サイバー・フィジカル・セキュリティ 対策フレーム …...<サプライチェーン構造の変化> サイバー・フィジカル・セキュリティ対策フレームワーク(
Cisco Connect Japan...
-
date post
11-Jul-2015 -
Category
Technology
-
view
510 -
download
0
Transcript of Cisco Connect Japan...
サイバー攻撃・マルウェア脅威の防御を 総合的に提供する Cisco AMP CC5-2
シスコシステムズ合同会社 セキュリティ事業 コンサルティング システムズ エンジニア 吉池 克史
サイバー攻撃・マルウェア脅威の防御を 総合的に提供する Cisco AMP
温故知新 レトロスペクティブ
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
何故攻撃は繰り返されるのか
4
儲かる人
攻撃する人
儲かる情報
攻撃手法(儲けるインフラ)
儲かる人
攻撃する人
儲かる情報
儲けるインフラ
儲かる情報を入手する為に 手段も環境も用意する
インフラ (botnetや攻撃ツール) を作る人
インフラ対価
攻撃
情報入手
情報販売
情報販売
情報対価
Mr.X
情報対価
VS
損をする人
損する人・会社(犠牲者)
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
マルウェアの攻撃方向と階層防御
5
Target
IPとポート制御
ペイロード内の シグニチャマッチ
不正サイトへのアクセス禁止
ファイルのマルウェア解析
FW
IPS
UR
L
Sand
Box
AntiV
irus
パターンマッチングで マルウェア検出
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
マルウェアによる階層防御を回避するテクニック
6 6
Target
クライアントに ダウンロードさせる
ことで回避
ゼロデイ
URLの収集速度が遅いと回避
スリープテクニックやSandBox回避 テクニックで回避
FW
IPS
UR
L
Sand
Box
AntiV
irus
APT等世界に 一つしか無い
マルウェアで回避
エンドポイントセキュリティの重要性
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
セキュリティ対策の実情
7
• Point in Time と呼ばれるその瞬間だけを切り取って行うセキュリティ対策では、近年のマルウェアに 対応することが難しくなっています。
• 近年の新種マルウェアがネットワークへ侵入してくる数は30分に1つと言われています。
• 既にこの数はセキュリティベンダの対応出来る数を大幅に超えており、残念ながら多くのマルウェ ア感染は現実的に発生しています。
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
ある瞬間の対策だけでなく継続的な対策も必要
8
既存の Point-in-time 対策に加え、「レトロスペクティブ」なら 過去にさかのぼり、一時点だけでの対策との差分を埋めます
端末レベルの セキュリティ対策
ネットワークレベルの セキュリティ対策
ネットワークの見える化と制御
サンド ボックス ファイア
ウォール IPS
アンチウイルス ソフト
Point-in-time
Point-in-time
• スリープテクニック • サンドボックス回避 • AV シグニチャの遅延 • ゼロデイ
防ぎきれない!
レトロスペクティブ
•クラウドリコール •トラジェクトリ
Stop
Stop
SPAM アンチウィルス
Point-in-time でのセキュリティ対策の限界
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
Point-in-Time + 継続的対策 = AMP
9
Point-in-Time 継続的対策 AMP Advanced Malware Protection
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
マルウェアに感染した際の一般的な対応
10
感染 発覚 調査 復旧 対策
マルウェアは 日々進化しています
通常、何らかの 情報漏えいや 不正通信の 検知などで発覚
調査会社に依頼 しても現状が把握できるのみ どの情報が漏えいしたか、いつ感染 したか、感染原因は何か、などは 不明 また、社内の他の パソコンへの拡散 情報も調査が必要
調査会社に依頼 もしくは社内ITが担当。 1台10万円程度の 復旧 費用(良心的な会社であれば、調査費用に含まれるが、社内に1000台パソコンがある場合、すべてのパソコンの調査費用は単純計算で1億円)
感染原因を元に対策を行う。 パッチ適用や バージョンアップ、不要なアプリケーションの削除など
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
マルウェアに感染した際の実情
11
感染 発覚 調査 復旧 対策
50%のマルウェアがすり抜けてしまう 事をご存知でしたか? できるだけ早く パターンを提供するシステムが必要です
IPS 等を導入して トラフィックの検査を行っていなければ、発覚はどんどん 遅くなります
調査費用は、経費としてあらかじめ計上されています? 自己消滅及びログの改ざんを行うマルウェアがあることを知っていますか
復旧費用が捻出 できず、大事な ファイルを消すことになっていませんか? もしくは、危険を承知で元のファイルを 検査もせずに使い 続けていませんか?
OS を入れ直す だけで、同じ脆弱性を突かれて、別な マルウェアに再感染していませんか?
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
調査、復旧、対策のために必要なレトロスペクティブ
12
• 専門性の高い技術
• コンピュータセキュリティ侵害に対して 証跡などから専門技術者が原因を特定する
• フォレンジックをより簡単に提供する システム+α セキュリティ侵害に対して、 予め収集されたログを可視化し誰にでも 分かりやすく、原因を特定する
• 過去に遡って、マルウェアを発見する
攻撃ポイントの補足、対応、対策
トラジェクトリ クラウド リコール
証跡収集 熟練解析者の技術
フォレンジック
レトロスペクティブ セキュリティ
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
シスコが提案するマルウェア対策ソリューション Cisco AMP
13
Cisco AMPは、様々な環境に、適切な形でセキュリティ対策を行えるソリューションです。
ネットワーク エンドポイント モバイル
専用ネットワークアプライアンス Windows,Mac Android
ネットワーク上に設置 エンドポイントにインストール アンドロイド端末にインストール
エンドポイントではなくネット ワーク上に実装し通信経路上で
マルウェアを検知・防御
エンドポイントに実装することで、OS上の全てのファイルに対してマルウェアを検知・防御
携帯端末上でインストール されるアプリケーションを検査しマルウェアを検知・防御
HTTP,FTP,SMTP,IMAP,POP3,SMB
のプロトコルに対応
WinXP SP3,Win Vista SP2 Win 8, 8.1,Win Server
2003,2008,2012 OSX 10.7-10.9
Android2.1以上
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
ネットワークへの実装
14
サーバセグメント
インターネット
HTTP,SMTP,FTP,POP,IMAP,SMB
• 各エンドポイントへ実装しないので、実装が容易 • L2で透過的な実装の為既存ネットワークに簡単
に導入可能 • パッシブ構成も可能な為、100%ネットワークに
影響を与えない形で監視させることも可能 • ネットワーク上でマルウェアをブロック可能
(インライン)
Cisco AMP for Network
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
エンドポイントへの実装
15
インターネット
• PC内のマルウェア活動状況を監視可能
• マルウェア及び任意のファイルを隔離する事が可能
• 過去検知できなかったマルウェアも継続的に所在を 把握し、削除可能
• Windows、Mac、Androidサポート
AMP AMP AMP
AMP AMP AMP AMP
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
Cisco AMPのマルウェア検知
16
ハッシュエンジン
ETHOSエンジン
SPEROエンジン
ファイル 本体
クラウド
エンドポイント
ファイルのSHA256 ハッシュを取得し
クラウドの情報と比較する
ファイルを ファジーハッシュを使用して検査しマルウェアを検
出
マルウェアの亜種を検出する為に数百カ所の ファイルの特徴を
クラウドへ転送しSPERO TREEと比較して検出
マルウェア ハッシュデータベース 世界中の人が共有する
BIGデータ
SHA256のハッシュ値を クラウドへ転送しファイル そのものは送りません
9a9de323dc2ba4059c3eb10d20e8b93a4cc44c93ac41a5dfc9572fa1c0d5b1
a8
クラウドポータル
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
SHA-256 ハッシュ
17
SHA-256ハッシュ値は、ハッシュ関数という一方向の関数を用いて、全てのファイルを重複の無い文字列に置き換えた結果です。
一方向関数は、計算結果からは元のファイルを作成できませんが、サイズの異なるファイルを一定サイズの文字列で表示することが可能で、ファイル識別に用いられます。
SHA-256の特徴としては、ファイル名が変更されてもハッシュ値は変わらない特徴があります。
Cisco AMPでは、世界中に存在する様々なファイルをこのSHA-256ハッシュを用いて、マルウェアとそれ以外のファイルに分類することで、マルウェアを検知します。
9a9de323dc2ba4059c3eb10d20e8b93a4cc44c93ac41a5dfc9572fa1c0d5b1
a8
AAA.exe
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
メタ(要約)情報
18
情報処理の世界で使用されるメタ情報とは、 何かを要約した情報を表します
例えば、指紋の場合指紋全てでは無く、指紋のデータから いくつかのポイントを調べることで認証しています
ファイルにもこのような調べなければならない要素 という物が存在し、それを要約した情報をメタ情報・メタデータといいます
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
Cisco AMPのログ
19
ハッシュエンジン
ETHOSエンジン
SPEROエンジン
ファイル 本体
クラウド
エンドポイント
ユーザ データ
Aさん
ホストA’
C:¥data¥test¥ AAA.exe
IP:10.0.0.1 Port:12345
メタ(要約)情報収集
マルウェア ハッシュ
データベース
AAA.exeというファイルがC:¥data¥test¥に保存されていてホスト名A’というパソコンにありログイン ユーザはAさんです。 さらにこのファイルは
10.0.0.1、ポート12345へ通信を行った
クラウドポータル
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
Cisco AMP for High Privacy Environments
20
プライベート クラウド
ハッシュエンジン
ETHOSエンジン
SPEROエンジン
ファイル 本体
クラウド
エンドポイント
ユーザデータ
Aさん
ホストA’
C:¥data¥test¥ AAA.exe
IP:10.0.0.1 Port:12345
メタ(要約)情報収集
マルウェア ハッシュデータベース
9a9de323dc2ba4059c3eb10d20e8b93a4cc44c93ac41a5dfc9572fa1c0d5b1a8 D
FC
マルウェア ハッシュデータベース
キャッシュ
メタ 情報
メタ情報
メタ 情報
9a9de323dc2ba4059c3eb10d20e8b93a4cc44c93ac41a5dfc9572fa1c0d5b1a8
9a9de323dc2ba4059c3eb10d20e8b93a4cc44c93ac41a5dfc9572fa1c0d5b1a8
9a9de323dc2ba4059c3eb10d20e8b93a4cc44c93ac41a5dfc9572fa1c0d5b1a8 = OK,NG =OK/NG
VMWare ESX
VMWare ESX上に構築する Virtual Applianceの形態で提供 サポート可能クライアント 1万台/プライベートクラウド Windows/Mac Connectorのみ対応 (Version 1.5)
クラウドポータル
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
レトロスペクティブ セキュリティとは?
21
AMP(Advanced Malware Protection)では、すり抜けてしまうマルウェアを 時間をさかのぼって検出し感染原因を特定します。 以下の2つの仕組みによりマルウェアを隔離、可視化します。
一度調査したファイルを覚えておき、 合致するマルウェアが見つかった場合に 瞬時にそのファイルを隔離する仕組み
クラウドリコール すべてのファイルの挙動をあらかじめ記録して
おき、マルウェア感染時もしくは、過去に通過し
てしまったマルウェアが見つかた場合に、どの
脆弱性を元に感染したのか、どのようなルート
で感染したのかを可視化する仕組み
トラジェクトリ
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
レトロスペクティブ:クラウドリコールとは?
22
クラウド内で管理されている情報に対して ステータス変化があった場合に通知する機能です
シスコの場合、リコール対象の判別はハッシュ値(SHA-256)を使用します
どのサイズのファイルにおいても、一定長のハッシュ値に置き換えることで世界中に存在するすべてのファイルを一意に特定します
このハッシュ値をクラウド上に記録することで、保存したタイミング (初めて調査したタイミング)ではマルウェアとして判定されなくても、 後からマルウェアと判定されれば、リコールを行い隔離します
クラウド リコール
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
ファイルのハッシュ値をクラウド上で記憶する
23
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 ------------------------
-
------------------------
-
------------------------
-
------------------------
-
------------------------
-
------------------------
-
------------------------
-
------------------------
-
------------------------
-
------------------------
-
------------------------
-
------------------------
-
------------------------
-
------------------------
-
------------------------
-
------------------------
-
------------------------
-
------------------------
-
-------------------------
マルウェア→自動
------------------------- ---
----------------------
信頼できるベンダのファイル
現時点ではマルウェアでないファイル このファイルが将来マルウェアと判定される可能性がある
クラウド
ハッシュ値
ファイルそのものではなくハッシュ値をクラウドで記憶
クラウド リコール
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
ファイルを継続して調査する
24
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110 1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
クラウドビッグデータ
解析 (サンドボックス)
ハッシュ値
継続的してデータを蓄積、調査し新たなマルウェアに対応
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
-------------------------
------------------------- ! 新しく見つかったマルウェアは、 XXというファイル名で、YYの ディレクトリに保存されているから、 削除
20万件/日以上 -------------------------
------------------------- -------------------------
------------------------- -------------------------
-------------------------
クラウド リコール
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
レトロスペクティブ:トラジェクトリとは?
