング 脆弱性に対する一時対応 セキュアプログラミングでも対応可能なケースも多い 汎用化が難しい 運用負荷が高い ネガティブセキュリティの一部 ( シグネチャ ) セッション管理不備に対する対策 HTTPコンプライアンス違反対策 レスポンスデータ対策 L7DoS 攻撃対策 セキュアプログラミングでの対応が難しい 汎用化しやすいリスト型攻撃対策 運用負荷が低い SSL 脆弱性対策 F5 Networks, Inc 26

BIG-IP によるチューニングとまとめ

BIG-IP によるチューニング方法 ( 例 ) 1. トランスペアレントモードで情報収集 シグネチャ ファイルタイプのブラックリスト シグネチャ以外の機能を有効 2. チューニング 1 違反検知のシグネチャはステージングに変更 トランスペアレントからブロッキングに変更 ブロッキング設定のものは Learn のチェックを外す ( シグネチャ以外 ) 3. チューニング 2 Traffic Learning ログの格付けが 3 以上のものを精査 アクセス元 IP アドレス レスポンスコード 検知文字列から有効 無効を判断 検知ログが非常に多いシグネチャは誤検知と割り切って無効化 ( 後で精査 ) 誤検知のシグネチャはホワイトリストで個別にチューニング 誤検知はステージングに変更 リクエストログ トラフィック学習ログ (TRAFFIC LEARNING) F5 Networks, Inc 28

まとめ シグネチャだけにとらわれず WAF の有効な機能を使用 シグネチャは 導入の敷居は低いが運用負荷が高い シグネチャ チューニングを支援する機能が重要 検知精度 分析ツール 局所化 ブロッキングとロギングの並行稼働 シグネチャ以外の機能は 導入の敷居は高いが運用負荷が低い シグネチャより精度の高い検知 セキュアプログラミングで対応が難しいケースに対応 F5 Networks, Inc 29

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック