Comments
Description
Transcript
ネットワークセキュリティ最前線 2010 日本アイ・ビー・エム株式会社
ネットワークセキュリティ最前線 2010 日本アイ・ビー・エム株式会社 ソフトウェア事業 ISS事業推進 ISSディベロップメント&ブランド 部長 矢崎 誠二 2010年2月 本日のアジェンダ 1.今更ですが、何故セキュリティ? 2.IBMセキュリティフレームワーク 3.過去の脅威と、今日の時代の脅威 4.進化する不正アクセス 5.X-Forceと研究成果の紹介 6.ManagedSecurityServiceの紹介 7.脅威に先んじるための対策手段 P.2 Copyright IBM Internet Security Systems All Right Reserved 5つの考慮ポイント ①誰が ↓ ②対象 ↓ ③動機 ↓ ④行動 ↓ ⑤結果 P.3 Threat Vulnerability RISK Copyright IBM Internet Security Systems All Right Reserved 古きセキュリティ 戦争をしかけ、 国をのっとる 王室 王を恨んでい るので... P.4 Copyright IBM Internet Security Systems All Right Reserved 必要な対策とは ①誰が ↓ ②対象 ↓ ③動機 ↓ ④行動 ↓ ⑤結果 P.5 外部及び内部から ⇒壁を高くする。お濠の構築、暗号 土地、人、金銀、財宝 ⇒金庫、暗号、門番、見張り 物欲、名誉、疑心、欺瞞 ⇒信頼の構築、真摯な対応、Win=Win 城壁の破壊 ⇒見張り、防御 国の崩壊 ⇒再建、莫大な費用 Copyright IBM Internet Security Systems All Right Reserved 1.今更ですが、何故セキュリティ? 2.IBMセキュリティフレームワーク 3.過去の脅威と、今日の時代の脅威 4.進化する不正アクセス 5.X-Forceと研究成果の紹介 6.ManagedSecurityServiceの紹介 7.脅威に先んじるための対策手段 P.6 Copyright IBM Internet Security Systems All Right Reserved IBMセキュリティフレームワーク IBM セキュリティー・フレームワーク セキュリティー・ガバナンス リスク・マネジメント 、 コンプライアンス 重要データの移動、保管のライフサ イクルにおける保護 人とアイデンティティー 人とアイデンティティー アプリケーションとビジネス・サービ スのセキュリティーを確証する データ・情報 データ・情報 アプリケーション・プロセス アプリケーション・プロセス システム・インフラストラクチャーに 対する新出する脅威に先んじて対 策しておく。 ネットワーク・サーバー・エンドポイント ネットワーク・サーバー・エンドポイント 物理インフラストラクチャー 物理インフラストラクチャー 共通ポリシー・イベント対応・レポーティング プロフェッショナル サービス P.7 マネージド サービス ふさわしい人物が、適切な資産、適 切な時間にアクセスすることを保証 する。 ハードウェア ソフトウェア 物理的な空間にて、人や物に起き るイベントを保証する為に、増強す るデジタル制御を活用する。 Copyright IBM Internet Security Systems All Right Reserved 人とアイデンティティー 人とアイデンティティー フレームワークの考え方 データ・情報 データ・情報 アプリケーション・プロセス アプリケーション・プロセス ネットワーク・サーバー・エンドポイント ネットワーク・サーバー・エンドポイント 物理インフラストラクチャー 物理インフラストラクチャー $ P.8 Copyright IBM Internet Security Systems All Right Reserved 1.今更ですが、何故セキュリティ? 2.IBMセキュリティフレームワーク 3.過去の脅威と、今日の時代の脅威 4.進化する不正アクセス 5.X-Forceと研究成果の紹介 6.ManagedSecurityServiceの紹介 7.脅威に先んじるための対策手段 P.9 Copyright IBM Internet Security Systems All Right Reserved 過去の脅威と今日の脅威 分かりやすい攻撃の方法が実施されていた ⇒ホームページの改ざん、サーバー停止 放火魔的な愉快犯による犯行が多発 ⇒Virusの伝播を楽しむ、技術的な優位性を強調 個別対象を含む、広範囲な複合攻撃が増加している ⇒ワーム、SPAM等を使った攻撃や偽装アプリケーション 目的は金銭を獲得するための情報収集にFocus ⇒のっとり行為によるID情報の収集 P.10 Copyright IBM Internet Security Systems All Right Reserved 日本の不正アクセス統計情報 平成21年度上半期のサイバー販売の検挙件数は、3870 件で、前年同期より76.6%増加 警察庁 広報資料 平成21年8月20日 P.11 Copyright IBM Internet Security Systems All Right Reserved 全セキュリティー領域で攻撃が継続 2009 年上半期に、3,240 の新たな脆弱性が発見された。 (2008 年と比較すると減少している) SQL インジェクションや Active X エクスプロイトなど新しいカ テゴリーの脆弱性は減少しているが、エクスプロイトは依然増 加している。 全脆弱性の 50.4% は Web アプリケーションの脆弱性である。 アプリケーション アプリケーション プロセス プロセス データ・情報 データ・情報 攻撃者は、悪意のあるエクスプロイト・コードを含むドキュメントを Web サイト 上で公開したり、スパムメールに貼り付けて送りつけたりする。 2009 年上半期に公開された Portable Document Format (PDF) の脆弱性 数は、2008 年全体の公開数をすでに上回っている。 ネットワーク・ ネットワーク・ サーバー・ サーバー・ エンドポイント エンドポイント 人とアイデン 人とアイデン ティティー ティティー P.12 新規の悪意のある Web リンクは 2008 年上半期と比べて 508% 増加した。 攻撃者は、信頼のある Web サイトを悪用し、ユーザーをだまして悪意のある リンクをクリックさせる。 トロイの木馬型ウィルスは全マルウェアの 55% を占める。 中でも情報盗用の トロイの木馬は最も蔓延している。 URL スパム (本文にURLリンクが含まれたメール) は、引き続き主たるタイプ のスパムであるが、イメージ・ベースのスパムが復活している。 フィッシングの 66% は金融業をターゲットにしており、31% はオンライン決済 機関をターゲットにしている。 Copyright IBM Internet Security Systems All Right Reserved 1.今更ですが、何故セキュリティ? 2.IBMセキュリティフレームワーク 3.過去の脅威と、今日の時代の脅威 4.進化する不正アクセス 5.X-Forceと研究成果の紹介 6.ManagedSecurityServiceの紹介 7.脅威に先んじるための対策手段 P.13 Copyright IBM Internet Security Systems All Right Reserved 2-factor認証も突破するリアルタイムハッカー P.14 Copyright IBM Internet Security Systems All Right Reserved 止まらないガンブラー被害 P.15 Copyright IBM Internet Security Systems All Right Reserved ガンブラーの攻撃:ウィルスの埋め込みステージ ①改ざん済みサイトを閲覧すると ②攻撃サー バーに誘導 攻撃者 (親玉) 不正コード 挿入サーバー 攻撃サーバー群 ③ガンブラーに 感染 Web閲覧者 改ざん済みサイト 攻撃用 管理サーバー P.16 攻撃側 被害者側 Copyright IBM Internet Security Systems All Right Reserved ガンブラーの攻撃:パスワード盗難ステージ 改ざん済みサイト群 攻撃サーバー群 不正コード 挿入サーバー 攻撃者 (親玉) ③FTPユーザー名と パスワードを送信 ①ガンブラーに感染した PCからFTP通信を行う ②FTP通信からユーザー 名とパスワードを盗む 攻撃用 管理サーバー P.17 攻撃側 被害者側 Webサーバー Copyright IBM Internet Security Systems All Right Reserved ガンブラーの攻撃:Webの改ざんステージ 改ざん済みサイト群 攻撃サーバー群 不正コード 挿入サーバー 攻撃者 (親玉) ①入手した パスワー ドを伝達 ②改ざんを実施 (攻撃コード、ウィ ルスの挿入) 攻撃用 管理サーバー P.18 攻撃側 被害者側 Webサーバー Copyright IBM Internet Security Systems All Right Reserved ガンブラーの攻撃:さらに攻撃は続く・・・ 改ざん済みサイト群 攻撃サーバー群 不正コード 挿入サーバー 以後攻撃ネットワークに組み込まれ、DDoS、 SPAM送信など不正行為に悪用される 攻撃者 (親玉) 次の被害者 攻撃用 管理サーバー P.19 攻撃側 被害者側 Copyright IBM Internet Security Systems All Right Reserved IBM製品 Proventia での防御(対策方針の一つ) ①改ざん済み サイトを閲覧 ②攻撃サーバー に誘導されても 攻撃者 (親玉) 不正コード 挿入サーバー ③防御 Web閲覧者 攻撃サーバー群 不正プログラムのダウンロード 活動をブロックし、保護 攻撃用 管理サーバー P.20 攻撃側 被害者側 Copyright IBM Internet Security Systems All Right Reserved ガンブラー被害の関係者 ワーム感染 自社のWebサ 自社のWebサ イトの更新権 イトの更新権 限を与えられ 限を与えられ ている部門か ている部門か らアカウント情 らアカウント情 報が盗まれる 報が盗まれる ケース ケース Webサイトの Webサイトの 更新権限を与 更新権限を与 えている関連 えている関連 企業からアカ 企業からアカ ウントが盗ま ウントが盗ま れるケース れるケース Webサイトの Webサイトの 更新を外部へ 更新を外部へ 委託している 委託している 場合、保守用 場合、保守用 のPCからアカ のPCからアカ ウントが盗ま ウントが盗ま れるケース れるケース Web編集担当者 Web編集担当者 アカウント情報の悪用 Web改ざん被害 企業 保守用 PC Webサーバー Webサーバー 関連会社 保守用 攻撃者 外部からのFTPアクセスを 外部からのFTPアクセスを 制限あり 制限あり PC アウトソース・ 保守委託業者 企業 Web改ざん Web改ざん 保守用 PC Webサーバー Webサーバー 外部からのFTPアクセスを 外部からのFTPアクセスを 制限なし 制限なし P.21 Copyright IBM Internet Security Systems All Right Reserved 事前防御の必要性 防御は事前に防がなければ意味がない 事後対応では後の祭り 何時攻撃が来ても対応できる見張り台が必要 P.22 Copyright IBM Internet Security Systems All Right Reserved 1.今更ですが、何故セキュリティ? 2.IBMセキュリティフレームワーク 3.過去の脅威と、今日の時代の脅威 4.進化する不正アクセス 5.X-Forceと研究成果の紹介 6.ManagedSecurityServiceの紹介 7.脅威に先んじるための対策手段 P.23 Copyright IBM Internet Security Systems All Right Reserved 民間最大級のセキュリティ研究組織 X-Force 研究活動(Research) •脆弱性研究の活動(コア) •他のセキュリティ機関、学術機関、ベン ダー等の情報収集にあたるフィールド 調査活動 •X-Force Data Base (XFDB)へのナレッ ジ蓄積 開発(Development) •ISSプロダクトへのXPUの提供 教育(Education,PR) Critical Impact Vulnerabilities 1998-2006 X-Forceは、世界で公表された高危険度の脆弱性の多くを発見、報告 脆弱性に対応したシグネチャ(XPU)を迅速にユーザーにご提供 脆弱性に対応したシグネチャ(XPU)を迅速にユーザーにご提供 P.24 Copyright IBM Internet Security Systems All Right Reserved X-Force R&D IBM Internet Security Systems™ X-Force® 研究開発チームのミッション X-Force分析データ 100億 分析された Web ページと画像 1.5億 一日当りの不正侵入の試み 4000万 スパムとフィッシング攻撃 43,000 脆弱性の文書化 数百万もの固有のマルウェア サンプル 脅威と防御に関する問題の研究と評価 現在のセキュリティー問題に対する防御策の提供 将来のセキュリティー課題に対する新技術の開発 メディアとユーザー ・コミュニティーの教育 専門特化型の分析: 脆弱性とエクスプロイト*1 悪意のある/好ましくない Web サイト スパムとフィッシング マルウェア*2 その他の新しい傾向 *1: セキュリティー上の脆弱性を突く攻撃またはそのコード *2: コンピューター・ウィルス、ワーム、スパイウェアなどの悪意を持ったソフトウェア P.25 Copyright IBM Internet Security Systems All Right Reserved 攻撃者にとっての経済的側面 脆弱性の発生頻度 攻撃者は、より金銭を 目的とした不正アクセ スを行う傾向にある 金銭目的により、攻撃 者は攻略確率の高い 脆弱性を狙い続ける PDFやFlashに関する 脆弱性が攻撃ターゲッ トとなっている。これら のリーダーソフトウェア の脆弱性は非常に利益 性が高く、実行し易く なっていると言える P.26 Copyright IBM Internet Security Systems All Right Reserved 脆弱性公開に関する上位ベンダー・リスト 上位 10 ベンダーは公開された全脆弱性の 24% を占める (2008 年の 19% から 上昇) 2006 年以来首位を維 持してきた Microsoft が 3 位に。 Apple が 1 位に上昇。 顧客はこのリストにないベンダーについても懸念する必要があります。 それらのベンダーはセキュリティーを真剣に受け止めていますか? P.27 Copyright IBM Internet Security Systems All Right Reserved 半数の脆弱性でパッチは依然として入手できない 年上半期に公開された全脆弱性のうち半数近く (49%) で、脆弱性を修正するためのベンダー提供パッチが供給されて *2009年上半期に20以上の脆弱性公開があるベンダー いなかった。 2009 **IBM 公開 82, パッチ未供給 3, パッチ未供給率 3.7% P.28 Copyright IBM Internet Security Systems All Right Reserved Web アプリケーションの脆弱性が他を圧倒 全脆弱性の 50.4% が Web アプリケーションの脆弱性である。 インジェクションとクロスサイト スクリプティングが首位の 座を争っている。 SQL P.29 Copyright IBM Internet Security Systems All Right Reserved 悪意のあるリンクを有する正規Web サイト P.30 少なくとも 1 つの悪意のあるリンクをホストする”信頼された”全ドメインのうち、 個人のホームページ (通常は通信サービス会社のドメインによってホストされ る) がおよそ50%を占める。 悪意のあるリンクを10 以上持つドメインでは、アダルト・サイトがおよそ 28% を占め、ギャンブルが 14% 以上を占める。 Copyright IBM Internet Security Systems All Right Reserved 1.今更ですが、何故セキュリティ? 2.IBMセキュリティフレームワーク 3.過去の脅威と、今日の時代の脅威 4.進化する不正アクセス 5.X-Forceと研究成果の紹介 6.ManagedSecurityServiceの紹介 7.脅威に先んじるための対策手段 P.31 Copyright IBM Internet Security Systems All Right Reserved マネージドセキュリティサービス 1. IBMのセキュリティ監視センタ(SOC)は拠点 • 全世界に8拠点SOCを構えています。 • 日本をはじめ、米国、欧州、アジア地域も網羅しています。 2. 世界No1の監視実績 • 全世界で17,000 Device 以上の監視実績があります。 • 金融機関様をはじめ、様々な業種に対応しています。 3. セキュリティ統計データの収集(G-TOC) • WWでのセキュリティ・アラートを一元管理し統計データを収集 このデータを基として予兆管理、及び対策手法の蓄積 グローバル統合アーキテクチャ 8 拠点のグローバルSOC 監視対象は133カ国 3.700以上のMSSカスタマ 17000以上の管理されたデバイス群 イベント解析量は40億イベント/日 24時間365日でのグローバルオペ レーション 8 3700 17000 4000000000 P.32 Copyright IBM Internet Security Systems All Right Reserved MSSサービスのアドバンテージ MSSサービスのアドバンテージ 24H/365D発生する不正アクセスに対して専門セキュリティエンジ ニアが、リアルタイム分析を行うことで問題を未然に防ぎます。 深い Gumblerワーム 手動攻撃 SEOボイゾニング Bot SQLインジェクション フィッシング バッファオーバーフロー SQLインジェクション ツール攻撃 浅い 攻撃の深さ(サイバー犯罪) 攻撃者は、意図的に特定のサイトの情報を 収集、調査し、特定の問題を引き出すこと で、対象サイトへの攻撃を行う。この攻撃 の深さを示す。 標的型攻撃 ワーム 辞書攻撃 広い 攻撃の範囲(愉快犯) コードの感染範囲。より悪質であるか、又は脆弱性の重要度、使用 されているアプリケーションの汎用度によって、範囲が変わる。 P.33 情報分析という観点においては、広 い攻撃範囲に対する攻撃を、分析視野 にいれることが重要となります。 広範囲な不正アクセスであることに より攻撃自体にインターネット全体へ の好ましくない影響が発生し、情報分 析と対処方法等の結果は、より社会的 な注目度が高まるとも言えます。 シグネチャ別、プロトコル別、アド レス別、国別とそれぞれの特徴から、 問題の情報分析は不可欠と思われます。 特にSEOポイゾニングでは、複数の 疑似サイトよりサーチエンジンの検索 を向上させ、不正サイトへ誘導させ、 ユーザへの不正アクセスを実施する巧 妙な攻撃の一つと言えます。 DNSポイゾニング DoS 狭い MSSサービスのアドバンテージ MSSでは、グローバルカバレッジを用い た、不正アクセスデータの収集及び分析 を行っております。このため、広域への 攻撃情報に関しては、顕著なアドバン テージがあり、世界で唯一、MSSでしか 得られない情報量及び迅速性がありま す。 Copyright IBM Internet Security Systems All Right Reserved 統合セキュリティアーキテクチャ MSSにて使用する統合セキュリティアーキテクチャ環境であるXPSシステムに よって、お客様にとって対応すべき必要なアラームのみ通知し、セキュリティプ ロフェッショナルによる的確なアドバイスをご提供いたします。 XPSデータベース及びロジックエンジンは、業界をリードするエキスパート システムによって、参照データを解析 サンプル例: 各セキュリティ検知デバイスによって、検 出されるイベント イベント削除、アナリストによって有効化 されたイベント ソリューションリサーチと解析、リスク評価 の適用 お客様対応が必要とされて重要なリスク は6件であった P.34 4 Billion 150,000 300 6 セキュリティイベント XPSシステムによっ て発生するアラーム お客様のITプロファイルによって カスタム化されてフィルタ MSSポータルアップデート 対応が必要な優先度の高いイベント Copyright IBM Internet Security Systems All Right Reserved 1.今更ですが、何故セキュリティ? 2.IBMセキュリティフレームワーク 3.過去の脅威と、今日の時代の脅威 4.進化する不正アクセス 5.X-Forceと研究成果の紹介 6.ManagedSecurityServiceの紹介 7.脅威に先んじるための対策手段 P.35 Copyright IBM Internet Security Systems All Right Reserved IBM Internet Security Systems IBM Internet Security Systems セキュリティー情報の蓄積 Detroit Toronto Brussels Tokyo Boulder Atlanta セキュリティー脅威の研究 研究結果を サービス・製品へ 即時反映 Bangalore Hortolândia Brisbane 全世界9拠点の監視センター 133カ国、3,700社以上の監視を実施 1日、40億件のデータを分析・報告 ① セキュリティー診断 世界最大規模のセキュリティ研究機関 新たな脆弱性の発見と、収集した脅威 情報を専任の研究員が分析 ② セキュリティー製品 ③ セキュリティー監視 IPS (Intrusion Prevention System) IDS/IPS市場を長年にわたりリード 診断実績は550件以上 IBM Proventiaシリーズ 78%の企業で脆弱性を発見・報告 P.36 24時間365日絶え間ない監視 Managed Security Service Copyright IBM Internet Security Systems All Right Reserved ProventiaシリーズとVirtual Patch® サーバー脆弱性に対する攻撃 をネットワーク上で保護 →Proventia Virtual Patch IBM X-Force®:世界最大級の民 間セキュリティー研究開発組織 最新Update パッチ未適用 サーバー ワーム、不正アクセス SQLインジェクション Proventia Network IPS Windows®サーバーなど IBM Virtual Patch® による防御 ベンダーからパッチが提 供されるのを待つ場合 P.37 V P irtu at a ch l 事前防御:X-Forceとの連携により先んじてお客様のシステムを保護 安全な状態 ゼロDAY攻撃 亜種発生 •ゼロDAY攻撃に強い •亜種ウィルスに強い 手遅れ Copyright IBM Internet Security Systems All Right Reserved プロトコル解析エンジン The Protocol Analysis Module (PAM) プロトコル解析モジュール(PAM)は、IBM セキュリティの主たる特徴の一 つであり、未知なる脅威に先駆ける対策技術の中核でもあります。 PAMは以下に示される5つのキーテクノロジーから構成されています。 Protocol Analysis Modular (PAM)Technology Network Policy Virtual Patch マ ネジメント P.38 38 脅威の検出と 防御 コンテンツ 解 析 Web プロテク ション ネットワークポ リシの統制 Copyright IBM Internet Security Systems All Right Reserved 基盤技術としてのプロトコル及びコンテンツ解析 どのようにして動くか ネットワークトラフィックのDeep Inspection 200以上のネットワーク及びアプリケーショ ンレイヤープロトコル、データファイルフォー マットの解析と識別 何を防御するのか ・ データベースへの攻撃 ・ Dos/DDoS攻撃 ・ 悪意のあるドキュメントタイプ ・ 悪意のあるメディアファイル 脆弱性モデリング アルゴリズム RFCコンプライアンス ステートフルパケット インスペクション TCPリアセンブリー フローリアセンブリー プロトコルアノマリ検知 統計分析 ポートバリアビリティ ホストレスポンス分析 ポートアサイメント IPv6ネイティブトラフィック分析 ポートフォワーディング IPv6トンネル分析 プロトコルトンネリング SITトンネル分析 アプリケーションレイヤープリプロセッシング ポートプローブ検知 シェルコードヒュリスティック パターンマッチング コンテキストフィールドアナリシス カスタムシグネチャ Proventia コンテンツアナライザー インジェクションロジックエンジン ・ OS及びアプリケーションへの攻撃 ・ Peer to PeerやInstant Messenger ・ Webブラウザーへの攻撃 ・ Webサーバへの攻撃 P.39 39 Copyright IBM Internet Security Systems All Right Reserved システムの各層と攻撃の関係 SQLインジェクション XSS リモートファイルインクルード Conficker Blasterワーム OS・ミドルウェア に含む脆弱性 Webアプリケーション ユーザーアプリケーション Webサーバー/Database 各種サーバーアプリ デスクトップ アプリケーション ミドルウェア OS 通信ハイジャックに よる情報盗難 TCP/IP 通信妨害/詐称 IP ウィルスによる ファイルの削除 Ethernet P.40 Copyright IBM Internet Security Systems All Right Reserved システムの各層と攻撃の関係 Webアプリケーション ユーザーアプリケーション IDS/IPS Webサーバー/Database 各種サーバーアプリ デスクトップ アプリケーション アンチウィルス ミドルウェア OS TCP/IP ファイア ウォール IP Ethernet P.41 Copyright IBM Internet Security Systems All Right Reserved プロトコル分析技術の基礎 アプリケーション層まで解析、プロトコルがHTTPであることを突き止める スキップ スキップ スキップ スキップ 06 0800 0080 dB2%00397e39 AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e39 13バイト目から始ま る2 バイトの第3層プ ロトコル識別子を読 み取る=IP rexec パーサ 24バイト目の第4層 プロトコル識別子を 読み取る=TCP rlogin パーサ 35バイト目のポート 番号のペアを読み 取る=http HTTPではURLが55 バイト目から始まるた めそこまでスキップし 、URLを読み取る。 DNS パーサ SNMP SMTP FTP パーサ DNS パーサ パーサ syslog nntp パーサ パーサ chat パーサ kerberos パーサ RPC ICMP POP パーサ whois パーサfinger パーサ パーサ パーサ P.42 HTTP HTTP パーサ IMAPパーサ パーサ rsh パーサ パーサ URL文字列はHTTPパーサーに送 られ攻撃行為について解析 Copyright IBM Internet Security Systems All Right Reserved 事例1:脅威のカテゴリを設定した脆弱性の検出 確認できるファイル名はdocument.txtで問題がない 本来の拡張子は .exe 危険性が考えられる P.43 Copyright IBM Internet Security Systems All Right Reserved 事例1:フルレベルインスペクション Filename ZIP BASE64 MIME SMTP,POP,… TCP IP Ethernet NOTE:プロトコル解析はヘッダで停止しません。オープン中の環境 の防御を確実なものにするために、データ構造を完全に解析します。 Ethernet上のTCP/IP、E-mailのMIME添付の中のBase64エンコー ドにあるZIPされた、圧縮ファイルが正しいかどうかを解析します。 P.44 Copyright IBM Internet Security Systems All Right Reserved ISSの強み : Virtual Patchテクノロジー (他社比較) IBM ISSの Virtual PatchTM (脆弱点保護型) 脆弱点を自ら発見して防御処置を行う為、攻撃の事前防御が可能 一つのシグネチャで効率的に防御し、運用負荷軽減 亜種や新手のハッキングにも対応 脆弱点Aを利用した 攻撃 ワームA ・感染 システム 脆弱点A ワームA亜種a ・侵入 ワームA亜種b ・漏洩 Bot ・改竄 ハッキングツール エクスプロイト 他社 Patch (攻撃対応型) 発生した攻撃に対応する為、事後防御となる 一つの脆弱性に複数のシグネチャが必要、運用負荷大 亜種など未検知の可能性もある P.45 Copyright IBM Internet Security Systems All Right Reserved マイクロソフトセキュリティアップデートに対する事前防御実績 (期間:2006年~2008年) MSパッチ番号 MSパッチ 公開日 パッチ公開日 バーチャルパッチ名 バーチャルパッチ 攻撃コード公開日 公開日 パッチ公開日とバーチャルパッチの公開日を比較した結果 •MSパッチ公開日前の事前防御実績値は32% •MSパッチ公開日からVirtual Patch公開日までの期間は2日以内 P.46 Copyright IBM Internet Security Systems All Right Reserved WAF WAF (Web (Web Application Application Firewall) Firewall) Proventiaが提供するWAF機能 Proventia WAF は、Web Application に対する攻撃の約80%をカバーします*実績値 最新XPU 不正通信の拡散 不正通信の拡散 SQL インジェクション SQLインジェクション WAF対応シグネチャー & WWWサーバー クロスサイト・スクリプティング クロスサイト・スクリプティング 従来のシグネチャー 脆弱性を狙った通信 脆弱性を狙った通信 公開された脆弱点に対しての Web Application の割合 IBM X-Force report 2008 2008年発見されている脆弱点の 中で、Web Application の脆弱 点は50%を超えています P.47 Web Application 脆弱点を 狙った攻撃手法の割合 ファイル・インクルード ファイル・インクルード ポリシーエディターイメージ IBM X-Force report 2008 シグネチャベースの防御の為、 運用&ポリシー設定も容易! 2008年ではXSS、SQLインジェ クション、ファイルインクルード の三つで約80%となります。 Copyright IBM Internet Security Systems All Right Reserved WAF WAF (Web (Web Application Application Firewall) Firewall) Webアプリ攻撃を検知、防御が可能 Proventia Network IPS が検知、防御可能なWebアプリの脆弱性を狙った攻撃の一覧 SQLインジェクション PHPファイル・インクルード クロスサイト・スクリプティング サーバー・サイド・インクルード シェルコマンド・インジェクション Web脅威のうち、2009年で最も高い Web脅威のうち、2009年で最も高い 割合(約80%)を占める攻撃(SOCで 割合(約80%)を占める攻撃(SOCで の検知も多数を占める) の検知も多数を占める)※ ※ ※出典:IBM 2009 X-Force Mid-Year Trend & Risk Report ディレクトリ・トラバーサル JSON(JavaScript Object Notation) ハイジャック LDAPインジェクション Ajaxで構築されたWebアプリに対する次世代の 攻撃(数は少ないもののSOCでは検知実績あり) LDAPから不正に情報を取得する攻撃 XPathインジェクション XML検索条件をかく乱する攻撃 CSRF (Cross Site Request Forgery) HTTPレスポンス分割 ***異常なWeb画面遷移、hiddenフィールド値の改ざんについては、対応していません。これは著しくWebアプリケーションに依存し、 一般化が不可能(千差万別)であり、Web脆弱性診断を通じて調査、修正が必要な問題となります。 P.48 Copyright IBM Internet Security Systems All Right Reserved Virtual Virtual Patch Patch for for Servers Servers Windows NT/2000 Serverサポート終了に伴う Proventia Virtual Patchによるセキュリティーリスクの軽減 お客様の課題/要望 ■ Windows NT4.0、2000のサポート終了 Win2000 :メインストリーム :2005 年 6 月 30 日、延長サポート終了:2010 年 7 月 13 日 → サポート終了後、Microsoftよりセキュリティー・パッチが提供されない → サーバー上に開発したアプリケーションの制約上、OSを容易にUpgradeができない → 最新のOSを狙う攻撃でも、 Windows NT/2000に影響を与えるものが発生している Proventia により、サポート切れのWindows OS を保護 Proventia Virtual Virtual Patch Patchにより、サポート切れのWindows OSを保護 バーチャルパッチによるバリア効果 リモートより脆弱性を狙った通信 サーバーファーム Proventia Network IPS Windows NT / 2000サーバー 9 サーバーの前に設置し、脆弱性を持つサーバーを保護 9 個別にサーバーにパッチを当てなくてもネットワーク上でバリア Powered by IBM X-Force* 9 内部からの不正通信の拡散も防御 P.49 Copyright IBM Internet Security Systems All Right Reserved Virtual Virtual Patch Patch for for Servers Servers Virtual Patchの保護範囲とMSパッチ対応実績 (2006-2008) Virtual Virtual Patch対応実績:2006-2008年のMSパッチに対して Patch対応実績:2006-2008年のMSパッチに対して100% ※Win2000関連のMSパッチに限定、また主にクライアントPCを狙う受動的攻撃関連のMSパッチは除外 保護範囲:最もリスクの高いネットワーク経由で行われる攻撃から保護 保護範囲:最もリスクの高いネットワーク経由で行われる攻撃から保護 リモート バーチャル・ パッチで 保護される範囲 ローカル バーチャルパッチで 保護されない範囲 Windows 2000サーバー リモートからの攻撃 (ネットワーク経由) ローカルでの攻撃 (サーバーを直接操作) 物理セキュリ ティーや認証 の強化で守る P.50 MS パッチ 提供数 Virtual Patch 提供数 ネットワーク経由で行 われる攻撃 ■マルウェア(ウィルス,ワーム 等)への感染によるシステムの 停止/改ざん 社外/社内からのハッキング による侵入/改ざん 35件 35件 主にサーバー・ローカ ルで実行される攻撃等 システム管理者による不正行 為 サーバー上でのファイル実行 によるウィルス感染(USBファイ ル経由等) 9件 未 対 応 Copyright IBM Internet Security Systems All Right Reserved Proventiaご参考構成例 – Gigabit Ether network Plan PlanAA::Active-Active構成 Active-Active構成 冗長化ネットワークを HA機能により保護 GX5108 Si Si 基幹システムセグメント 監視 帯域 Plan PlanCC:: シングル構成 シングル構成 冗長化ネットワークを HA機能により保護 GX5108 構成例 Plan PlanBB::Active-StandBy構成 Active-StandBy構成 左右合計で1.2Gbps GX5108 GX5108 Si Si トランキングされた環 境にも対応します GX5108 基幹システムセグメント 左右それぞれで1.2Gbps 上下スイッチ間全体で 1.2Gbps ※このページに含まれるすべてのパフォーマンス・データは、ある特定の条件の動作環境の下で得られたものを一般的な目安として 示しています。他の動作環境におけるパフォーマンスは異なる場合がありますので予めご了承ください。 モデルの選定につきましては、お客様のデータ通信の内容や通信量を確認させていただいた上で、ご提案させていただきます。 P.51 Copyright IBM Internet Security Systems All Right Reserved IBM ポートフォリオへのマッピング リスクの分野 IBM セキュリティー・ソリューション - IBM ISS Intrusion Prevention System (IPS) 製品: Proventia Network IPS、Proventia Server、 RealSecure Server Sensor、Proventia Desktop & Proventia Network Multifunction Security (MFS) -IBM ISS Managed Protection Services for IPS - Tivoli Security Information and Event Manager (TSIEM) Web アプリケーショ -Web application IPS security for Network, Server and MFS ンの脆弱性 -- Managed Protection Services for IPS -Rational Appscan for assessment -Rational Ounce Labs for Source Code Testing -Rational Appscan Enterprise - Tivoli Security Information and Event Manager - Tivoli Security Policy Manager PC の脆弱性 (悪意 - IBM ISS Intrusion Prevention System (IPS) 製品ライン (「脆弱性」の上記の一覧を参照) のある Web エクス - Managed Protection Services for IPS プロイトなど) - Managed Security Services for Web Security - Proventia Web Filter メール ・セキュリティーの提供: スパム - Proventia Network Mail / Lotus Protector - Proventia Multifunction System (MFS) - Managed Security Services for Mail Security 好ましくない Web コ - Proventia MFS ンテンツ - Managed Security Services for Web Security - Proventia Web Filter - Proventia Endpoint Secure Control and Proventia MFS マルウェア - Managed Security Services for Mail and Web Security - Proventia Network Mail / Lotus Protector - Proventia Web Filter 脆弱性 P.52 Copyright IBM Internet Security Systems All Right Reserved IBM X-Force のセキュリティー・リーダーシップ X-Force Trends Report IBM X-Force Trend 統計Report は、インターネット・セキュリティーに影響する脅威のあ らゆる側面に関する統計情報を提供します。 http://www-935.ibm.com/services/us/iss/xforce/trendreports/ X-Force セキュリティー・アラートとアドバイザリー IBM X-Force だけが提供できる事前防御型セキュリティー。これは揺るぎない献身の もと、研究、開発および24 時間体制での世界中の攻撃監視を続けているからです。 http://xforce.iss.net/ X-Force ブログとフィード アラート、アドバイザリー、およびその他のセキュリティー関連情報をリアルタイ ムにアップデートするには、X-Force RSS フィードに登録してください。X-Force アラートとアドバイザリーのフィードにはhttp://iss.net/rss.php で、Frequency X Blogには http://blogs.iss.net/rss.phpで登録できます。 X- Force Threat Analysis Service お客様の環境にカスタマイズされた最新脅威情報の提供をします。 http://www-935.ibm.com/services/us/index.wss/offering/iss/a1026943 P.53 Copyright IBM Internet Security Systems All Right Reserved ご静聴ありがとうございました P.54 Copyright IBM Internet Security Systems All Right Reserved