Cisco Connect Japan...

サイバー攻撃・マルウェア脅威の防御を総合的に提供する Cisco AMP CC5-2

シスコシステムズ合同会社セキュリティ事業コンサルティングシステムズエンジニア吉池克史

サイバー攻撃・マルウェア脅威の防御を総合的に提供する Cisco AMP

温故知新レトロスペクティブ

Cisco and/or its affiliates. All rights reserved. CC5-2 Cisco Public

何故攻撃は繰り返されるのか

4

儲かる人

攻撃する人

儲かる情報

攻撃手法（儲けるインフラ）

儲かる人

攻撃する人

儲かる情報

儲けるインフラ

儲かる情報を入手する為に手段も環境も用意する

インフラ (botnetや攻撃ツール) を作る人

インフラ対価

攻撃

情報入手

情報販売

情報販売

情報対価

Mr.X

情報対価

VS

損をする人

損する人・会社（犠牲者）


マルウェアの攻撃方向と階層防御

5

Target

IPとポート制御

ペイロード内のシグニチャマッチ

不正サイトへのアクセス禁止

ファイルのマルウェア解析

FW

IPS

UR

L

Sand

Box

AntiV

irus

パターンマッチングでマルウェア検出


マルウェアによる階層防御を回避するテクニック

6 6

Target

クライアントにダウンロードさせる

ことで回避

ゼロデイ

URLの収集速度が遅いと回避

スリープテクニックやSandBox回避テクニックで回避

FW

IPS

UR

L

Sand

Box

AntiV

irus

APT等世界に一つしか無い

マルウェアで回避

エンドポイントセキュリティの重要性


セキュリティ対策の実情

7

• Point in Time と呼ばれるその瞬間だけを切り取って行うセキュリティ対策では、近年のマルウェアに対応することが難しくなっています。

• 近年の新種マルウェアがネットワークへ侵入してくる数は30分に1つと言われています。

• 既にこの数はセキュリティベンダの対応出来る数を大幅に超えており、残念ながら多くのマルウェア感染は現実的に発生しています。


ある瞬間の対策だけでなく継続的な対策も必要

8

既存の Point-in-time 対策に加え、「レトロスペクティブ」なら過去にさかのぼり、一時点だけでの対策との差分を埋めます

端末レベルのセキュリティ対策

ネットワークレベルのセキュリティ対策

ネットワークの見える化と制御

サンドボックスファイア

ウォール IPS

アンチウイルスソフト

Point-in-time

Point-in-time

• スリープテクニック • サンドボックス回避 • AV シグニチャの遅延 • ゼロデイ

防ぎきれない！

レトロスペクティブ

•クラウドリコール •トラジェクトリ

Stop

Stop

SPAM アンチウィルス

Point-in-time でのセキュリティ対策の限界


Point-in-Time + 継続的対策 = AMP

9

Point-in-Time 継続的対策 AMP Advanced Malware Protection


マルウェアに感染した際の一般的な対応

10

感染発覚調査復旧対策

マルウェアは日々進化しています

通常、何らかの情報漏えいや不正通信の検知などで発覚

調査会社に依頼しても現状が把握できるのみどの情報が漏えいしたか、いつ感染したか、感染原因は何か、などは不明また、社内の他のパソコンへの拡散情報も調査が必要

調査会社に依頼もしくは社内ITが担当。 1台10万円程度の復旧費用（良心的な会社であれば、調査費用に含まれるが、社内に1000台パソコンがある場合、すべてのパソコンの調査費用は単純計算で1億円）

感染原因を元に対策を行う。パッチ適用やバージョンアップ、不要なアプリケーションの削除など


マルウェアに感染した際の実情

11

感染発覚調査復旧対策

50％のマルウェアがすり抜けてしまう事をご存知でしたか？できるだけ早くパターンを提供するシステムが必要です

IPS 等を導入してトラフィックの検査を行っていなければ、発覚はどんどん遅くなります

調査費用は、経費としてあらかじめ計上されています？自己消滅及びログの改ざんを行うマルウェアがあることを知っていますか

復旧費用が捻出できず、大事なファイルを消すことになっていませんか？もしくは、危険を承知で元のファイルを検査もせずに使い続けていませんか？

OS を入れ直すだけで、同じ脆弱性を突かれて、別なマルウェアに再感染していませんか？


調査、復旧、対策のために必要なレトロスペクティブ

12

• 専門性の高い技術

• コンピュータセキュリティ侵害に対して証跡などから専門技術者が原因を特定する

• フォレンジックをより簡単に提供するシステム＋α セキュリティ侵害に対して、予め収集されたログを可視化し誰にでも分かりやすく、原因を特定する

• 過去に遡って、マルウェアを発見する

攻撃ポイントの補足、対応、対策

トラジェクトリクラウドリコール

証跡収集熟練解析者の技術

フォレンジック

レトロスペクティブセキュリティ


シスコが提案するマルウェア対策ソリューション Cisco AMP

13

Cisco AMPは、様々な環境に、適切な形でセキュリティ対策を行えるソリューションです。

ネットワークエンドポイントモバイル

専用ネットワークアプライアンス Windows,Mac Android

ネットワーク上に設置エンドポイントにインストールアンドロイド端末にインストール

エンドポイントではなくネットワーク上に実装し通信経路上で

マルウェアを検知・防御

エンドポイントに実装することで、OS上の全てのファイルに対してマルウェアを検知・防御

携帯端末上でインストールされるアプリケーションを検査しマルウェアを検知・防御

HTTP,FTP,SMTP,IMAP,POP3,SMB

のプロトコルに対応

WinXP SP3,Win Vista SP2 Win 8, 8.1,Win Server

2003,2008,2012 OSX 10.7-10.9

Android2.1以上


ネットワークへの実装

14

サーバセグメント

インターネット

HTTP,SMTP,FTP,POP,IMAP,SMB

• 各エンドポイントへ実装しないので、実装が容易 • L2で透過的な実装の為既存ネットワークに簡単

に導入可能 • パッシブ構成も可能な為、100％ネットワークに

影響を与えない形で監視させることも可能 • ネットワーク上でマルウェアをブロック可能

(インライン）

Cisco AMP for Network


エンドポイントへの実装

15

インターネット

• PC内のマルウェア活動状況を監視可能

• マルウェア及び任意のファイルを隔離する事が可能

• 過去検知できなかったマルウェアも継続的に所在を把握し、削除可能

• Windows、Mac、Androidサポート

AMP AMP AMP

AMP AMP AMP AMP


Cisco AMPのマルウェア検知

16

ハッシュエンジン

ETHOSエンジン

SPEROエンジン

ファイル本体

クラウド

エンドポイント

ファイルのSHA256 ハッシュを取得し

クラウドの情報と比較する

ファイルをファジーハッシュを使用して検査しマルウェアを検

出

マルウェアの亜種を検出する為に数百カ所のファイルの特徴を

クラウドへ転送しSPERO TREEと比較して検出

マルウェアハッシュデータベース世界中の人が共有する

BIGデータ

SHA256のハッシュ値をクラウドへ転送しファイルそのものは送りません

9a9de323dc2ba4059c3eb10d20e8b93a4cc44c93ac41a5dfc9572fa1c0d5b1

a8

クラウドポータル


SHA-256 ハッシュ

17

SHA-256ハッシュ値は、ハッシュ関数という一方向の関数を用いて、全てのファイルを重複の無い文字列に置き換えた結果です。

一方向関数は、計算結果からは元のファイルを作成できませんが、サイズの異なるファイルを一定サイズの文字列で表示することが可能で、ファイル識別に用いられます。

SHA-256の特徴としては、ファイル名が変更されてもハッシュ値は変わらない特徴があります。

Cisco AMPでは、世界中に存在する様々なファイルをこのSHA-256ハッシュを用いて、マルウェアとそれ以外のファイルに分類することで、マルウェアを検知します。

