WildFire/TRAPS 概要と競合優位性 2015 年 11 月 4 日パロアルトネットワークス合同会社.

WildFire/TRAPS 概要と競合優位性 2015 年 11 月 4 日パロアルトネットワークス合同会社

次世代セキュリティクラウド “WildFire” 脅威情報を利用しインライン防御を提供脅威情報を相関的に分析＆共有: Web 世界 7,500 社以上が利用 WildFire 脅威防御 URLフィルタ All traffic SSL encryption All ports Perimeter All commonly exploited file types 3 rd party data Data center Endpoint Email FTP SMTP アップロードされるユニークなファイル数: 一日当たり約2,000,000 70%がPDF, 12%がWord, PE/EXEが4% そのうち未知含むマルウェア：一日当たり約31,000 発見されたマルウェアのうち 97%がPEフォーマット 30,000 台以上未知の脅威を発見＆フィードバック  マルウェア  エクスプロイト（脆弱性攻撃）  C&C通信  DNSクエリー  マルウェア配信サイト（URL） ※Web/Email/FTP等複数プロトコルに対応未知の脅威を発見＆フィードバック  マルウェア  エクスプロイト（脆弱性攻撃）  C&C通信  DNSクエリー  マルウェア配信サイト（URL） ※Web/Email/FTP等複数プロトコルに対応 5 | ©2015, Palo Alto Networks. Confidential and Proprietary.

WildFire サンドボックス環境 (日本国内も対応可能）マルウェアファイルだけが本社に送信され、対応のシグネチャを生成シグネチャは 15分間隔で世界中のお客様に一斉配信* 未知のファイルはサンドボックス分析のためWildFire™に送信ファイル解析は WildFire で実施サンドボックス分析は数分以内で完了マルウェアが検知されると対象機器にログで通知* “WildFire”動作イメージあくまでクラウド上で実績がない”未知の”ファイルのみが解析対象、解析対象のファイルタイプの指定も可(例えば.exeのみクラウドへ送信等)、ファイルを送信せずシグネチャ配信を受けるだけでもOK! * あくまでクラウド上で実績がない”未知の”ファイルのみが解析対象、解析対象のファイルタイプの指定も可(例えば.exeのみクラウドへ送信等)、ファイルを送信せずシグネチャ配信を受けるだけでもOK! * WildFire TM 6 | ©2015, Palo Alto Networks. Confidential and Proprietary.

WildFire 詳細

WildFireによって提供されるものサンドボックス(クラウド) でのファイルの解析 WildFire TM WF-500 検査サイト, シンクホール, サードパーティからの情報 WildFire 利用ユーザー解析結果に基づく脅威情報の提供 WildFireシグネチャアンチウィルスシグネチャマルウェア DNS 通信マルウェア URL データベースアンチスパイウェア（C&C）シグネチャ 8 | ©2015, Palo Alto Networks. Confidential and Proprietary.

WildFireの機能と必要なライセンス分類機能ライセンス解析サービス PE(実行)ファイル不要 PDF, MS Office, Java, Flash, APKの各ファイル* WildFire E-mailに含まれるリンクURLWildFire データ配信サービス WildFireシグネチャ(15分毎)**WildFire マルウェアシグネチャ(1日)脅威防御(TP) C&C通信ペイロード(1週間)脅威防御(TP) C&C通信URL(1時間)URLフィルタリング(URL) C&C通信DNSシグネチャ(1日)脅威防御(TP) *解析対象ファイルは選択可能 **WildFireのシグネチャ配送間隔時間はさらに短縮予定 9 | ©2015, Palo Alto Networks. Confidential and Proprietary.

WildFireで解析した情報を URL Filteringに反映することが可能 URL Filtering単体でのセキュリティ向上に寄与 WildFire と PAN-DBの連携により URL Filteringの結果を元に生成するBotnet レポートの感染端末のあぶり出し精度向上に寄与未知のマルウェアがアクセスしたURLをマルウェアカテゴリに逐次追加常に最新のマルウェアカテゴリの情報を使って検知するため、侵入された端末の特定精度が向上 WildFire と PAN-DB(URL）の連携による相乗効果 10 | ©2015, Palo Alto Networks. Confidential and Proprietary.

追加ファイルタイプ PDF* Office* Java* Android APK* Adobe Flash* (6.1以降) 分析レポート強化時系列レポートオリジナル検体ファイル＆PCAP のダウンロード IOC連携追加 OS Windows 7 (32/64bit) Android* Windows PE (EXE, DLL 等) Windows XP分析レポート “WildFire”の検査対象従来のバージョン PANOS 6.0以降 *別途ライセンス(WildFire)購入が必要 11 | ©2015, Palo Alto Networks. Confidential and Proprietary.

 マルチバージョン解析  一つのファイルに対して複数のアプリケーションバージョンで解析し、仮想マシン内で実行される徹底的な脅威分析の強化  グレーウエア判定  Malware以外のAdwareなどをGraywareとして判定し迅速に脅威を優先付けを可能に  ハイブリッドクラウド  WildFireクラウドとWF-500への解析をポリシーベースで緻密にコントロール Malware! WF-500 WildFire TM ハイブリッドクラウド Grayware Bot APT Virus Adware Trackware マルチバージョン解析 Acrobat 9 Acrobat 10 Acrobat 11 “WildFire”新機能 - 総合的な脅威分析 - 12 | ©2015, Palo Alto Networks. Confidential and Proprietary.

相関オブジェクト  手動データマイニングの削減  自動的に侵害されたホストを検出  脅威存在痕跡(IoC)の検出  相関オブジェクトは脅威インテリジェンスクラウドによって随時更新されます。外部からの偵察行為侵害されたホスト脆弱性を悪用した攻撃 C&Cへのコールバックマルウエア URLの接続自動相関エンジン Automated Correlation Engine “WildFire”新機能 - 相関分析エンジン - 13 | ©2015, Palo Alto Networks. Confidential and Proprietary.

ユーザーによるマルウエアダウンロード WildFire によるマルウエア解析とレポートファイアウォールは、レポートから振る舞いを抽出し、脅威が存在する痕跡を探します。該当の振る舞いの相関一致をトリガーしたホストを検出 Network WildFire 悪性URLへのアクセス? C&C へのコールバック? 悪性ドメインへの DNSアクセス? 1 2 3 4 1 2 3 4 “WildFire”新機能 - 相関分析エンジン - 14 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Email linkの検査機能  SMTP、POP3に対応（SMTPS、POP3Sの場合は、SSL Decryptionが必要）  該当のリンク（http:// またはhttps:// で始まるURL）  メールのヘッダ情報 [送信者、受信者、件名（オプション設定）]をWildFireクラウドに転送（メール本文はWildFireクラウドに転送されない）  WildFireクラウドが該当のリンクへアクセスし脅威の含まれるwebサイトか否かを検査  該当のwebページにエクスプロイトが含まれる場合にmaliciousと判定し、詳細レポートを作成するまた、PAにWildFireログを送付する（送付したリンク先が、Benignの場合は、WildFireログには表示されない）  Maliciousと判定されたURLは、PAN-DBのmalwareカテゴリーに追加  PAN-OS v6.1ではWildFireクラウドのみ利用可能（WF-500は将来的に対応予定） ※WildFireサブスクリプションが必要 WildFire http://boeing- intra.net/ref?d8ca2 Mail server Compromised host URL Exploit BLOCK 15 | ©2015, Palo Alto Networks. Confidential and Proprietary.

WildFire 競合との差異

Palo Alto Networks + WildFire サンドボックス (F社）サンドボックス (T社）機器次世代ファイアオール＋クラウドサンドボックス(ライセンスのみ）専用機 ※他社セキュリティ専用機＋ InterScan(web,Email)が別途必要動作モードTAP, L1, L2, L3を混在可能TAP, InlineTAP アプリケーション可視化と制御対応 ※ 2,000種類以上+ Uknowアプリ非対応マルウェア検査対象通信 HTTP, SMTP, SMBなどファイル共有含む数多くのアプリ（1台で対応） HTTP, SMTP, File （それぞれ専用機必要） HTTP, SMTP, File （それぞれ専用機必要）インラインでのマルウェア防御対応 InterScan(web,Email)が別途必要既知のマルウェアに対する防御対応非対応対応各種防御機能対応 (Anti-Spyware, IPS/IDS, URL Filter, Data Filter, DNS sinkhole..etc) 非対応 ※別途3party製品との併用・連携が必要対応 InterScan(web,Email)が別途必要機能比較 17 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Palo Alto Networks + WildFire サンドボックス専用解析機器 (F社、T社）提供形態クラウドベース or アプライアンスローカルアプライアンス内拡張性サンドボックスの拡張は、クラウドで適宜行われる為、顧客側での運用負荷や追加コストは発生しない購入した機器で実行できる仮想実行環境の数は機器毎に最大数が決まっているため、解析の負荷が増えると、新たな機器の追加が必要。機器の追加にコストがかかる高負荷時の懸念クラウドで、マルウェアの解析/シグネチャ作成を行うため、FWのパフォーマンスには影響を及ぼさないローカルアプライアンス内のサンドボックスで処理が追いつかない場合、解析対象のファイルでも検査せず素通ししてしまうサンドボックスの運用サンドボックスのバージョンアップ、トラブル対応等の運用はパロアルト社が行うため、顧客に運用の負荷がかからないサンドボックスのバージョンアップ、トラブル対応等の運用は顧客が行うため、運用負荷が高いサンドボックス比較 18 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Palo Alto Networks + WildFireクラウドサンドボックス専用解析機器 (F社、T社）初期費用・1台で柔軟な構成を組むことで導入機器を最小限に出来る・規模が大きくなる場合上位機種で対応可・セキュリティ対策を統合することでコストメリットが出せる（FW＋脅威防御＋WildFire）・Web、Mail、Fileなど別々の機器を導入する必要あり・管理機器やサポートが別途必要・大規模環境の場合、複数台の導入が必要・複数個所で導入する場合、複数台の導入が必要運用費用・導入機器は最小限で済む為、機器の保守費用は、専用機器に比べて格段に抑えることが出来る・1種類の機器で運用できる分、運用に掛かる負荷とコストが少なくて済む・導入した機器台数分、保守費用が発生・運用時に他製品（既存FWやIPS等）との連携による調査・切り分けが発生するため、現状の運用負荷、運用コストがさらに増加する Mail Web 管理コスト比較 19 | ©2015, Palo Alto Networks. Confidential and Proprietary.

WildFire 優位性

WildFireクラウドの優位性 WildFire TM  複数プロトコルのファイル検査に１台で対応可能  Web・SMTP以外に、FTPやファイル共有などに幅広く対応  脅威についての情報（シグネチャ）共有  PAの脅威シグネチャにもWildFireの情報が共有され、AV、C&C、URLなどの既知の脅威として検知ブロック可能  SSL通信も復号して検査が可能  クラウドベース  サンドボックス環境のスケーラビリティと高い拡張性  ファイアウォール上で動作  導入管理が容易  重複送信を避けることができ、帯域消費が少ない 21 | ©2015, Palo Alto Networks. Confidential and Proprietary.

WildFireクラウドの優位性 WildFire TM  低コスト  メール数や検査ファイル数増加によるキャパシティ増への投資を抑制  運用負荷の軽減  メール数やネットワーク通信増加によるキャパシティ増への対応が容易  専門エンジニアによる新しい脅威への分析や対応する検知ロジックの更新が自動的に実施される  新しいファイルタイプ、OSバージョン等に対応するためのメンテナンスが容易 22 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Traps製品詳細

何が脅威なのか？エクスプロイト（脆弱性を突く攻撃）細工されたデータファイルであり、正規のアプリケーションによって読み込まれ、処理される  正規のアプリケーションにある、悪意のあるプログラムを実行する脆弱性を悪用する  正規のアプリケーションをだまし、攻撃者のプログラムを実行させる  小さいプログラム悪意のある実行ファイル実行形式のファイル（.exe)で送られてくる攻撃用のプログラム アプリケーションにある脆弱性に依存しない すぐに実行される－コンピュータを乗っ取ることが目的 大きいプログラムエクスプロイトと悪意のある実行ファイル－何が違うのか？ 24 | ©2015, Palo Alto Networks. Confidential and Proprietary.

よくあるサイバー攻撃の推移早い段階で攻撃を止めることが重要！ Traps のエクスプロイト・マルウェア防御は、悪意のある行動が始まる前に攻撃を止めることが可能！防止的なコントロール反応的なコントロール攻撃計画の立案情報収集ユーザに悟られずに感染エクスプロイトの悪用マルウェアは攻撃者と通信制御チャネルの確立悪意のあるファイルを実行マルウェアの実行データ盗難、妨害行為、破壊活動データの奪取 25 | ©2015, Palo Alto Networks. Confidential and Proprietary.

 事前の知識が必要  スキャン対行為に焦点  リバースエンジニアが可能  悪意のある活動は、検知を無効化することも含む  対処・修復には多大な労力がかかる  雑音が多く、検知自体が見逃される  全てのコンテンツが見れるわけではない  エンドポイント上の感染行為は見えない  正当な通信上で行われる悪意のある活動の遮断は困難  あらゆる環境を模擬実行できるわけではない  エミュレーションをマルウェアは見抜くことができる  エンドポイントで、対処を強制できないアドバンストエンドポイントプロテクション– なぜ必要か？今までの検知検知と対処・修復ネットワーク層のセキュリティ対策クラウド型のエミュレーション 84% 第三者によって通知された攻撃の割合 225 標的型攻撃を検知するまでにかかる平均日数今日の厳し現実検知だけにたよるのは正しい戦略ではない 26 | ©2015, Palo Alto Networks. Confidential and Proprietary.

高度なサイバー攻撃に対峙するための正しい方法  エクスプロイトを阻止 – ゼロデイエクスプロイトを含む  悪意のある実行ファイルを阻止 – 高度かつ未知のマルウェアを含む  攻撃試行の証拠を収集 – 後の解析に必要となる証拠取得  拡張性、軽快性、フルカバレッジ – 最小限のユーザインパクトで、全てのアプリケーションに保護を適用  ネットワーク・クラウドセキュリティとの統合 – 脅威データの共有と、組織間をまたいだ保護の提供アドバンストエンドポイントプロテクション PDF 27 | ©2015, Palo Alto Networks. Confidential and Proprietary.

核となるテクニックの遮断 – 個々の攻撃ではない毎年現れる新たな種類の数個々の攻撃ソフトウェアの脆弱性を突くエクスプロイト数千もの新たな脆弱性とエクスプロイト 1,000 ～核となるテクニック脆弱性の攻撃に使う、核となるテクニック 2～4個の新しいテクニック 2-4 マルウェア数百万以上の新種・亜種のマルウェア 1,000,000 ～マルウェアのテクニック数十の新しいマルウェアが行う行為 ~10 28 | ©2015, Palo Alto Networks. Confidential and Proprietary.

エクスプロイト攻撃悪意のある活動を開始通常アプリケーションの起動ヒープスプレー DEPの回避 OS機能の利用隙間は脆弱性を表す  キーロガーを仕掛ける  重要なデータの盗難  などなど・・・ 2.PDFが開かれ、Acrobat Readerの脆弱性を突く、エクスプロイト・テクニッックが作動する 1.エクスプロイトの試みは、知り合いから送られたPDFに埋め込まれている 3. エクスプロイトは、ウイルス対策を回避し、マルウェアの起爆剤をターゲットに落とす 4. マルウェアはウイルス対策を回避し、メモリ上で稼働するエクスプロイトテクニック 29 | ©2015, Palo Alto Networks. Confidential and Proprietary.

通常アプリケーションの起動 Traps Exploit Prevention Modules (EPM) 1.エクスプロイトの試みを遮断。脆弱性についての事前知識は不要。 Traps EPM エクスプロイトテクニック悪意のある活動は起こらないエクスプロイト攻撃 2.PDFが開かれ、Acrobat Readerの脆弱性を突く、エクスプロイト・テクニッックが作動する 1.エクスプロイトの試みは、知り合いから送られたPDFに埋め込まれている 3. エクスプロイトは、ウイルス対策を回避し、マルウェアの起爆剤をターゲットに落とす 4. マルウェアはウイルス対策を回避し、メモリ上で稼働する 30 | ©2015, Palo Alto Networks. Confidential and Proprietary.

通常アプリケーションの起動 Traps Exploit Prevention Modules (EPM) 1.エクスプロイトの試みを遮断。脆弱性についての事前知識は不要。 2.管理者がEPMの１つを無効した場合、最初のテクニックは成功するが、次のテクニックが遮断され、悪意のある行動は阻止される Traps EPM エクスプロイトテクニック悪意のある活動は起こらないエクスプロイト攻撃 2.PDFが開かれ、Acrobat Readerの脆弱性を突く、エクスプロイト・テクニッックが作動する 1.エクスプロイトの試みは、知り合いから送られたPDFに埋め込まれている 3. エクスプロイトは、ウイルス対策を回避し、マルウェアの起爆剤をターゲットに落とす 4. マルウェアはウイルス対策を回避し、メモリ上で稼働する DEPの回避 31 | ©2015, Palo Alto Networks. Confidential and Proprietary.

攻撃の連鎖のひとつを阻止できれば、攻撃全体を止めることができるエクスプロイト防御ケーススタディ既知のテクニックを使う、未知のエクスプロイト DLL Security Internet Exploreのゼロデイ脆弱性 CVE-2013-3893 ヒープスプレー DEPの回避 UASLR ROP / OS機能の利用 ROP Mitigation/ DLL Security Adobe Reader CVE-2013-3346 ヒープスプレー Memory Limit Heap Spray Check and Shellcode Preallocation DEPの回避 UASLR OS機能の利用 DLL Security Adobe Flash CVE-2015- 0310/0311 ROP Mitigation JiT スプレー JIT Mitigation OS機能の利用 DLL Security Memory Limit Heap Spray Check 32 | ©2015, Palo Alto Networks. Confidential and Proprietary.

エクスプロイト防御 – ユーザの体験ユーザにより、エクスプロイトが仕掛けられたドキュメントが開かれる Trapsは、起動するアプリケーションのプロセスに、シームレスに組み込まれるエクスプロイトテクニックが試行され、Trapsは、悪意のある活動が行われる前に、その試行を遮断するエクスプロイトが試行されると、エクスプロイトは罠にかかり、悪意のある活動を行うことを阻止される Traps Trapsはイベントは通知し、詳細なフォレンジックデータを収集するユーザ、管理者に通知 PDF プロセスを終了フォレンジックデータを取得    33 | ©2015, Palo Alto Networks. Confidential and Proprietary.

全ての局面で、悪意のある実行ファイルを阻止 WildFireの確認と解析マルウェアテクニックの抑止高度な実行制御場所、デバイス、子プロセス、署名の有無などから実行を制御し、攻撃を受ける面を縮小ハッシュ制御により、柔軟なシステム強化を提供クラウドベースの脅威インテリジェンスを使った動的な脅威解析 WildFireによって特定された悪意のあるファイルの内、 61%が、上位6社の企業向けウイルス対策製品で検知不可未知のマルウェアをテクニックベースの抑止策で検出、阻止 (例：スレッドインジェクション) 34 | ©2015, Palo Alto Networks. Confidential and Proprietary.

悪意のある実行ファイルを止める正しい方法ユーザが実行ファイルを開こうとする制限と実行ファイルルール WildFireに対するハッシュの問合せマルウェア･テクニックの実行を阻止 WildFire ESM フォレンジックデータの確保未知 ? EXE 良性悪性例えば・・・子プロセスか? スレッドインジェクション? 制限されたフォルダやデバイスか? 休止モードのプロセス作成? 保護実行を阻止  35 | ©2015, Palo Alto Networks. Confidential and Proprietary.

OS機能の利用JITヒープスプレー子プロセス未署名の実行ファイル制限された場所管理者によって設定された判定 WildFireの既知の判定オンデマンドの解析インジェクションの行為を遮断 Traps マルウェア防御例：攻撃の流れの中にあるTrapsの阻止ポイント送付エクスプロイトダウンロードと実行実行制限１実行制限２実行制限３ローカルの判定結果 WildFireの判定結果確認 WildFireの解析悪意のある活動スレッドインジェクションインテリジェンスとエミュレーション Traps エクスプロイト防御高度な実行制御振舞い防御メモリ破損ロジックの欠陥 4 4 5 5 6 6 7 7 8 8 9 9 10 エクスプロイトテクニック１エクスプロイトテクニック２エクスプロイトテクニック３ 1 1 2 2 3 3 36 | ©2015, Palo Alto Networks. Confidential and Proprietary.

 タイムスタンプ  トリガしたファイル（非実行ファイル）  ファイルのソース（元）  関与したURL / URI  阻止した攻撃技法（エクスプロイトテクニック）  IPアドレス  OSのバージョン  攻撃を受けた脆弱なソフトウェアのバージョン  攻撃されたプロセスの配下でメモリー上に展開された全コンポーネント  フルメモリダンプ  更なるメモリ領域の破壊行為の予兆  ユーザ名とコンピュータ名継続的な証跡収集と攻撃トリガの証跡収集継続記録攻撃関連のフォレンジックエクスプロイト、マルウェアが罠にかかり、リアルタイムの遮断をトリガすべてのファイル実行  実行日時  ファイル名  ファイルのハッシュ値  ユーザ名  コンピュータ名  IPアドレス  OSのバージョン  疑わしいファイルの履歴 37 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Endpoint Security Manager (ESM) 3層の管理サーバ構成  ESM コンソール  データベース  ESM サーバ (ESM サーバ毎に50,000台までサポート – 複数のサーバに拡張可能 ) オールインワンの管理センター  コンフィグレーション管理  ログ記録とデータベース検索  管理者ダッシュボードとセキュリティオーバービュー  フォレンジック記録  インテグレーション設定 Endpoint Security Manager (ESM) WildFire External Logging Platform ESM Server(s) Endpoints Running Traps Forensic Folder(s) 38 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Traps によるエクスプロイト防御ケーススタディ #1 実際にあった Adobe Flash のゼロディ攻撃に対して有効だったのか？ DLL Security Adobe Flash CVE-2015-5119 JiT スプレー JIT Mitigation OS機能の利用 DLL Security 2015 年 7 月 6 日、捜査機関向けの市民監視ツールを手掛けるイタリア企業 Hacking Team から 200GB の情報が流出し、攻撃者が Twitter 上に公開この攻撃は Adobe Flash に潜むゼロディ脆弱性を利用して実行されたことが判明、この脆弱性は Internet Explorer や Chrome をはじめとする主要な Web ブラウザ全てに影響があることが分かった Adobe はこれを受けて、 7 月 7 日に声明を発表、脆弱性を修正するアップデートを 7 月 8 日にリリースしたが、その後上記とは別に更に 2 件の Flash の脆弱性（ CVE-2015-5122 、 CVE-2015- 5123 ）が存在することを明らかにした Traps のエクスプロイト防御であれば防御可能であった 39 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Traps のエクスプロイト防御であれば全て防御可能 Traps によるエクスプロイト防御ケーススタディ #2 その他の過去の脆弱性に対して有効だったのか？ DLL Security Internet Exploreのゼロデイ脆弱性 CVE-2013-3893 ヒープスプレー DEPの回避 UASLR ROP / OS機能の利用 ROP Mitigation/ DLL Security Adobe Reader CVE-2013-3346 ヒープスプレー Memory Limit Heap Spray Check and Shellcode Preallocation DEPの回避 UASLR OS機能の利用 DLL Security Adobe Flash CVE-2015- 0310/0311 ROP Mitigation JiT スプレー JIT Mitigation OS機能の利用 DLL Security Memory Limit Heap Spray Check 40 | ©2015, Palo Alto Networks. Confidential and Proprietary.

セキュリティ専門企業 Stonebeat Security 社にて、実際にツールを作成してエクスプロイトを実施したところ、 11 種類の脆弱性攻撃すべてをブロックした Traps によるエクスプロイト防御ケーススタディ #3 脆弱性診断専門エンジニアによるペンテストに対して有効か？ Block 率 100 ％ 41 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Traps によるエクスプロイト防御ケーススタディ #4 Carbanak:銀行ネットワークで新たな攻撃方法を実践！行員のすべての行動を監視フィッシングメール word、CPL形式ファイル添付キャッシュアウト PCの遠隔操作 Ammy-admin のダウンロード or ssh server 送金担当者の端末探索 -> 侵入・操作・監視監視ビデオの管理者権限を取得感染 – Carbanak back door C&C サーバ宛にビデオファイル送信攻撃者は、スピアフィッシングの手口を使って行員のコンピュータに、Microsoft Wordの脆弱性を突く攻撃を埋め込んだファイルを送付。行員がファイルを開くことで、マルウェアの「Carbanak」に感染し、そこから社内ネットワークに侵入。管理者のコンピューターを突き止め、送金システムを担当する行員の画面をすべて盗み見て記録する。この手口で送金の仕組みを把握すると、行員を装って送金の手続きを行い、自分たちの口座に現金を振り込ませていた。キャッシュアウトの方法は複数に及ぶ。被害者：欧州、ロシア、米国、中国など 30地域で約100行の銀行や電子決済システム The Great Bank Robbery: the Carbanak APT https://securelist.com/files/2015/02/Carbanak_APT_eng.pdf https://securelist.com/blog/research/68732/the-great-bank-robbery-the-carbanak-apt/ ドライブバイダウンロード攻撃 2015/2/16にカスペルスキー社が発表 42 | ©2015, Palo Alto Networks. Confidential and Proprietary.

参考：Carbanak で利用された脆弱性脆弱性影響を受ける製品 Traps 対応 Office 2003 SP3 Office 2007 Office 2007 SP1 Office 2007 SP2 Office 2007 SP3 Office 2010 Office 2010 SP1 Office 2010 SP2 CVE-2012-0158 ○--○○○○× 阻止可能 CVE-2013-3906 ○---○-○○ 阻止可能 CVE-2014-1761 ○---○-○○ 阻止可能脆弱性影響を受ける製品 Traps 対応 Java 1.4Java 5Java 6Java 7Java 8 CVE-2012-1723 〜 1.4.2_37 〜 Update 35 〜 Update 32 〜 Update 4 × 阻止可能 CVE-2013-1493 - 〜 Update 40 〜 Update 41 〜 Update 15 × 阻止可能 CVE-2013-2423 --- 〜 Update 17 × 阻止可能 Microsoft Wordの脆弱性を突く、添付ファイルドライブ・バイ・ダウンロード攻撃で利用されたRedKit Exploit Kit ※ 影響を受ける製品の項目に「-」と入っている場合、その製品バージョンが脆弱性発見時に、サポートが終了しており、確認がとられていないことを意味します。影響を受けないという意味ではございません。 43 | ©2015, Palo Alto Networks. Confidential and Proprietary.

