WildFire/TRAPS 概要と競合優位性 2015 年 11 月 4 日 パロアルトネットワークス合同会社.

Slides:



Advertisements
Similar presentations
1 | © 2015, Palo Alto Networks. Confidential and Proprietary. Palo Alto Networks Introduction Nov 2015 金融機関様向け提案のベストプラクティ ス.
Advertisements

Internet Explorer 障害解析 最初の一歩 - IE のトラブルを理解する -. 概要 Internet Explorer を使用中に発生するトラブルの 種類と、調査のための切り分け方法を紹介します! (以降は IE と略称で表記します) よくあるお問い合わせ Web ページの表示が白画面のまま完了しない.
1 製品説明 プレゼンテーション FortiAPの優位性 プロダクトラインナップのご紹介 プレゼンで ソリューションの特長を 伝えましょう.
1 会社名: 氏名: 日付: 会社名: 氏名: 日付:. 2 内容 企業のセキュリティ対策状況 ユーザー管理の重要性 ユーザー管理製品 市場状況 Active Directory とは Active Directory 利用に最低限必要な準備 ユーザー管理のご提案内容 最初の取り組み:ユーザー情報の統合管理.
Curlの特徴.
BOM for Windows セキュリティログ監視キット ファイル・アクセスログ収集ソリューション
Global Ring Technologies
The Enterprise-class Monitoring Solution for Everyone
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
最新ファイルの提供を保証する代理FTPサーバの開発
HG/PscanServシリーズ Acrobatとなにが違うのか?
Android と iPhone (仮題) 情報社会とコンピュータ 第13回
Ad / Press Release Plan (Draft)
Novell ZENworks Desktop Management Starter Campaign
受動的攻撃について Eiji James Yoshida penetration technique research site
IGD Working Committee Update
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
ここに若林の絵が入る Ⅰ 従来型サービスの課題 Ⅴ Solaris基盤ヘルスチェックサービス ●従来型サービス Ⅱ 新サービスの概要
SharePoint Server において 構成ウィザードが失敗する場合の トラブルシューティング
Zeusの動作解析 S08a1053 橋本 寛史.
電子社会設計論 第11回 Electronic social design theory
Microsoft Office Project 2007
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
既存のBPOS のお客様のBPOS から Office 365 への切替
「コンピュータと情報システム」 07章 インターネットとセキュリティ
会社名: 氏名: 日付:.
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
於:県立中村高等学校 同朋学園本部事務局 河邊憲二
~スマートフォン利用~ 店舗管理システムのご提案 サイボウズ中国.
サーバー立ち上げ記 2009/5/23
映像で知る情報セキュリティ ~標的型攻撃対策(従業員編)~
サスペンドした仮想マシンの オフラインアップデート
第8章 Web技術とセキュリティ   岡本 好未.
クラウド型メールセキュリティゲートウェイ
情報基盤センター 分散システムセキュリティ支援掛 2000年4月18日
九州大学キャンパスクラウド 利用法 情報ネットワーク特論 講義資料.
DNSトラフィックに着目したボット検出手法の検討
Cisco Router GUI設定 CCPE3.2 紹介 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
7. セキュリティネットワーク (ファイアウォール)
NASのアクセス履歴を記録・検索できる! マイナンバー制度対応のファイルサーバー(NAS)ログ管理ソフト
サイバーセキュリティ バッファオーバフロー
表紙.
Why SonicWall? ~SonicWall UTM製品が選ばれる3つの理由~ 特許技術の”RFDPI” マルチコアアーキテクチャ
セキュリティ 05A2013 大川内 斉.
実行時情報に基づく OSカーネルのコンフィグ最小化
Cisco Umbrella のご紹介 2018 年 1 月.
すぐできるBOOK -基本設定編-.
VIRUS.
Internet広域分散協調サーチロボット の研究開発
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
日本郵便 「Web-EDI」利用ガイド (JP EDIシステム)
SonicWall UTM + “Capture”
未使用メモリに着目した 複数ホストにまたがる 仮想マシンの高速化
DNSクエリーパターンを用いたOSの推定
F-Secure Mobile Security Ver.17 インストールガイド V5.1
目次. 目次 バージョンアップガイドについて リリース日 バージョン情報 2011年9月26日 (月) バージョンアップガイドの内容 バージョンアップガイドはNIコンサルティングの製品に関する最新のリリースをまとめた統合的なユーザーガイドです。新機能や機能強化の内容、その導入に必要な情報を提供します。最新の機能を利用するガイドとしてお役立てください。
すべて読む Microsoft SharePoint ニュース
Intel SGXを用いた仮想マシンの 安全な監視機構
軽量な仮想マシンを用いたIoT機器の安全な監視
片方向通信路を含む ネットワークアーキテクチャに於ける 動的な仮想リンク制御機構の設計と実装
インターネットに接続できない環境下にあるLAN DISKも LAN内で状態管理可能に! 新登場!
ネットワークをシンプルにする エンタープライズ NFV
SonicWall UTM + “Capture”
PA PAX パスポート・アドバンテージ パスポート・アドバンテージ PA パスポート・アドバンテージ・エクスプレス PAX +
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
サイバー攻撃シミュレーション サービス Cisco Cyber Range (シスコ サイバー レンジ)サービス
Microsoft® Office® 2010 トレーニング
SD-WAN-インターネットブレイクアウト-
Cisco Umbrella セミナー 第1回 Umbrella概要と機能.
Cisco Umbrella セミナー 第4回 Umbrella 設定概要.
Presentation transcript:

WildFire/TRAPS 概要と競合優位性 2015 年 11 月 4 日 パロアルトネットワークス合同会社

本日のアジェンダ  WildFire  基本情報  WildFire 詳細  競合との差異  WildFireの優位性  TRAPS  製品詳細  優位性について 2 | ©2013, Palo Alto Networks. Confidential and Proprietary.

