1 | © 2015, Palo Alto Networks. Confidential and Proprietary. Palo Alto Networks Introduction Nov 2015 金融機関様向け提案のベストプラクティ ス
Agenda 各機能の使い方集
パロアルトネットワークスによる防御方法 Traps (端末 ) 弊社次世代 FW 実装機能 アプリケー ション識別 (+SSL 復号化 ) URL フィル タ アンチ ウイル ス IPS スパイ ウェア ファイル制御 / データフィル タ WildFire (未知のマル ウェア対策) バックドア の確立 リスクが高い アプリをブロッ ク マルウェアサイト への通信ブロック エクスプロイト を ブロック 未知の Emdivi マ ルウェアを検出 Emdivi マルウェ アをブロック エンドユーザー を引っかける 不正コード の実行 バックドアの ダウンロード 情報の搾取 標準ポート使わな い C&C 通信ブロッ ク DNS を変えるマルウ ェアサイトをブロッ ク 出口対策 入口対策 攻撃者 リスクが高い アプリをブロッ ク マルウェアサイト への通信ブロック スパイウェア、 C&C 通信をブロッ ク ファイルの送信 を コントロール 新しい C&C 通信 をブロック スパイウェア、 C&C 通信をブロッ ク 新しい C&C 通信 をブロック 脅威防御 | ©2015, Palo Alto Networks. Confidential and Proprietary. 未知のエクスプ ロイトをブロッ ク 未知のマルウェ アを検出 サイバー攻撃ライフサイクルに基づいて複数ステップでの防御が可能 内部対策
入口対策: 利用可能なアプリケーションの 制限 4 | ©2014, Palo Alto Networks. Confidential and Proprietary. 社内で利用可能なアプリケーションを制御することで、侵入のリスクを低減 入口対策 ユーザが利用可能なアプリケーションをブラックリスト、もしくはホワイト リスト方式により制御を実施。既存の URL フィルタリングのポリシーを元に 制御するのが簡単 ルールが存在しな場合には、可視化による現状把握 > ポリシー検討 > 制御の サイクルを定期的にまわすことからはじめる。 出口対策 アプリケーション識別されない、 Unknown-tcp, Unknown-udp 通信をモニ ターし、通信の中身を確認する。
入口対策:外部から侵入するファイルを制御 5 | ©2014, Palo Alto Networks. Confidential and Proprietary. 社外から持ち込むことが可能なファイルタイプを制御することで、侵入のリスク を低減 入口対策: 許可したファイルタイプ以外は全て遮断ルールを適用することで、外部から の侵入のリスクを低減します。また、許可したファイルタイプは、未知のマ ルウェア対策の Wildfire にて分析を実施 ファイルブロッキング機能は、ファイルの拡張子ではなく、ファイルヘッダ でファイルを識別 WildFire TM
入口対策: IPS / AntiVirus 機能の利用 6 | ©2014, Palo Alto Networks. Confidential and Proprietary. 外部からの不正な通信を IPS 機能で遮断, 既知のマルウェアを AntiVirus 機能で遮 断 入口対策: IPS の利用: クライアント、サーバーサイドの既知の脆弱性攻撃を防御 エクスプロイトキット(クライアントサイドの脆弱性)からの防御 Rig, Sakura, RedKit, Fiesta, Phoenix, Nuclear, Dotka Chef, Gong Da / GonDad 7685 のシグネチャ (2015/11/1 現在 ) シグネチャの配信は定期(週 1) と緊急の2種類があります。 AntiVirus 利用: 自社リサーチ部門、外部情報、 WildFire を情報ソースとし、既知の脅威を防御 シグネチャの配信は1日 1 回実施します
入口・出口対策:国別のアクセス制御 7 | ©2014, Palo Alto Networks. Confidential and Proprietary. 国外からの接続、また、社内から国外への接続を国別に制御する設定が可能 入口対策 : ・ DOS/DDOS 攻撃発生時に送信元に国単位でアクセスを制御することが可能 ・カスタムポリシーを併用することで、国単位で接続数を制御することが可 能 出口対策 : ・社内から外部の通信の接続先を国単位で可視化、制御可能
入口・出口対策: Dynamic Block List 8 | ©2014, Palo Alto Networks. Confidential and Proprietary. 外部のブロックリストを使用することで、不正な IP アドレスからの通信を遮断 入口対策: 不正な IP アドレスのリストを定期的に自動的にダウンロードし、対象の宛先へ の通信を遮断するルールを適用 出口対策: 外部公開サーバーの場合には送信元に指定し、遮断するルールを適用 注意事項 : Dynamic block list に登録できる数に制限があるために、 OpenBL の場合には 7days が最適
出口対策: Unknown 通信の検知・防御 9 | ©2014, Palo Alto Networks. Confidential and Proprietary. 意図しない不正な通信の検知・遮断 出口対策: お客様環境から外部への通信の中で、既存のアプリケーションでは識別できな い通信 (uknown-tcp / uknown-udp) を調査し、業務通信ではない場合、防御ポリ シーを適用 ポート詐称など不正な通信を捕捉することが可能です。
出口対策: AntiSpyware 機能の利用 10 | ©2014, Palo Alto Networks. Confidential and Proprietary. 外部の C&C サーバへの接続を遮断 出口対策: C&C サーバへの接続する通信を検知し、遮断します。 コマンド & コントロール (C&C) 通信とその前に行われる名前解決のトラフィック を検知 / ブロックするための機能 ・ HTTP 等の実トラフィック用シグネチャ ・ DNS トラフィック用シグネチャ WildFire サブスクリプションをご契約のお客様は 15 分間隔で ”DNS トラフィック 用シグネチャ “ を適用することが可能です。 HTTP 等の実トラフィックシグネチャは週1回配信されます。(緊急配信あ り)
出口対策: URL Filtering 11 | ©2014, Palo Alto Networks. Confidential and Proprietary. 外部の危険な Web サイトへの接続を遮断し、侵入のリスクを減らす 出口対策: 以下の URL カテゴリへの接続は遮断し、その他のカテゴリは Alert ログを取得し ます。 Malware / Phishing / dynamic DNS / Proxy-avoidance / Questionable /Parked Weapon / abused-drugs 上記のカテゴリの遮断が難しい場合には、ファイルブロッキングプロファイルと併用し、 該当カテゴリからの ”PE” ファイルのダウンロードを遮断することを推奨します。 ※ PAN-DB のマルウェアカテゴリには、 Paloaltonetworks 社独自のも以外に、 FBI/Infragard/DHS 、 US CERT 、フィシング対策協議会などの第3者からの脅威情報も登録されています。
参考 : フィッシング対策協議会と URL Filtering が連携 12 | ©2013, Palo Alto Networks. Confidential and Proprietary. PAN-DB 開発部門 phishing カテゴリに追加 フィッシングサイト情報収集・分析 PAN-DB フィッシングサイト情報提供 偽サイト 問い合わせ Phishing サイト URL 登録 2015 年 7 月からフィシング対策協議会が収集した Phishing サイト情報を PAN-DB に 取り込む連携を開始
出口対策: SSL 復号化 + URL Filtering 13 | ©2014, Palo Alto Networks. Confidential and Proprietary. 悪意のあるサイトは遮断し、それ以外のサイトは SSL 復号により Deep Scan を実 施 出口対策: URL Filtering をさらに強化する場合には、以下のカテゴリに属する通信を SSL 復号し、内部の通信を検査することを推奨します。これにより、アプリケー ションの細かい制御や SSL 通信内部での既知・未知のマルウェア通信への対策 を実施できます。 SSL 復号を検討する URL カテゴリ Online Storage and Backup / Peer-to-Peer / Social Networking /Web-base / Unknown / Computer and Internet Info SSL 復号の対象から外すカテゴリ Financial Services / Government / Health & Medicine / Legal / Military
SSLサーバ SSL確立 復号 利用例: Proxy の組み合わせによる SSL 復号 5 | ©2015, Palo Alto Networks. Confidential and Proprietary. SSL確立 復号 Proxy Avoidance and Anonymizers / Questionable Malware / Phishing Unknown Online Storage and Backup / Peer to Peer Social Networking 以下のカテゴリに該当する通信を復号対象し、詳細なアプリ識別、 既知・未知のマルウェア対策による悪意のある通信を検知、防御 Google Apps 向けの通信を復号、 Tagを挿入することで社内から通 信のみを許可 Mail Security 対策 Network Security 対策 ・Proxy ・Google Apps 対策 ・Firewall によるアプリ識別・制御 ・脆弱性防御 ・既知・未知のマルウェア対策 SSL非復号 Gmail-baseと識別
未知のマルウェア対策 15 | ©2014, Palo Alto Networks. Confidential and Proprietary. 悪意のある未知のファイル侵入を検知・防御 Firewall を通過する未知のファイルをクラウドリソースを利用して、 5 〜 10 分で 分析を実施します。結果をデバイスにログとしてフィードバックし、もし、マ ルウェア判定の場合には自動的にシグネチャを生成し、世界中のパロアルト ネットワークスの Firewall に 配信します。 使用例: ・最新のシグネチャを 15 分間隔で適用+手動によるファイル分析 ・実行形式ファイルに絞ったクラウドでの検査(業務に関係するファイルは除 外) ・すべてのファイルを分析 WildFire TM シグネチャの共有 AV/URL/AS マルウェア分 析 シグネチャ生 成 未知のファイルを捕 捉
内部対策: Traps 16 | ©2014, Palo Alto Networks. Confidential and Proprietary. Endpoint Security Manager (ESM) Traps エージェント WildFire ESM Server(s) PDF 内部脅威対策: 既存のウィルス対策ソフトで対応できない未知のマルウェアが使用する以下の 攻撃手法を検知・防御します。 ・エクスプロイト (Zero Day 含む脆弱性を突く攻撃) ・悪意のある実行ファイル Zero Day 脆弱性 脆弱性の悪用 悪意のある ファイルの実行 駆除・復旧 対策(パッチ適 用) 感染 (マルウェアの活動開始) ゼロデイも含む、 脆弱性を突く 攻撃の阻止 既知のマルウェア、 未知の実行ファイルの 起動を阻止 マルウェアが行う、 いくつかの危険な振舞いを、 検知し起動している未知の マルウェアを 強制終了 Traps 製品のカバーエリア
17 | © 2015, Palo Alto Networks. Confidential and Proprietary.