TRAPSの優位性

Trapsの優位性  防御範囲の優位性  脅威対策として、既知だけでなく未知のエクスプロイトやマルウェアに対して効力を発揮し、脆弱性攻撃やマルウェア感染から端末を保護することが可能。 ※第３者機関による検証にて、今年発見された脆弱性を100%防御。  WildFireとの連携による優位性  既知の脅威だけではなく、未知の脅威についてはクラウドを活用してリアルタイムに分析を行い、結果を自動的な防御にフィードバックすることで未知の脅威を防止。  ポリシー制御の優位性  アプリケーション（プロセス）やユーザーごとに有効となる脅威防御モジュールを柔軟に設定可能であり、強固なセキュリティを保持したまま誤検知/過検知に対する対策が可能。  実行制御の優位性  エクスプロイトやマルウェアの検査だけではなく、アプリケーションの動作をプロセス単位で制御することが可能であり、脅威や感染につながる可能性のある動作を阻止することが可能。  動作環境での優位性  Trapsはシグニチャを持っておらず、シグニチャファイル更新やファイルスキャンを実施しない為、CPU、メモリ等のシステム負荷がほとんど発生しません。その為、他のエンドポイント管理、保護製品等との共存が容易で、高いユーザビリティを提供可能。 45 | ©2015, Palo Alto Networks. Confidential and Proprietary.

防御範囲での優位性

WildFireとの連携による優位性

次世代ファイアウォールと、 Traps を組み合わせた標的型攻撃対策脆弱性を突く攻撃マルウェアゼロデイエクスプロイトゼロデイマルウェア FW で検査できないマルウェア FW で検査できないエクスプロイト入り口対策出口対策エンドポイントに届いた未知の検体をアップロード解析で得られたシグネチャを、更なる防御へフィードバック解析で得られた URL 等の情報を更なる検出・防御のためにフィードバック既知のマルウェア配布サイトへのアクセス既知の C&C サーバへのアクセスマルウェアが行うような通信パターン 51 | ©2015, Palo Alto Networks. Confidential and Proprietary.

ポリシー制御の優位性

実行制御での優位性

悪意のある実行ファイルを止める正しい方法ユーザが実行ファイルを開こうとする制限と実行ファイルルール WildFireに対するハッシュの問合せマルウェア･テクニックの実行を阻止 WildFire ESM フォレンジックデータの確保未知 ? EXE 良性悪性例えば・・・子プロセスか? スレッドインジェクション? 制限されたフォルダやデバイスか? 休止モードのプロセス作成? 保護実行を阻止  場所、デバイス、子プロセス、署名の有無などから実行を制御し、攻撃を受ける面を縮小ハッシュ制御により、柔軟なシステム強化を提供 59 | ©2015, Palo Alto Networks. Confidential and Proprietary.