WildFire 基本情報 3 | ©2013, Palo Alto Networks. Confidential and Proprietary.

パロアルトネットワークスの 次世代セキュリティプラットフォームとWildFire NATIVELY INTEGRATED EXTENSIBLE AUTOMATED セキュリティ クラウド 次世代ファイアウォー ル アドバンスド エンドポイントプロテクション WildFire 4 | ©2015, Palo Alto Networks. Confidential and Proprietary.

次世代セキュリティクラウド “WildFire” 脅威情報を利用し インライン防御を提供 脅威情報を相関的に分析&共有: Web 世界 7,500 社以上が利用 WildFire 脅威防御 URLフィル タ All traffic SSL encryption All ports Perimeter All commonly exploited file types 3 rd party data Data center Endpoint FTP SMTP アップロードされるユニークなファイル数: 一日当たり 約2,000,000 70%がPDF, 12%がWord, PE/EXEが4% そのうち未知含むマルウェア: 一日当たり 約31,000 発見されたマルウェアのうち 97%がPEフォーマット 30,000 台以上 未知の脅威を発見&フィードバック  マルウェア  エクスプロイト(脆弱性攻撃)  C&C通信  DNSクエリー  マルウェア配信サイト(URL) ※Web/ /FTP等複数プロトコルに対応 未知の脅威を発見&フィードバック  マルウェア  エクスプロイト(脆弱性攻撃)  C&C通信  DNSクエリー  マルウェア配信サイト(URL) ※Web/ /FTP等複数プロトコルに対応 5 | ©2015, Palo Alto Networks. Confidential and Proprietary.

WildFire サンドボックス環境 (日本国内も対応可能) マルウェアファイルだけ が 本社に送信され、対応のシ グネチャを生成 シグネチャ は 15分間隔で世界中の お客様に一斉配信* 未知のファイルは サンドボックス分析の ためWildFire™に送信 ファイル解析は WildFire で実施 サンドボックス分析は数分以内で完了 マルウェア が検知されると 対象機器にログで通知* “WildFire”動作イメージ あくまでクラウド上で実績がない”未知の”ファイルのみが解析対象、 解析対象のファイルタイプの指定も可(例えば.exeのみクラウドへ送信等)、 ファイルを送信せずシグネチャ配信を受けるだけでもOK! * あくまでクラウド上で実績がない”未知の”ファイルのみが解析対象、 解析対象のファイルタイプの指定も可(例えば.exeのみクラウドへ送信等)、 ファイルを送信せずシグネチャ配信を受けるだけでもOK! * WildFire TM 6 | ©2015, Palo Alto Networks. Confidential and Proprietary.

WildFire 詳細

WildFireによって提供されるもの サンドボックス(クラウド) でのファイルの解析 WildFire TM WF-500 検査サイト, シンクホール, サードパーティからの情報 WildFire 利用ユーザー 解析結果に基づく 脅威情報の提供 WildFireシグネチャ アンチウィルスシグネチャ マルウェア DNS 通信 マルウェア URL データベース アンチスパイウェア(C&C)シグネチャ 8 | ©2015, Palo Alto Networks. Confidential and Proprietary.

WildFireの機能と必要なライセンス 分類機能ライセンス 解析サービス PE(実行)ファイル不要 PDF, MS Office, Java, Flash, APKの各 ファイル* WildFire に含まれるリンクURLWildFire データ配信 サービス WildFireシグネチャ(15分毎)**WildFire マルウェアシグネチャ(1日)脅威防御(TP) C&C通信ペイロード(1週間)脅威防御(TP) C&C通信URL(1時間)URLフィルタリング(URL) C&C通信DNSシグネチャ(1日)脅威防御(TP) *解析対象ファイルは選択可能 **WildFireのシグネチャ配送間隔時間はさらに短縮予定 9 | ©2015, Palo Alto Networks. Confidential and Proprietary.

WildFireで解析した情報を URL Filteringに反映することが可能 URL Filtering単体での セキュリティ向上に寄与 WildFire と PAN-DBの連携により URL Filteringの結果を元に生成するBotnet レポートの 感染端末のあぶり出し精度向上に寄与 未知のマルウェアがアクセスしたURLを マルウェアカテゴリに逐次追加 常に最新のマルウェアカテゴリの情報を使って検知するため、 侵入された端末の特定精度が向上 WildFire と PAN-DB(URL)の連携による相乗効果 10 | ©2015, Palo Alto Networks. Confidential and Proprietary.

追加ファイルタイプ PDF* Office* Java* Android APK* Adobe Flash* (6.1以降) 分析レポート強化 時系列レポート オリジナル検体 ファイル&PCAP のダウンロード IOC連携 追加 OS Windows 7 (32/64bit) Android* Windows PE (EXE, DLL 等) Windows XP分析レポート “WildFire”の検査対象 従来のバージョン PANOS 6.0以降 *別途ライセンス(WildFire)購入が必要 11 | ©2015, Palo Alto Networks. Confidential and Proprietary.

 マルチバージョン解析  一つのファイルに対して複数のアプリケーション バージョンで解析し、仮想マシン内で実行される 徹底的な脅威分析の強化  グレーウエア判定  Malware以外のAdwareなどをGraywareとして 判定し迅速に脅威を優先付けを可能に  ハイブリッドクラウド  WildFireクラウドとWF-500への解析をポリシー ベースで緻密にコントロール Malware! WF-500 WildFire TM ハイブリッド クラウド Grayware Bot APT Virus Adware Trackware マルチバージョン解析 Acrobat 9 Acrobat 10 Acrobat 11 “WildFire”新機能 - 総合的な脅威分析 - 12 | ©2015, Palo Alto Networks. Confidential and Proprietary.

相関オブジェクト  手動データマイニングの削減  自動的に侵害されたホストを 検出  脅威存在痕跡(IoC)の検出  相関オブジェクトは脅威イン テリジェンスクラウドによっ て随時更新されます。 外部からの偵察行為 侵害されたホスト 脆弱性を悪用した攻撃 C&Cへのコールバック マルウエア URLの接続 自動相関エンジン Automated Correlation Engine “WildFire”新機能 - 相関分析エンジン - 13 | ©2015, Palo Alto Networks. Confidential and Proprietary.

ユーザーによるマルウエアダウンロード WildFire によるマルウエア解析とレポート ファイアウォールは、レポートから振る舞い を抽出し、脅威が存在する痕跡を探します。 該当の振る舞いの相関一致をトリガーした ホストを検出 Network WildFire 悪性URLへのアクセス? C&C へのコールバック? 悪性ドメインへの DNSアクセス? “WildFire”新機能 - 相関分析エンジン - 14 | ©2015, Palo Alto Networks. Confidential and Proprietary.

linkの検査機能  SMTP、POP3に対応 (SMTPS、POP3Sの場合は、SSL Decryptionが必要)  該当のリンク ( または で始まるURL)  メールのヘッダ情報 [送信者、受信者、件名 (オプション設定)]をWildFireクラウド に転送 (メール本文はWildFireクラウドに転送されない)  WildFireクラウドが該当のリンクへアクセスし脅威の含 まれるwebサイトか否かを検査  該当のwebページにエクスプロイトが含まれる場合にmaliciousと 判定し、 詳細レポートを作成する また、PAにWildFireログを送付する (送付したリンク先が、Benignの場合は、WildFireログには表示 されない)  Maliciousと判定されたURLは、PAN-DBのmalwareカテ ゴリーに追加  PAN-OS v6.1ではWildFireクラウドのみ利用可能 (WF-500は将来的に対応予定) ※WildFireサブスクリプションが必要 WildFire intra.net/ref?d8ca2 Mail server Compromised host URL Exploit BLOCK 15 | ©2015, Palo Alto Networks. Confidential and Proprietary.

WildFire 競合との差異

Palo Alto Networks + WildFire サンドボックス (F社)サンドボックス (T社) 機器 次世代ファイアオール +クラウドサンドボックス(ライセ ンスのみ) 専用機 ※他社セキュリティ 専用機+ InterScan(web, )が別途必要 動作モードTAP, L1, L2, L3を混在可能TAP, InlineTAP アプリケーショ ン可視化と制御 対応 ※ 2,000種類以上+ Uknowアプリ 非対応 マルウェア検査 対象通信 HTTP, SMTP, SMBなどファイル 共有含む数多くのアプリ(1台で 対応) HTTP, SMTP, File (それぞれ専用機必要) HTTP, SMTP, File (それぞれ専用機必要) インラインでの マルウェア防御 対応 InterScan(web, )が別途必要 既知のマルウェ アに対する防御 対応非対応対応 各種防御機能 対応 (Anti-Spyware, IPS/IDS, URL Filter, Data Filter, DNS sinkhole..etc) 非対応 ※別途3party製品との併用・連携が 必要 対応 InterScan(web, )が別途必要 機能比較 17 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Palo Alto Networks + WildFire サンドボックス専用解析機器 (F社、T社) 提供形態 クラウドベース or アプライアンスローカルアプライアンス内 拡張性 サンドボックスの拡張は、クラウドで 適宜行われる為、顧客側での運用負荷 や追加コストは発生しない 購入した機器で実行できる仮想実行環境 の数は機器毎に最大数が決まっているた め、解析の負荷が増えると、新たな機器 の追加が必要。機器の追加にコストがか かる 高負荷時の懸念 クラウドで、マルウェアの解析/シグ ネチャ作成を行うため、FWのパ フォーマンスには影響を及ぼさない ローカルアプライアンス内のサンドボッ クスで処理が追いつかない場合、解析対 象のファイルでも検査せず素通ししてし まう サンドボックスの 運用 サンドボックスのバージョン アップ、トラブル対応等の運用はパロ アルト社が行うため、 顧客に運用の負荷がかからない サンドボックスのバージョンアップ、 トラブル対応等の運用は顧客が行うた め、運用負荷が高い サンドボックス比較 18 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Palo Alto Networks + WildFireクラウド サンドボックス専用解析機器 (F社、T社) 初期費用 ・1台で柔軟な構成を組むこと で導入機器を最小限に出来る ・規模が大きくなる場合 上位機種で対応可 ・セキュリティ対策を統合する ことでコストメリットが出せる (FW+脅威防御+WildFire) ・Web、Mail、Fileなど別々の 機器を導入する必要あり ・管理機器やサポートが 別途必要 ・大規模環境の場合、 複数台の導入が必要 ・複数個所で導入する場合、複数台の 導入が必要 運用費用 ・導入機器は最小限で済む為、機器の 保守費用は、専用機器に比べて 格段に抑えることが出来る ・1種類の機器で運用できる分、運用に 掛かる負荷とコストが少なくて済む ・導入した機器台数分、保守費用が発生 ・運用時に他製品(既存FWやIPS等) との連携による調査・切り分けが 発生するため、現状の運用負荷、 運用コストがさらに増加する Mail Web 管理 コスト比較 19 | ©2015, Palo Alto Networks. Confidential and Proprietary.

WildFire 優位性

WildFireクラウドの優位性 WildFire TM  複数プロトコルのファイル検査に1台で対応可能  Web・SMTP以外に、FTPやファイル共有などに幅広く対応  脅威についての情報(シグネチャ)共有  PAの脅威シグネチャにもWildFireの情報が共有され、AV、C&C、URLなどの既知の脅威 として検知ブロック可能  SSL通信も復号して検査が可能  クラウドベース  サンドボックス環境のスケーラビリティと高い拡張性  ファイアウォール上で動作  導入管理が容易  重複送信を避けることができ、帯域消費が少ない 21 | ©2015, Palo Alto Networks. Confidential and Proprietary.

WildFireクラウドの優位性 WildFire TM  低コスト  メール数や検査ファイル数増加によるキャパシティ増への投資を抑制  運用負荷の軽減  メール数やネットワーク通信増加によるキャパシティ増への対応が容易  専門エンジニアによる新しい脅威への分析や対応する検知ロジックの更新が自動的に実 施される  新しいファイルタイプ、OSバージョン等に対応するためのメンテナンスが容易 22 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Traps製品詳細

何が脅威なのか? エクスプロイト(脆弱性を突く攻撃 ) 細工されたデータファイルであり、 正規のアプリケーションによって 読み込まれ、処理される  正規のアプリケーションにある、 悪意のあるプログラムを実行する 脆弱性を悪用する  正規のアプリケーションをだまし、 攻撃者のプログラムを実行させる  小さいプログラム 悪意のある実行ファイル 実行形式のファイル(.exe)で 送られてくる攻撃用のプログラム アプリケーションにある 脆弱性に依存しない すぐに実行される - コンピュータを乗っ取ることが目的 大きいプログラム エクスプロイトと悪意のある実行ファイル - 何が違うのか? 24 | ©2015, Palo Alto Networks. Confidential and Proprietary.

よくあるサイバー攻撃の推移 早い段階で攻撃を止めることが重要! Traps のエクスプロイト・マルウェア防御は、悪意のある行動が始まる前に攻撃を止めることが可能! 防止的なコントロール反応的なコントロール 攻撃計画の 立案 情報収集 ユーザに 悟られずに感染 エクスプロイ ト の悪用 マルウェアは 攻撃者と通信 制御チャネル の 確立 悪意のある ファイルを実行 マルウェア の実行 データ盗難、 妨害行為、 破壊活動 データの奪取 25 | ©2015, Palo Alto Networks. Confidential and Proprietary.

 事前の知識が必要  スキャン 対 行為に焦点  リバースエンジニアが可能  悪意のある活動は、検知を無効化することも含む  対処・修復には多大な労力がかかる  雑音が多く、検知自体が見逃される  全てのコンテンツが見れるわけではない  エンドポイント上の感染行為は見えない  正当な通信上で行われる悪意のある活動の遮断は困難  あらゆる環境を模擬実行できるわけではない  エミュレーションをマルウェアは見抜くことができる  エンドポイントで、対処を強制できない アドバンスト エンドポイント プロテクション– なぜ必要か? 今までの 検知 検知と 対処・修復 ネットワーク層の セキュリティ対策 クラウド型の エミュレーション 84% 第三者によって 通知された 攻撃の割合 225 標的型攻撃を 検知するまでにかかる 平均日数 今日の厳し現実 検知だけにたよるのは 正しい戦略ではない 26 | ©2015, Palo Alto Networks. Confidential and Proprietary.

高度なサイバー攻撃に対峙するための正しい方法  エクスプロイトを阻止 – ゼロデイエクスプロイトを含む  悪意のある実行ファイルを阻止 – 高度かつ未知のマルウェアを含む  攻撃試行の証拠を収集 – 後の解析に必要となる証拠取得  拡張性、軽快性、フルカバレッジ – 最小限のユーザインパクトで、全てのアプリケーションに保護を適用  ネットワーク・クラウドセキュリティとの統合 – 脅威データの共有と、組織間をまたいだ保護の提供 アドバンスト エンドポイント プロテクション PDF 27 | ©2015, Palo Alto Networks. Confidential and Proprietary.

核となるテクニックの遮断 – 個々の攻撃ではない 毎年現れる新たな種類の数 個々の攻撃 ソフトウェアの脆弱性を突くエクスプロイト 数千もの新たな脆弱性とエクスプロイト 1,000 ~ 核となるテクニック 脆弱性の攻撃に使う、核となるテクニック 2~4個の新しいテクニック 2-4 マルウェア 数百万以上の新種・亜種のマルウェア 1,000,000 ~ マルウェアのテクニック 数十の新しいマルウェアが行う行為 ~10 28 | ©2015, Palo Alto Networks. Confidential and Proprietary.

エクスプロイト攻撃 悪意のある 活動を 開始 通常アプリケーションの 起動 ヒープ スプレー DEPの回避 OS機能の 利用 隙間は 脆弱性を表す  キーロガーを仕掛ける  重要なデータの盗難  などなど・・・ 2.PDFが開かれ、Acrobat Readerの脆 弱性を突く、エクスプロイト・テク ニッックが作動する 1.エクスプロイトの試みは、知り合いか ら送られたPDFに埋め込まれている 3. エクスプロイトは、ウイルス対策を回 避し、マルウェアの起爆剤をターゲッ トに落とす 4. マルウェアはウイルス対策を回避し、 メモリ上で稼働する エクスプロイト テクニック 29 | ©2015, Palo Alto Networks. Confidential and Proprietary.

通常アプリケーションの 起動 Traps Exploit Prevention Modules (EPM) 1.エクスプロイトの試みを遮断。 脆弱性についての事前知識は不要。 Traps EPM エクスプロイト テクニック 悪意のある活動は 起こらない エクスプロイト攻撃 2.PDFが開かれ、Acrobat Readerの脆 弱性を突く、エクスプロイト・テク ニッックが作動する 1.エクスプロイトの試みは、知り合いか ら送られたPDFに埋め込まれている 3. エクスプロイトは、ウイルス対策を回 避し、マルウェアの起爆剤をターゲッ トに落とす 4. マルウェアはウイルス対策を回避し、 メモリ上で稼働する 30 | ©2015, Palo Alto Networks. Confidential and Proprietary.

通常アプリケーションの 起動 Traps Exploit Prevention Modules (EPM) 1.エクスプロイトの試みを遮断。 脆弱性についての事前知識は不要 。 2.管理者がEPMの1つを無効した場合、 最初のテクニックは成功するが、 次のテクニックが遮断され、 悪意のある行動は阻止される Traps EPM エクスプロイト テクニック 悪意のある活動は 起こらない エクスプロイト攻撃 2.PDFが開かれ、Acrobat Readerの脆 弱性を突く、エクスプロイト・テク ニッックが作動する 1.エクスプロイトの試みは、知り合いか ら送られたPDFに埋め込まれている 3. エクスプロイトは、ウイルス対策を回 避し、マルウェアの起爆剤をターゲッ トに落とす 4. マルウェアはウイルス対策を回避し、 メモリ上で稼働する DEPの回避 31 | ©2015, Palo Alto Networks. Confidential and Proprietary.

攻撃の連鎖のひとつを阻止できれば、攻撃全体を止めることができる エクスプロイト防御 ケーススタディ 既知のテクニックを使う、未知のエクスプロイト DLL Security Internet Exploreの ゼロデイ脆弱性 CVE ヒープ スプレー DEPの回避 UASLR ROP / OS機能の利用 ROP Mitigation/ DLL Security Adobe Reader CVE ヒープ スプレー Memory Limit Heap Spray Check and Shellcode Preallocation DEPの回避 UASLR OS機能の利用 DLL Security Adobe Flash CVE /0311 ROP Mitigation JiT スプレー JIT Mitigation OS機能の利用 DLL Security Memory Limit Heap Spray Check 32 | ©2015, Palo Alto Networks. Confidential and Proprietary.

エクスプロイト防御 – ユーザの体験 ユーザにより、 エクスプロイトが 仕掛けられた ドキュメントが 開かれる Trapsは、起動する アプリケーションの プロセスに、シームレスに 組み込まれる エクスプロイト テクニックが 試行され、Trapsは、 悪意のある活動が 行われる前に、 その試行を遮断する エクスプロイトが試行されると、エクスプロイトは罠にかかり、 悪意のある活動を行うことを阻止される Traps Trapsはイベントは 通知し、詳細な フォレンジック データを収集する ユーザ、管理者に 通知 PDF プロセスを終了 フォレンジック データを取得    33 | ©2015, Palo Alto Networks. Confidential and Proprietary.

全ての局面で、悪意のある実行ファイルを阻止 WildFireの 確認と解析 マルウェアテクニック の抑止 高度な 実行制御 場所、デバイス、子プロセス、 署名の有無などから実行を 制御し、攻撃を受ける面を縮小 ハッシュ制御により、柔軟な システム強化を提供 クラウドベースの 脅威インテリジェンスを使った 動的な脅威解析 WildFireによって特定された 悪意のあるファイルの内、 61%が、上位6社の企業向け ウイルス対策製品で検知不可 未知のマルウェアを テクニックベースの抑止策で 検出、阻止 (例:スレッドインジェクション) 34 | ©2015, Palo Alto Networks. Confidential and Proprietary.

悪意のある実行ファイルを止める正しい方法 ユーザが 実行ファイルを 開こうとする 制限と 実行ファイルルール WildFireに対する ハッシュの問合せ マルウェア・テクニックの 実行を阻止 WildFire ESM フォレンジック データの確保 未知 ? EXE 良性 悪性 例えば・・・ 子プロセスか? スレッド インジェクション? 制限されたフォルダ やデバイスか? 休止モードの プロセス作成? 保護 実行を阻止  35 | ©2015, Palo Alto Networks. Confidential and Proprietary.

OS機能の利用JITヒープスプレー子プロセス 未署名の 実行ファイル制限された場所 管理者によって 設定された判定 WildFireの 既知の判定 オンデマンドの 解析 インジェクションの 行為を遮断 Traps マルウェア防御 例:攻撃の流れの中にあるTrapsの阻止ポイント 送付 エクスプロイトダウンロードと実行 実行制限1実行制限2実行制限3 ローカルの 判定結果 WildFireの 判定結果確認 WildFireの 解析 悪意のある 活動 スレッド インジェクション インテリジェンス と エミュレーション Traps エクスプロイト防御 高度な実行制御 振舞い防御 メモリ破損 ロジックの欠陥 エクスプロイト テクニック1 エクスプロイト テクニック2 エクスプロイト テクニック3 | ©2015, Palo Alto Networks. Confidential and Proprietary.

 タイムスタンプ  トリガしたファイル(非実行ファイル)  ファイルのソース(元)  関与したURL / URI  阻止した攻撃技法 (エクスプロイトテクニック)  IPアドレス  OSのバージョン  攻撃を受けた脆弱なソフトウェアの バージョン  攻撃されたプロセスの配下で メモリー上に展開された 全コンポーネント  フルメモリダンプ  更なるメモリ領域の 破壊行為の予兆  ユーザ名と コンピュータ名 継続的な証跡収集と攻撃トリガの証跡収集 継続記録 攻撃関連のフォレンジック エクスプロイト、マルウェアが 罠にかかり、リアルタイムの 遮断をトリガ すべてのファイル実行  実行日時  ファイル名  ファイルのハッシュ値  ユーザ名  コンピュータ名  IPアドレス  OSのバージョン  疑わしいファイルの履歴 37 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Endpoint Security Manager (ESM) 3層の管理サーバ構成  ESM コンソール  データベース  ESM サーバ (ESM サーバ毎に50,000台までサポート – 複数のサーバに拡張可能 ) オールインワンの管理センター  コンフィグレーション管理  ログ記録とデータベース検索  管理者ダッシュボードと セキュリティオーバービュー  フォレンジック記録  インテグレーション設定 Endpoint Security Manager (ESM) WildFire External Logging Platform ESM Server(s) Endpoints Running Traps Forensic Folder(s) 38 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Traps によるエクスプロイト防御 ケーススタディ #1 実際にあった Adobe Flash のゼロディ攻撃に対して有効だったのか? DLL Security Adobe Flash CVE JiT スプレー JIT Mitigation OS機能の利用 DLL Security 2015 年 7 月 6 日、捜査機関向けの市民監視ツールを手掛けるイタリア企業 Hacking Team から 200GB の情報が流出し、攻撃者が Twitter 上に公開 この攻撃は Adobe Flash に潜むゼロディ脆弱性を利用して実行されたことが 判明、この脆弱性は Internet Explorer や Chrome をはじめとする主要な Web ブラウザ全てに 影響があることが分かった Adobe はこれを受けて、 7 月 7 日に声明を発表、脆弱性を修正するアップデートを 7 月 8 日にリ リースしたが、その後上記とは別に更に 2 件の Flash の脆弱性( CVE 、 CVE )が存在することを明らかにした Traps のエクスプロイト防御であれば防御可能であった 39 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Traps のエクスプロイト防御であれば全て防御可能 Traps によるエクスプロイト防御 ケーススタディ #2 その他の過去の脆弱性に対して有効だったのか? DLL Security Internet Exploreの ゼロデイ脆弱性 CVE ヒープ スプレー DEPの回避 UASLR ROP / OS機能の利用 ROP Mitigation/ DLL Security Adobe Reader CVE ヒープ スプレー Memory Limit Heap Spray Check and Shellcode Preallocation DEPの回避 UASLR OS機能の利用 DLL Security Adobe Flash CVE /0311 ROP Mitigation JiT スプレー JIT Mitigation OS機能の利用 DLL Security Memory Limit Heap Spray Check 40 | ©2015, Palo Alto Networks. Confidential and Proprietary.

セキュリティ専門企業 Stonebeat Security 社にて、 実際にツールを作成してエクスプロイトを実施した ところ、 11 種類の脆弱性攻撃すべてをブロックした Traps によるエクスプロイト防御 ケーススタディ #3 脆弱性診断専門エンジニアによるペンテストに対して有効か? Block 率 100 % 41 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Traps によるエクスプロイト防御 ケーススタディ #4 Carbanak:銀行ネットワークで新たな攻撃方法を実践! 行員のすべての行動を監視 フィッシングメール word、CPL形式ファイル添付 キャッシュアウト PCの遠隔操作 Ammy-admin のダウンロード or ssh server 送金担当者の端末探索 -> 侵入・操作・監視 監視ビデオの管理者権限を取得 感染 – Carbanak back door C&C サーバ宛にビデオファイル送信 攻撃者は、スピアフィッシングの手口を使って行員のコンピュータに、Microsoft Wordの脆弱性を突く攻撃を埋め込んだファイ ルを送付。行員がファイルを開くことで、マルウェアの「Carbanak」に感染し、そこから社内ネットワークに侵入。管理者のコ ンピューターを突き止め、送金システムを担当する行員の画面をすべて盗み見て記録する。この手口で送金の仕組みを把握する と、行員を装って送金の手続きを行い、自分たちの口座に現金を振り込ませていた。キャッシュアウトの方法は複数に及ぶ。 被害者: 欧州、ロシア、米国、中国など 30地域で約100行の銀行や電子 決済システム The Great Bank Robbery: the Carbanak APT ドライブバイダウンロード攻撃 2015/2/16にカスペルスキー社が 発表 42 | ©2015, Palo Alto Networks. Confidential and Proprietary.

参考:Carbanak で利用された脆弱性 脆弱性影響を受ける製品 Traps 対応 Office 2003 SP3 Office 2007 Office 2007 SP1 Office 2007 SP2 Office 2007 SP3 Office 2010 Office 2010 SP1 Office 2010 SP2 CVE ○--○○○○× 阻止可能 CVE ○---○-○○ 阻止可能 CVE ○---○-○○ 阻止可能 脆弱性影響を受ける製品 Traps 対応 Java 1.4Java 5Java 6Java 7Java 8 CVE 〜 1.4.2_37 〜 Update 35 〜 Update 32 〜 Update 4 × 阻止可能 CVE 〜 Update 40 〜 Update 41 〜 Update 15 × 阻止可能 CVE 〜 Update 17 × 阻止可能 Microsoft Wordの脆弱性を突く、添付ファイル ドライブ・バイ・ダウンロード攻撃で利用されたRedKit Exploit Kit ※ 影響を受ける製品の項目に 「-」と入っている場合、その製品バージョンが脆弱性発見時に、サポートが終了 しており、確認がとられていないことを意味します。影響を受けないという意味ではございません。 43 | ©2015, Palo Alto Networks. Confidential and Proprietary.

TRAPSの優位性

Trapsの優位性  防御範囲の優位性  脅威対策として、既知だけでなく未知のエクスプロイトやマルウェアに対して効力を発揮 し、脆弱性攻撃やマルウェア感染から端末を保護することが可能。 ※第3者機関による検証にて、今年発見された脆弱性を100%防御。  WildFireとの連携による優位性  既知の脅威だけではなく、未知の脅威についてはクラウドを活用してリアルタイムに 分析を行い、結果を自動的な防御にフィードバックすることで未知の脅威を防止。  ポリシー制御の優位性  アプリケーション(プロセス)やユーザーごとに有効となる脅威防御モジュールを柔軟に 設定可能であり、強固なセキュリティを保持したまま誤検知/過検知に対する対策が可能。  実行制御の優位性  エクスプロイトやマルウェアの検査だけではなく、アプリケーションの動作をプロセス単 位で制御することが可能であり、脅威や感染につながる可能性のある動作を阻止すること が可能。  動作環境での優位性  Trapsはシグニチャを持っておらず、シグニチャファイル更新やファイルスキャンを実施 しない為、CPU、メモリ等のシステム負荷がほとんど発生しません。その為、他のエンド ポイント管理、保護製品等との共存が容易で、高いユーザビリティを提供可能。 45 | ©2015, Palo Alto Networks. Confidential and Proprietary.

防御範囲での優位性

既存ウイルス対策製品と Traps のカバー範囲 エクスプロイトコード 悪意のある実行ファイル 未知の攻撃 既知の攻撃 Traps 既存ウイルス対策製品 47 | ©2015, Palo Alto Networks. Confidential and Proprietary.

既存ウイルス対策製品と Traps のカバー範囲 48 | ©2015, Palo Alto Networks. Confidential and Proprietary.

WildFireとの連携による優位性

最も包括的なエンドポイントプロテクションのアプローチ 20種類以上の エクスプロイト防御 モジュール ローカル ハッシュ制御 実行制限WildFireとの 統合 マルウェア防御 モジュール   高度な実行制御 50 | ©2015, Palo Alto Networks. Confidential and Proprietary.

次世代ファイアウォールと、 Traps を組み合わせた標的型攻撃対策 脆弱性を突く攻撃 マルウェア ゼロデイエクスプロイト ゼロデイマルウェア FW で検査できない マルウェア FW で検査できない エクスプロイト 入り口対策 出口対策 エンドポイントに 届いた未知の検体を アップロード 解析で得られた シグネチャを、 更なる防御へ フィードバック 解析で得られた URL 等の情報を 更なる検出・防御 のためにフィード バック 既知のマルウェア配布サイトへのアクセス 既知の C&C サーバへのアクセス マルウェアが行うような通信パターン 51 | ©2015, Palo Alto Networks. Confidential and Proprietary.

エンタープライズセキュリティプラットフォーム NATIVELY INTEGRATED EXTENSIBLE AUTOMATED 脅威 インテリジェンス クラウド 次世代ファイアウォー ル 次世代エンドポイント 52 | ©2015, Palo Alto Networks. Confidential and Proprietary.

ポリシー制御の優位性

柔軟なポリシー設定 各タブごとの様々な条件を 組み合わせてポリシーを設定可能 54 | ©2015, Palo Alto Networks. Confidential and Proprietary.

有効にする防御モジュールを選択可能 防御モジュールごとにON/OFFや 検出した際の動作を設定可能 55 | ©2015, Palo Alto Networks. Confidential and Proprietary.

対象プロセスを指定可能 ポリシー設定の対象となる プロセスを個別に指定可能 56 | ©2015, Palo Alto Networks. Confidential and Proprietary.

対象ユーザやグループを指定可能 ポリシー設定の対象となる ユーザやグループを指定可能 57 | ©2015, Palo Alto Networks. Confidential and Proprietary.

実行制御での優位性

悪意のある実行ファイルを止める正しい方法 ユーザが 実行ファイルを 開こうとする 制限と 実行ファイルルール WildFireに対する ハッシュの問合せ マルウェア・テクニックの 実行を阻止 WildFire ESM フォレンジック データの確保 未知 ? EXE 良性 悪性 例えば・・・ 子プロセスか? スレッド インジェクション? 制限されたフォルダ やデバイスか? 休止モードの プロセス作成? 保護 実行を阻止  場所、デバイス、子プロセス、 署名の有無などから実行を 制御し、攻撃を受ける面を縮小 ハッシュ制御により、柔軟な システム強化を提供 59 | ©2015, Palo Alto Networks. Confidential and Proprietary.

動作環境での優位性

サポート範囲とシステム要件 サポートされるOSフットプリント Workstations – 物理及び仮想  Windows XP SP3  Windows Vista SP2  Windows 7  Windows 8 / 8.1 Servers – 物理及び仮想  Windows Server 2003 (+R2) SP2  Windows Server 2008 (+R2)  Windows Server 2012 (+R2)  25 MB RAM  0.1% CPU  スキャンなし アプリケーションの範囲  デフォルトポリシー:100以上のプロセス  新しいプロセスの自動検出  あらゆるアプリケーションを保護 既存環境にほとんど 影響のない軽い負荷 61 | ©2015, Palo Alto Networks. Confidential and Proprietary.

63 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Tanium ソリューションエリア Tanium は既存のツールでは出来ない方法で支援します 監査&コンプライアンス  従来のデータ収集に掛かる時間へ の依存を削減でき、監査により質 の高い情報を提供できます  15 分程のトレーニングでデータ収 集ができるようになりますので、 単独で情報収集が可能になります  従来のデータ収集に掛かる時間へ の依存を削減でき、監査により質 の高い情報を提供できます  15 分程のトレーニングでデータ収 集ができるようになりますので、 単独で情報収集が可能になります 情報の保護  大規模な企業ネットワークを跨っ て慎重に扱う必要があるヘルスケ アや金融情報を把握  慎重に扱うべき情報を管理するた め、厳密な内部規制やレギュレー ション要件を超える対応  大規模な企業ネットワークを跨っ て慎重に扱う必要があるヘルスケ アや金融情報を把握  慎重に扱うべき情報を管理するた め、厳密な内部規制やレギュレー ション要件を超える対応 インシデント レスポンス  問題解決に結びつく適切なデータ の収集とその対処をリアルタイム に実施  ドラスティックにコストを削減、 インシデントの対応時間を時間か ら分に短縮  問題解決に結びつく適切なデータ の収集とその対処をリアルタイム に実施  ドラスティックにコストを削減、 インシデントの対応時間を時間か ら分に短縮 管理されていない資産の検知  危険な管理されていないマシンが ネットワークに接続するとリアル タイムに通知される  限定されたネットワークへのアク ションの実施やリソースへのアク セス制限により、管理されていな い資産によるリスクを即座に低減  危険な管理されていないマシンが ネットワークに接続するとリアル タイムに通知される  限定されたネットワークへのアク ションの実施やリソースへのアク セス制限により、管理されていな い資産によるリスクを即座に低減 ソフトウェアライセンス管理  インストールされているアプリ ケーションの使用状況を取得  通常、使われていないアプリケー ションを見直すことで、劇的にソ フトウェア・ライセンスコストの 削減を実現  インストールされているアプリ ケーションの使用状況を取得  通常、使われていないアプリケー ションを見直すことで、劇的にソ フトウェア・ライセンスコストの 削減を実現 ソフトウェアの配布とパッチ管理  オペレーション・システムのパッ チや3 rd パーティーの Update を全 てのエンドポイントにリアルタイ ムに配布 See for more information 64 | ©2015, Palo Alto Networks. Confidential and Proprietary.

Traps と Tanium のポジショニングの位置づけ Palo Alto Networks Traps は、攻撃者からの攻撃に使われる手法を検知し、 インシデント発生を予防する 製品 Tanimum Endpoint Platform は、 IOC をすばやく検索し、感染から復旧をさせる、 インシデント発生後に使 う製品 脆弱性の悪用 悪意のある ファイルの実行 駆除・復旧 対策(パッチ適 用) 感染 (マルウェアの活動開 始) Traps Tanium ゼロデイも含む、脆弱 性を突く 攻撃の阻 止 既知のマルウェア、 未知の実行ファイルの 起動を阻止 マルウェアが行う、 いくつかの危険な振舞 いを、検知し起動して いる未知のマルウェア を 強制終了 マルウェアに感染して いる可能性を示す 痕跡( IOC )を検 知 マルウェアの痕跡情報 に従い、一致する 痕跡、ファイルを 削除 ソフトウェアの管理規 定に対し、違反してい る場合、 パッチ等 を適用 65 | ©2015, Palo Alto Networks. Confidential and Proprietary.

ユースケース: Palo Alto Networks とのインテグレーション Capture Malware マルウェア感染の確認 © 2014 Tanium Inc. All Rights Reserved. Palo Alto Networks WildFire Tanium IOC Detect Palo Alto WildFire がネットワークに入り込んだマルウェアをキャプチャー。 Tanium はマルウェア・アクティビティ・レポートを入手するために WildFire にポー リング。 Taium はレポートを標準 IOC フォーマットに変換。 Tanium はターゲットシステムが実際の感染のサインを示しているかを自動的に確 認。 Detect Malware IOC リポジトリィ ネットワークセキィリティツールの課題の 一つとして、必要されるエンドポイントの コンテキストが乏しいという問題を抱えて います。 66 | ©2015, Palo Alto Networks. Confidential and Proprietary.

67 | ©2013, Palo Alto Networks. Confidential and Proprietary.