9a9de323dc2ba4059c3eb10d20e8b93a4cc44c93ac41a5dfc9572fa1c0d5b1

a8

AAA.exe


メタ（要約）情報

18

情報処理の世界で使用されるメタ情報とは、何かを要約した情報を表します

例えば、指紋の場合指紋全てでは無く、指紋のデータからいくつかのポイントを調べることで認証しています

ファイルにもこのような調べなければならない要素という物が存在し、それを要約した情報をメタ情報・メタデータといいます


Cisco AMPのログ

19


ETHOSエンジン

SPEROエンジン

ファイル本体

クラウド


ユーザデータ

Aさん

ホストA’

C:¥data¥test¥ AAA.exe

IP:10.0.0.1 Port:12345

メタ（要約）情報収集

マルウェアハッシュ

データベース

AAA.exeというファイルがC:¥data¥test¥に保存されていてホスト名A’というパソコンにありログインユーザはAさんです。さらにこのファイルは

10.0.0.1、ポート12345へ通信を行った



Cisco AMP for High Privacy Environments

20

プライベートクラウド


ETHOSエンジン

SPEROエンジン

ファイル本体

クラウド


ユーザデータ

Aさん

ホストA’

C:¥data¥test¥ AAA.exe

IP:10.0.0.1 Port:12345

メタ（要約）情報収集

マルウェアハッシュデータベース

9a9de323dc2ba4059c3eb10d20e8b93a4cc44c93ac41a5dfc9572fa1c0d5b1a8 D

FC

マルウェアハッシュデータベース

キャッシュ

メタ情報

メタ情報

メタ情報

9a9de323dc2ba4059c3eb10d20e8b93a4cc44c93ac41a5dfc9572fa1c0d5b1a8

9a9de323dc2ba4059c3eb10d20e8b93a4cc44c93ac41a5dfc9572fa1c0d5b1a8

9a9de323dc2ba4059c3eb10d20e8b93a4cc44c93ac41a5dfc9572fa1c0d5b1a8 = OK,NG =OK/NG

VMWare ESX

VMWare ESX上に構築する Virtual Applianceの形態で提供サポート可能クライアント 1万台/プライベートクラウド Windows/Mac Connectorのみ対応（Version 1.5）



レトロスペクティブセキュリティとは？

21

AMP（Advanced Malware Protection）では、すり抜けてしまうマルウェアを時間をさかのぼって検出し感染原因を特定します。以下の２つの仕組みによりマルウェアを隔離、可視化します。

一度調査したファイルを覚えておき、合致するマルウェアが見つかった場合に瞬時にそのファイルを隔離する仕組み

クラウドリコールすべてのファイルの挙動をあらかじめ記録して

おき、マルウェア感染時もしくは、過去に通過し

てしまったマルウェアが見つかた場合に、どの

脆弱性を元に感染したのか、どのようなルート

で感染したのかを可視化する仕組み

トラジェクトリ


レトロスペクティブ：クラウドリコールとは？

22

クラウド内で管理されている情報に対してステータス変化があった場合に通知する機能です

シスコの場合、リコール対象の判別はハッシュ値（SHA-256）を使用します

どのサイズのファイルにおいても、一定長のハッシュ値に置き換えることで世界中に存在するすべてのファイルを一意に特定します

このハッシュ値をクラウド上に記録することで、保存したタイミング（初めて調査したタイミング）ではマルウェアとして判定されなくても、後からマルウェアと判定されれば、リコールを行い隔離します

クラウドリコール


ファイルのハッシュ値をクラウド上で記憶する

23

0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110

1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 ------------------------

-

------------------------

-

------------------------

-

------------------------

-

------------------------

-

------------------------

-

------------------------

-

------------------------

-

------------------------

-

------------------------

-

------------------------

-

------------------------

-

------------------------

-

------------------------

-

------------------------

-

------------------------

-

------------------------

-

------------------------

-

-------------------------

マルウェア→自動

------------------------- ---

----------------------

信頼できるベンダのファイル

現時点ではマルウェアでないファイルこのファイルが将来マルウェアと判定される可能性がある

クラウド

ハッシュ値

ファイルそのものではなくハッシュ値をクラウドで記憶



ファイルを継続して調査する

24

0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110 1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

クラウドビッグデータ

解析（サンドボックス）

ハッシュ値

継続的してデータを蓄積、調査し新たなマルウェアに対応

-------------------------

-------------------------

-------------------------

-------------------------

-------------------------

-------------------------

-------------------------

-------------------------

-------------------------

-------------------------

-------------------------

-------------------------

-------------------------

-------------------------

-------------------------

-------------------------

-------------------------

-------------------------

------------------------- ！新しく見つかったマルウェアは、 XXというファイル名で、YYのディレクトリに保存されているから、削除

20万件/日以上 -------------------------

------------------------- -------------------------

------------------------- -------------------------

-------------------------



レトロスペクティブ：トラジェクトリとは？

25

直訳すると「軌跡」

警察用語では、銃犯罪時の弾道を解析する行為

シスコの場合、トラジェクトリの機能の要素となるデータとして、すべてのファイルの挙動を収集しています。 – ファイルごとに、一意に決まるハッシュ値 – どのファイルによって生成されたのか – どのファイルによって実行されたのか – どこへ通信したのか – どのホストに拡散しているか

これらを可視化することで誰にでも分かりやすいレトロスペクティブセキュリティを実現します。



マルウェア感染経路を可視化する：簡易画面

26

色：3種類

赤：マルウェア

緑：正規のベンダーのファイル

黒：現時点ではマルウェアとは

判定されていないファイル

アイコン：3種類

ファイルが作られた

ファイルが実行された

ファイルが通信をした

〇＋

〇〇



1. マルウェア感染経路を可視化する：時間軸で分かる

27

① マルウェアが作られた

②③ マルウェアが何かファイルを作り出し実行した

④ アクロバットリーダーが通信をした後マルウェアが作られ、さらにアクロバットリーダーがそのマルウェアを実行した

⑤ IEでどこかに通信した後PDFをダウンロードしてきた

①

②

③

④ ⑤



2. マルウェア感染原因を推理する

28

• ユーザは何かの方法で悪意のあるサイトへ誘導され、PDF をダウンロードさせられた。

• このPDF にはアクロバットリーダーの

脆弱性を突くコードが埋め込まれてい

たユーザは、そのPDF を開くことで、アクロバットリーダーの脆弱性を利用され、悪意のあるサイトに誘導され、マルウェアをダウンロードする。（感染）

• ダウンロードされたマルウェアもアクロバットリーダに実行され起動

①

②

③

④ ⑤



3. マルウェア感染への対策と削除を実施する

29

①

②

③

④ ⑤

• ②や③で作成された実行ファイルを削除

• ⑤で作成されたPDF を削除

• 可能であればURL フィルタなどで ④⑤でアクセスした悪意のあるサイトをフィルタする

• アクロバットリーダーにパッチ適用（すぐに適用できない場合は、アクロバットリーダーを起動させない）

• マルウェアのハッシュ値から、内部の他のホストへの感染状況を把握し、同様の対応を行う

同じハッシュ値を持つファイルを保有しているホスト一覧


Cisco AMP ポータル【デモ】


まとめ

31

マルウェア感染に対するレトロスペクティブ

セキュリティ機能マルウェアの脅威を100％防ぐことができない現在、感染してしまうことを前提としてシステムのファイルI/Oに対するフォレンジック機能が必要です。

また、フォレンジックシステムのみではなく、ユーザが既存知識で状況を把握できるための分かりやすい可視化のしくみを実装する必要があります。

感染方法の特定が必要（デバイストラジェクトリ）なぜ感染したかが分からなければ、同じ方法で感染する次のマルウェアを防げません

拡散状況の可視化（ファイルトラジェクトリ）そのマルウェアがどこまで広がっているのかが分からなければ、対策ができません

瞬間ではなく継続した対応（クラウドリコール）今だけのセキュリティ対策では防ぐことはできない脅威が増えています

Cisco Connect Japan...

Technology

Transcript of Cisco Connect Japan...