25
直訳すると「軌跡」
警察用語では、銃犯罪時の弾道を解析する行為
シスコの場合、トラジェクトリの機能の要素となるデータとして、すべてのファイルの挙動を収集しています。 – ファイルごとに、一意に決まるハッシュ値 – どのファイルによって生成されたのか – どのファイルによって実行されたのか – どこへ通信したのか – どのホストに拡散しているか
これらを可視化することで誰にでも分かりやすい レトロスペクティブ セキュリティを実現します。
トラジェク トリ
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
マルウェア感染経路を可視化する:簡易画面
26
色:3種類
赤:マルウェア
緑:正規のベンダーのファイル
黒:現時点ではマルウェアとは
判定されていないファイル
アイコン:3種類
ファイルが作られた
ファイルが実行された
ファイルが通信をした
〇 +
〇 〇
トラジェクトリ
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
1. マルウェア感染経路を可視化する:時間軸で分かる
27
① マルウェアが作られた
②③ マルウェアが何かファイルを作り出し実行した
④ アクロバットリーダーが通信をした後 マルウェアが作られ、さらにアクロバット リーダーがそのマルウェアを実行した
⑤ IEでどこかに通信した後PDFを ダウンロードしてきた
①
②
③
④ ⑤
トラジェクトリ
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
2. マルウェア感染原因を推理する
28
• ユーザは何かの方法で悪意のある サイトへ誘導され、PDF を ダウンロードさせられた。
• このPDF にはアクロバットリーダーの
脆弱性を突くコードが埋め込まれてい
たユーザは、そのPDF を開く ことで、アクロバットリーダーの 脆弱性を利用され、悪意のある サイトに誘導され、マルウェアを ダウンロードする。(感染)
• ダウンロードされたマルウェアも アクロバットリーダに実行され起動
①
②
③
④ ⑤
トラジェクトリ
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
3. マルウェア感染への対策と削除を実施する
29
①
②
③
④ ⑤
• ②や③で作成された実行ファイルを削除
• ⑤で作成されたPDF を削除
• 可能であればURL フィルタなどで ④⑤でアクセスした悪意のある サイトをフィルタする
• アクロバットリーダーにパッチ適用 (すぐに適用できない場合は、 アクロバットリーダーを起動させない)
• マルウェアのハッシュ値から、内部の 他のホストへの感染状況を把握し、 同様の対応を行う
同じハッシュ値を持つファイルを 保有しているホスト一覧
トラジェクトリ
Cisco AMP ポータル 【デモ】
Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public
まとめ
31
マルウェア感染に 対するレトロスペクティブ
セキュリティ機能 マルウェアの脅威を100% 防ぐことができない現在、感染して しまうことを前提としてシステムのファイルI/Oに対するフォレンジック機能が必要です。
また、フォレンジックシステムのみではなく、ユーザが既存知識で 状況を把握できるための分かり やすい可視化のしくみを実装する必要があります。
感染方法の特定が必要(デバイストラジェクトリ) なぜ感染したかが分からなければ、 同じ方法で感染する次のマルウェアを防げません
拡散状況の可視化(ファイルトラジェクトリ) そのマルウェアがどこまで広がっているのかが 分からなければ、対策ができません
瞬間ではなく継続した対応(クラウドリコール) 今だけのセキュリティ対策では 防ぐことはできない脅威が増えています