動作環境での優位性

サポート範囲とシステム要件サポートされるOSフットプリント Workstations – 物理及び仮想  Windows XP SP3  Windows Vista SP2  Windows 7  Windows 8 / 8.1 Servers – 物理及び仮想  Windows Server 2003 (+R2) SP2  Windows Server 2008 (+R2)  Windows Server 2012 (+R2)  25 MB RAM  0.1% CPU  スキャンなしアプリケーションの範囲  デフォルトポリシー：100以上のプロセス  新しいプロセスの自動検出  あらゆるアプリケーションを保護既存環境にほとんど影響のない軽い負荷 61 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Tanium ソリューションエリア Tanium は既存のツールでは出来ない方法で支援します監査＆コンプライアンス  従来のデータ収集に掛かる時間への依存を削減でき、監査により質の高い情報を提供できます  15 分程のトレーニングでデータ収集ができるようになりますので、単独で情報収集が可能になります  従来のデータ収集に掛かる時間への依存を削減でき、監査により質の高い情報を提供できます  15 分程のトレーニングでデータ収集ができるようになりますので、単独で情報収集が可能になります情報の保護  大規模な企業ネットワークを跨って慎重に扱う必要があるヘルスケアや金融情報を把握  慎重に扱うべき情報を管理するため、厳密な内部規制やレギュレーション要件を超える対応  大規模な企業ネットワークを跨って慎重に扱う必要があるヘルスケアや金融情報を把握  慎重に扱うべき情報を管理するため、厳密な内部規制やレギュレーション要件を超える対応インシデントレスポンス  問題解決に結びつく適切なデータの収集とその対処をリアルタイムに実施  ドラスティックにコストを削減、インシデントの対応時間を時間から分に短縮  問題解決に結びつく適切なデータの収集とその対処をリアルタイムに実施  ドラスティックにコストを削減、インシデントの対応時間を時間から分に短縮管理されていない資産の検知  危険な管理されていないマシンがネットワークに接続するとリアルタイムに通知される  限定されたネットワークへのアクションの実施やリソースへのアクセス制限により、管理されていない資産によるリスクを即座に低減  危険な管理されていないマシンがネットワークに接続するとリアルタイムに通知される  限定されたネットワークへのアクションの実施やリソースへのアクセス制限により、管理されていない資産によるリスクを即座に低減ソフトウェアライセンス管理  インストールされているアプリケーションの使用状況を取得  通常、使われていないアプリケーションを見直すことで、劇的にソフトウェア・ライセンスコストの削減を実現  インストールされているアプリケーションの使用状況を取得  通常、使われていないアプリケーションを見直すことで、劇的にソフトウェア・ライセンスコストの削減を実現ソフトウェアの配布とパッチ管理  オペレーション・システムのパッチや３ rd パーティーの Update を全てのエンドポイントにリアルタイムに配布 See www.tanium.com/solutions for more information 64 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Traps と Tanium のポジショニングの位置づけ Palo Alto Networks Traps は、攻撃者からの攻撃に使われる手法を検知し、インシデント発生を予防する製品 Tanimum Endpoint Platform は、 IOC をすばやく検索し、感染から復旧をさせる、インシデント発生後に使う製品脆弱性の悪用悪意のあるファイルの実行駆除・復旧対策（パッチ適用）感染（マルウェアの活動開始） Traps Tanium ゼロデイも含む、脆弱性を突く攻撃の阻止既知のマルウェア、未知の実行ファイルの起動を阻止マルウェアが行う、いくつかの危険な振舞いを、検知し起動している未知のマルウェアを強制終了マルウェアに感染している可能性を示す痕跡（ IOC ）を検知マルウェアの痕跡情報に従い、一致する痕跡、ファイルを削除ソフトウェアの管理規定に対し、違反している場合、パッチ等を適用 65 | ©2015, Palo Alto Networks. Confidential and Proprietary.

ユースケース： Palo Alto Networks とのインテグレーション Capture Malware マルウェア感染の確認 © 2014 Tanium Inc. All Rights Reserved. Palo Alto Networks WildFire Tanium IOC Detect Palo Alto WildFire がネットワークに入り込んだマルウェアをキャプチャー。 Tanium はマルウェア・アクティビティ・レポートを入手するために WildFire にポーリング。 Taium はレポートを標準 IOC フォーマットに変換。 Tanium はターゲットシステムが実際の感染のサインを示しているかを自動的に確認。 Detect Malware IOC ﾘﾎﾟｼﾞﾄﾘｨネットワークセキィリティツールの課題の一つとして、必要されるエンドポイントのコンテキストが乏しいという問題を抱えています。 66 | ©2015, Palo Alto Networks. Confidential and Proprietary.

WildFire/TRAPS 概要と競合優位性 2015 年 11 月 4 日パロアルトネットワークス合同会社.

Similar presentations

Presentation on theme: "WildFire/TRAPS 概要と競合優位性 2015 年 11 月 4 日パロアルトネットワークス合同会社."— Presentation transcript:

Similar presentations

About project

フィードバック

ログインする

Auth with social network:

WildFire/TRAPS 概要と競合優位性 2015 年 11 月 4 日 パロアルトネットワークス合同会社.

Similar presentations

Presentation on theme: "WildFire/TRAPS 概要と競合優位性 2015 年 11 月 4 日 パロアルトネットワークス合同会社."— Presentation transcript:

Similar presentations

About project

フィードバック

WildFire/TRAPS 概要と競合優位性 2015 年 11 月 4 日パロアルトネットワークス合同会社.

Presentation on theme: "WildFire/TRAPS 概要と競合優位性 2015 年 11 月 4 日パロアルトネットワークス合同会社."— Presentation transcript: