McAfee Advanced Threat Defense 説明資料

Slides:



Advertisements
Similar presentations
次世代気候情報の配信システムの検討 プリマ・オキ・ディッキ , 南野謙一 ( 岩手県立大学 ) 高度農業気象情報(作物の発育や病害虫の発 生などを予測するために必要となる農作物生 産地の気象予測情報等)の作成・描画・提供 システムの開発の一環.
Advertisements

Internet Explorer 障害解析 最初の一歩 - IE のトラブルを理解する -. 概要 Internet Explorer を使用中に発生するトラブルの 種類と、調査のための切り分け方法を紹介します! (以降は IE と略称で表記します) よくあるお問い合わせ Web ページの表示が白画面のまま完了しない.
1 Layout Utilities の紹介 Layout Utilities とは、お客様のプログラムに 流し込み印刷を簡単に組み込めるソフトウエア開発ツールです 無償 流し込み印刷の例.
1 製品説明 プレゼンテーション FortiAPの優位性 プロダクトラインナップのご紹介 プレゼンで ソリューションの特長を 伝えましょう.
Curlの特徴.
Global Ring Technologies
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
スクリーンショットの取り方 コラボエンドポイントスクリーンショットの取得 シスコシステムズ合同会社 テクニカルソリューションズアーキテクト
揮発性情報 2003/05/25 伊原 秀明(Port139).
ファイルキャッシュを考慮したディスク監視のオフロード
Anti-Spyware X-Cleaner 製品ラインアップ、導入例と製品比較
クラウド上の仮想マシンの安全なリモート監視機構
クラスタ分析手法を用いた新しい 侵入検知システムの構築
Ad / Press Release Plan (Draft)
IGD Working Committee Update
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
Zeusの動作解析 S08a1053 橋本 寛史.
GoNET ~ Ver 2.3 新機能紹介 ~ ネットワーク接続制御アプライアンス 2013年11月リリース 2013年10月
Hot Pepper for iPod touch
Microsoft Office Project 2007
Digital Network And Communication
会社名: 氏名: 日付:.
InfoLibDBRによる      システム構築  山口大学 情報環境部 深川昌彦.
龍谷大学理工学部における ウイルス感染事例 part 2
ネストした仮想化を用いた VMの安全な帯域外リモート管理
SAP & SQL Server テクニカルアーキテクチャ概要 マイクロソフト株式会社 SAP/Microsoft コンピテンスセンター
ファイアウォール 基礎教育 (2日目).
サスペンドした仮想マシンの オフラインアップデート
McAfee Network Security Platform
クラウド型メールセキュリティゲートウェイ
Cisco Cloudlock & Cisco Umbrella
建設・建築現場のデータもクラウドへ自動バックアップ!
九州大学キャンパスクラウド 利用法 情報ネットワーク特論 講義資料.
大阪大学 大学院情報科学研究科 博士前期課程2年 宮原研究室 土居 聡
Office IME 2010 を使う.
Cisco Router GUI設定 CCPE3.2 紹介 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
製品情報 Windows Server 2003のサポート終了をむかえ、ファイルサーバーの入れ替えを検討されていらっしゃる方も多いのではないでしょうか?既存のファイルサーバーをいきなりクラウド化するとインターネット回線の影響で、エクセルやワードのようなサイズの小さなファイルでさえ、開くまでに時間がかかってしまうことがあります。
※ 今なら、1年追加ライセンスもスペシャル特価。65,560円にて4年間ライセンス対応へ!!
%Offや特別割引価格について、Dell直販のものを参考にして作成していただけますようお願いいたします。
サイバーセキュリティ バッファオーバフロー
Why SonicWall? ~SonicWall UTM製品が選ばれる3つの理由~ 特許技術の”RFDPI” マルチコアアーキテクチャ
リモートホストの異常を検知するための GPUとの直接通信機構
The latest and greatest
セキュリティ 05A2013 大川内 斉.
実行時情報に基づく OSカーネルのコンフィグ最小化
仮想メモリを用いた VMマイグレーションの高速化
Cisco Umbrella のご紹介 2018 年 1 月.
FUJITSU Security Solution SYNCDOT MailSuite
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
SonicWall UTM + “Capture”
A18 スパムサーバの調査 ~ボットを見抜けるか?~
Intel SGXを用いた仮想マシンの 安全な監視機構
IBM UTM監視サービス セキュリティー運用監視のアウトソーシングで、業務効率化&コスト削減
仮想環境を用いた 侵入検知システムの安全な構成法
※ 今なら、1年追加ライセンスもスペシャル特価。65,560円にて4年間ライセンス対応へ!!
SonicWall UTM + “Capture”
仮想マシンの監視を継続可能なマイグレーション機構
Cisco Mobility Express Solution アップデート
IDSとFirewallの連携によるネットワーク構築
Cisco Cloudlock & Cisco Umbrella
Cisco Mobility Express Solution アップデート [再改訂版]
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
サイバー攻撃シミュレーション サービス Cisco Cyber Range (シスコ サイバー レンジ)サービス
ユビキタスコンピューティングの ための ハンドオーバー機能付きRMIの実装
CO-Client Opeartion 1.1 利用履歴データベースの設計 (スキーマ バージョン 対応)
強制パススルー機構を用いた VMの安全な帯域外リモート管理
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
Cisco Threat Response 機能とロードマップの紹介
SD-WAN-インターネットブレイクアウト-
Cisco Umbrella セミナー 第4回 Umbrella 設定概要.
Presentation transcript:

McAfee Advanced Threat Defense 説明資料 マカフィー株式会社 Rev8

増加・進化する脅威 69 60秒毎に出現する新種のマルウェア数 16% 2013年における悪質なURLの増加率 (現在、トータル約7500万の悪質なURLが存在) 60% 難読化(パッキング)が施されているマルウェアの割合 320,000 2013年Q2における新種のランサムウェアのサンプル数 600,000+ 2013年Q1におけるMBR攻撃関連のサンプル数 1,200,000 2013年Q2における署名付きの悪意あるバイナリ数 140,000,000+ マカフィーが保有している固有のマルウェアのサンプル数

マルウェアへの包括的なアプローチに必要な3つのF FINDS McAfeeは複数の検出エンジン(静的解析エンジン(パターン、振る舞い、レピュテーション)+動的解析エンジン)を用いて高精度でマルウェアを検出 包括的 マルウェア プロテクション FREEZES McAfeeはNetwork製品との連携により、検出したマルウェアをリアルタイムで防御、マルウェアをダウンロードした端末を隔離 FIXES McAfeeはEndpoint製品との連携により、感染が疑われる端末の識別、ダメージを修復 注: FIXES機能を実施するための Real Time ePO は現状日本では未サポート。

McAfee Comprehensive Malware Protection ~ソリューション概要~ Global Threat Intelligence FREEZE NSP Gateways GTI/LTI FIND McAfee Web Gateway Email Gateway Network IPS ローカルBL / WL AVシグネチャ ファイルレピュテーション FIX Emulationエンジン 静的コード分析エンジン 感染端末への対策適用 ターゲット端末に合った Sandboxing McAfee Advanced Threat Defense 感染端末の洗い出し McAfee ePO

“Advanced Malware 対策” に対する市場の認識 シグネチャベースのテクノロジーは未知の脅威に対しては効果がない マッチングではなく解析 振る舞いアプローチ サンドボックスが有効 安全な仮想環境で怪しいファイルを実行 未知のファイルの実際の挙動を   解析 ファイルの意図を見極め   (悪質かどうか) UNKNOWN ? SANDBOXING SAFE MALWARE

サンドボックスだけでは不十分 サンドボックスは、全てのマルウェアに有効なわけではない。 実行を遅らせることでサンド ボックスは回避可能 特定の日時まで実行を延 ばすことで、サンドボック ス解析ではクリーンにみ せる 何度かのクリックを経て初 めて実行 実行環境を認識することで サンドボックスを回避 サンドボックス環境を検知 すると実行しない 特定のOSやアプリケーシ ョンがインストールされた 環境でのみ実行 あるAPT攻撃では、 “マルウェアが実行された環境のIPアドレスが標的にしている地域に属しているかどうかをチェックしており、仮に、サンドボックスのIPアドレスが該当しない場合は実行されなかった。”

“Advanced Malware” 市場を変革 ~ATDの強み~ スケーラビリティ 1日で25万オブジェクトを解析 リアルタイムダウンセレクターにより既知マルウェアを迅速に特定 カスタムイメージによる標的型解析 企業環境の“Gold” イメージを使用したサンドボックス解析が可能   ⇒64bit OS, サーバOSのサポート   ⇒実環境に近いOSイメージで解析することにより、誤検知・未検知のリスクを軽減 マルウェア詳細解析 静的コード解析および動的解析エンジンの両方を搭載 マルウェアファイルを ‘アンパッキング’ したうえで詳細にコード解析 インタラクティブモードで、動的解析を行う環境へ接続して、実行に必要なユーザ動作を実施 Security Connected – McAfee既存Solutionとの統合により実現 McAfee NSP、McAfee E-mail/Web Gateway 経由でのファイル取得   ⇒各検査対象ポイントへのアプライアンス導入が不要。   ⇒導入が容易 - スイッチ/ルーターの構成変更は不要でファイル解析用のATDのみ追加   ⇒ATDが検知した不正ファイルを「リアルタイム」でブロック Real Time for ePO による感染端末の特定・修復(将来的に実装)

McAfee Advanced Threat Defense アーキテクチャー ユーザ定義のサンドボックスイメージ 幅広いOS(クライアント・サーバ・Android)サポート リアルタイムダウン セレクター Admin VM Linux 64bit: Administration Scheduler Task manager File input / Server Results output Communication HTTP/HTTPS FTP/SFTP Restful API Socket Local B/W list GAM engine GTI reputation MFE AV Windows XP SP2/SP3 Server 2003 SP1/SP2 Server 2008 64bit Windows 7 32bit/64bit Android Type-I Hypervisor Intel-based Hardware Platform

動的解析用に幅広いOSをサポート ターゲット環境での動的解析:     実際に使用しているのと同じ端末環境 (OSバージョン、サービスパック/パッチレ ベル、使用アプリ等)で動的解析を実施 ターゲットの特定環境でしか動作しな いように作成されている標的型マルウ ェアの検知率向上 一つのファイルを動的解析するために 使用するOS数の削減=解析結果の 高速化 ユーザ定義型の動的解析用イメー ジ(Custom image)のサポート クライアント、サーバ、Androidを含 めた幅広いOSのサポート

複数の検知エンジン リアルタイムダウンセレクター 先進型サンドボックス 先進型サンドボックス 静的コード解析と動的解析のセット エミュレーション McAfee Gateway Anti-Malware ファイルレピュテーションMcAfee GTI アンチウイルスシグネチャ McAfee Anti Virus 定義ファイル ローカルブラック・ホワイト リスト 良性・悪性ファイルのリスト

ダウンセレクターとは ダウンセレクターは、負荷が高く・解析に時間が掛かる動的解析エンジンの 手前で動作し、動的解析が必要なファイルの選択(セレクション)を行います。 ローカルブラックリスト ATDが解析を実施したファイルの内、不審と判断されたファイルがブラックリストDBに追加されていく。そのブラックリストDBを活用。 ローカルホワイトリスト 既知で「良性」と判断されたファイルのハッシュ値が登録されているローカルの ホワイトリストDBを活用。 McAfee AV シグネチャ McAfee Anti-Virs 定義ファイルを活用。 GTI ファイルレピュテーション クラウドに存在するレピュテーションデータベースであるGTI(Global Threat Intelligence)の情報を活用。 エミュレーション McAfee Gateway Anti-Malware エンジンを活用

エンジンの解析順番 ローカル ブラックリスト ローカル ホワイトリスト MFE AV シグネチャ GTI ファイルレピュテーション ローカル ブラックリスト ローカル ホワイトリスト MFE AV シグネチャ GTI ファイルレピュテーション (GAM) エミュレーション 動的解析 & 静的 コード解析 * Patch Release 基本的には、ダウンセレクターエンジンで検知出来なかったファイルを「先進型サンドボックスエンジン(動的解析&静的コード解析)」で解析 ※ローカル BL/WL に登録されているファイルの解析を他ダウンセレクターエンジンで実施しない設定も可能

実績あるエンジンがATDのベース 2013 McAfee Advanced Threat Defense 2008 2004 Freespace Internet Security 2008 LynuxWorks buys ValidEdge 2013 McAfee Advanced Threat Defense

動的解析 - 従来のアプローチ 動的解析 実行動作をベースに分類、レポーティング Adobe Reader 動的解析 - 従来のアプローチ Adobe Reader Windows Executable Java Microsoft Office Archives 動的解析 レジストリ変更 ネットワーク通信 プロセスアクティビティ ファイルシステム変更 実行動作をベースに分類、レポーティング 14

先進型サンドボックス ~静的コード解析を組み合わせた包括的アプローチ~ Adobe Reader / Flash* Windows Executable Java Archives Microsoft Office 動的解析 静的コード解析 レジストリ変更 ネットワーク通信 プロセスアクティビティ ファイルシステム変更 アンパッキング 静的コード詳細解析 隠されたコード解析 隠されたロジック解析 解析コードと既存マルウェアの関連付け 実行動作及び静的コード解析をベースに分類、レポーティング [動的解析によるアウトプット] レジストリ変更結果 発生したネットワーク通信 プロセスアクティビティ ファイルシステム変更結果 “User API Log” 生成 [静的コード解析によるアウトプット] Family Classification 結果 コードの実行率 “Disassembly Results”生成 “Logic Path Graph” 生成 15

静的コード解析の必要性 標的型攻撃の多くでパッキング技術が 悪用されています。 パッキング技術により、「コード」の構成 変更や難読化が行われて、アンチウイル スソフトの検知や解析の為のリバースエ ンジニアリング作業を困難にします。 オリジナルコードに到達し解析するため には、アンパック技術(能力)が必要。 パッキングされたマルウェアは、 実行遅延の仕組み 代替のExecution paths  等の存在を隠蔽します。 Packed Malware in 2012 12,000,000 10,000,000 8,000,000 6,000,000 4,000,000 2,000,000 Q1 2012 Q2 2012 Q3 2012 Q4 2012 Source: McAfee Q4 2012 Quarterly Threat Report

静的コード解析とは Advanced Threat Defenseの静的コード解析エンジンは、オリジナルコードに到達するためのアンパックやリバースエンジニアリングを独自技術で実施。 オリジナルコードに到達できたら、既知のマルウェアコードとの類似性チェックを実施。 アンパック&既知マルウェアとの類似性対比 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (パッキング) 既知のマルウェアファミリーと70%以上の類似性 ABCDEFGH (オリジナルコード) ATD

静的コード解析活用例 Quarian グループによって実施された標的型攻撃で使用されたファイルをATDで解析したところ、動的解析(サンドボックス)よりも高い精度で、マルウェアを検出。 出典:http://blogs.mcafee.com/mcafee-labs/quarian-group-targets-victims-with-spearphishing-attacks ATDの解析結果 感染させるために使用された不正ファイル 動的分析(サンドボックス)ではSeverity3であったが、静的コード分析により既存マルウェアとの類似性が高いと判断されたため、「最終的な危険度は5」 ⇒動的分析(サンドボックス)では解析し切れないファイルを静的コード分析が補完。 類似性100%

インタラクティブモード 「インタラクティブモード」では、セキュリティソフトに見せかけてインストールを促すマルウェア(Fake AV系)を実際に動的解析環境で動作させるために、ライセンスへの同意やクリックといったユーザの動作を仮想環境へ接続して、実行することを可能にします。 仮想環境へ接続して、各種動作を実施。

解析動作モード 1.スタンドアロン ATD GUIにWebアクセスして、解析対象のファイルを手動アップロード 2.ゲートウェイ製品連携 McAfee のゲートウェイ製品(NSP, MWG)と連携して、解析対象のファイルを送信 3.FTP/SFTP FTP/SFTPクライアントを使用して、解析対象のファイルをアップロード ※解析結果を指定のFTP/SFTPサーバへATDから自動アップロードさせることも可能です。

複数種類の解析結果レポート Analysis Summary(HTML) Analysis Summary(PDF) Dropped Files Disassembly Results Logic Path Graph User API Log Complete Results

解析結果サンプル(Analysis Summary) 解析対象ファイル名、ハッシュ値、ファイルサイズ リアルタイムダウンセレクター、静的コード分析、 動的分析後の最終的な危険度 ⇒最終的には、既存マルウェアとの類似性の高さから、Severity 5 と判定 静的コード解析により判明した既存マルウェアとの類似性 解析に使用した仮想環境

解析結果サンプル(Analysis Summary) マルウェアが実施した特徴的な 「悪い行動」を明示

解析結果サンプル(Analysis Summary) サンプルの実行、ファイルオープンでCallされたDLL

解析結果サンプル(Analysis Summary) サンプルの実行中に作成、オープン、削除、修正、readされたファイル

解析結果サンプル(Analysis Summary) サンプル実行中のプロセス動作

解析結果サンプル(Analysis Summary) サンプル実行中のNetwork活動をSimulation

解析結果サンプル(Analysis Summary) サンプル実行中にポップアップが表示されて、解析が正常に行えなかったことを明示 ⇒「インタラクティブモード」を有効にした再解析を推奨

解析結果サンプル(Dropped Files) 動的解析中に作成されたファイルを更なる解析用に保存。

解析結果サンプル(Disassembly Results) 静的コード分析エンジンによりアンパック後、分解(Disassemble)された結果を表示 コードが何を行っているかの解説を付与

解析結果サンプル(Logic Path Graph) 動的分析中に実行された/されなかったファンクションを明示 ズームアップ 赤色ライン:存在はするが未実行のファンクション 青色ライン:実行されたファンクション

競合比較 カテゴリ 項目 McAfee A社 B社 C社 Find ○ (自社) (他社OEM) △ × (オプション) Freeze AVシグネチャ ○ (自社) (他社OEM) レピュテーション (複数製品情報活用) △ (単体製品情報のみ) リアルタイムエミュレーション × ローカルサンドボックス (オプション) 静的コード分析 サンドボックス解析レポート インタラクティブモード カスタムOSイメージ Freeze “初回検知”のマルウェアの  リアルタイムブロック (ユーザ通知機能 未実装) 検知マルウェア情報を活用した不審ファイル・通信のブロック Fix (注) 現状未実装 感染端末検索 感染端末修復

ハードウェア仕様 解析能力:150,000ファイル/日 解析能力:250,000ファイル/日 Chassis ATD-3000 Low end (GP) 16 cores ATD-6000 High end (LHP) 32 Cores Chassis Form Factor 1U 2U Cores 16 32 Memory 128GB 256GB Disk Controller equivalent to a Intel Part Number RMS25PB040 SAS 6g Raid 10 interface; 1GB Cache Common Disk space HDD 2 x 2TB 4 x 2TB SSD (VM Image repository) 400GB 600GB Power Supplies AC Redundant, Hot Swappable AC Redundant Hot Swappable Network Interfaces On Board 10/100/1000 mbps RJ45 4 ports RMM Yes Regulatory Compliance for Safety and EMI Worldwide Scanning Capacity 150,000 ファイル/日(トータル) 250,000 ファイル/日(トータル) 解析能力:150,000ファイル/日 解析能力:250,000ファイル/日

動作概要(NSP)

McAfee Advanced Threat Defense 連携概要: McAfee Network Security Platform ファイルダウンロード McAfee Network Security Manager McAfee ePO ポリシー更新、 エンフォースメント ホスト情報 MD5クエリー Network Security Platform McAfee Advanced Threat Defense MD5, 攻撃情報を共有 ファイルを送信

解析可能ファイルタイプ、解析可能ファイル数 エンジン別解析可能ファイルタイプ・ファイル数 解析エンジン 解析可能ファイルタイプ Custom Fingerprint Executable, MS Office Files, PDF, Compressed Files, Android APK, Java Archive GTI File Reputation Executable, PDF, Android APK PDF Emulation PDF NTBA GAM Executable, MS Office Files, PDF, Compressed Files, Java Archive ATD モデル別解析(転送)可能ファイル数 ※NTBA, MATDと連携して解析(転送)可能なファイル数 モデル パフォーマンス 同時解析(転送)可能ファイル数 NSMファイル保存無 NSMファイル保存有 NS-9300 40Gbps ? ? NS-9200 20Gbps NS-9100 10Gbps M-8000 1024 50 M-6050 5Gbps M-4050 3Gbps M-3050 1.5Gbps M-2950 1Gbps M-2850 600Mbps M-1450 200Mbps 255 16 M-1250 100Mbps

NSP / NSM / ATD ワークフロー NSPローカルのFingerprintリスト(Whitelist/Blacklist)との照合 OS情報(もしあれば)も同時送信 6秒間ファイルの最終パケットを保持し、返答を待つ 解析結果をNSMへ送信 NSMが最終解析結果を定期的にATDへポーリング (動的解析に回された場合) 不正と判断されたファイルをBlacklistへ自動登録(もし設定されていれば) ※WhitelistとBlacklistを合わせて、最大100,000まで登録可能

検知結果(Real-Time Threat Analyzer) ATDでスキャンした結果、不正と判断された場合はアラートが上がります。 ※ダウンセレクタエンジン(AVシグネチャ、GTI、GAM)で不正と判断できた場合は、リアルタイムでブロック。

検知結果(Real-Time Threat Analyzer) ダウンセレクタエンジンで不正と判断できなかった場合は、サンドボックス分析が実施される旨のInformationalアラート(MALWARE: Unknown File Download Detected and Submitted to ATD for Analysis)を表示がされ、ファイルダウンロード保留は解除(ファイルはホストへ到達)   =動的解析エンジンを使用したリアルタイムブロックは不可。 動的解析終了後に不審と判断された場合は、Highアラート   (MALWARE: Malicious File Detected by ATD)に置き換わります。

検知結果(Malware Dashboard) “Unknown”はサンドボックス分析結果からを待っている状態。解析結果が得られ次第、反映。

検知結果(Malware Dashboard) Click! ATDで解析した結果をまとめた“簡易レポート”を表示。フルレポート(静的コード解析のレポート含む)の取得や、ATD画面へのアクセスもこの画面から可能。 November 8, 2018

Blacklistの自動追加 Malware検知ポリシーでBlacklistへの自動追加を有効にしていた場合、検知後に不正ファイルのハッシュ値が自動的に登録されます。(反映のために、センサへのConfigアップデートは不要)

Passive Device profiling NSPのPassive Device Profilingの機能で識別できたOS情報は、ファイル送信時にATDへ送信され、Analyzer Profile選定のために活用されます。 注1:送信された情報は、ePO連携が有効になっていない場合に活用されます。 注2:ePO情報(第1優先)、NSPからの識別情報(第2優先ん)共に無い場合は、 デフォルトで指定されている「Analyzer Profile」が使用されます。

動作概要(MWG)

McAfee Advanced Threat Defense 連携概要: McAfee Web Gateway Integration ファイルダウンロード McAfee Advanced Threat Defense 静的/動的解析 ファイルアップロード REST API レポート結果を返送 McAfee Web Gateway ホスト情報 クエリ McAfee ePO 45

McAfee Advanced Threat Defense MWG・ATD連携ワークフロー McAfee Advanced Threat Defense Internet 6 4 1 2 5 3 7 McAfee Web Gateway ユーザがファイルダウンロードのためにURLをクリック MWGがリクエストをインターネットへ送信 MWGがダウンロードされてきたファイルを受信 MWGがローカルのダウンセレクター(AV、GTI、GAM)で検知されなかったファイルを更なる詳細解析のためにATDへ送信 MWGがユーザにATDで解析中である旨のステータスページを表示 MWGが定期的にATDへ解析状況を確認. ATDの解析終了後、ファイルが問題無ければユーザへ渡し、問題があればブロック(問題があるファイルがユーザへ到達しない) 46

ATD Web Gateway 連携 ファイルをATDに送信するかどうかの閾値はMWG側で設定可能           =ダウンセレクションをMWGで実施(例:GAMで60%以上の危険度と判断されたら) サンドボックス解析が終了するまでファイルダウンロードを保留することが可能  =動的解析エンジンを使用したリアルタイムブロックが可能

ATD によるブロックされた場合の画面