Upload File

prowise business forum - hitachi solutions•waf(web application firewall) –...

  • Home
  • Documents
  • Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)
41
© Hitachi Solutions, Ltd. 2011. All rights reserved. いまどきのネットワークの ”出口対策” “標的型攻撃” に対抗する 最新トピックス Prowise Business Forum

Upload: others

Post on 28-Mar-2020

1 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

いまどきのネットワークの ”出口対策” “標的型攻撃” に対抗する

最新トピックス

Prowise Business Forum

Page 2: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

Contents

© Hitachi Solutions, Ltd. 2011. All rights reserved.

1.“標的型攻撃”と“出口対策” 2.ファイアウォール再考 3.無線LANのセキュリティは? 4.ボットは検知できるか 8.まとめ

Page 3: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

1 “標的型攻撃”と“出口対策” ~防ぎきれない侵入への対応~

Page 4: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

“標的型攻撃” と “出口対策”

3

• 明確な目的を持ち執拗に狙いを定める – 情報の奪取 – システムダウン

• 完全に防御するのは不可能 • 最も困るのは“情報漏洩” • 最悪でも“情報漏洩”だけは防ぎたい

標的型攻撃

出口対策 • 侵入されたとしても、 情報奪取だけは防ぐこと

入口対策 • 攻撃・侵入されることの防御

Page 5: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

“標的型攻撃” の情報奪取方法

4 4

FWでは検知できない

密かに潜伏

ポート80などを利用

コントロール

情報奪取

ボット型マルウェア

ハッカー

Page 6: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

一般的な情報漏洩の経路

5 5

① 正規経路

② ポータブルWiFi

媒体持出 ③

Page 7: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

“標的型攻撃” は正規経路から

6

• “入口”も“出口”も、正規ルートの不完全性を突く • ファイアウォールが正規ルートの基本セキュリティ • プラスアルファのセキュリティをどう整備するか

– AV、URL、IPS、WAF、etc – 専用機? UTM? – 新しいソリューションは?

Page 8: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

2 ファイアウォール再考 ~FWはこのままでいいのか~

Page 9: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

ファイアウォール(FW)とは

8 8

• 外部からの攻撃に対する防火壁 • トラフィックをフィルタリング

– IPアドレス/ポートNo • 定番のオープンポート

– ポート80(HTTP) – ポート443(HTTPs/SSL)

• 情報漏洩対策としてほとんど無力

Page 10: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

だからこんな製品が必要になった

9

• URLフィルタリング – 危険なポート80通信をブロック

• AV(アンチウィルス) – ポート80通信中のマルウェアをブロック

• WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック

• IPS(IDP) – DoSやワームなどシグネチャや振る舞いで攻撃を ブロック

Page 11: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

UTMや独立製品で対応してきた。

従来のファイアウォール

ネットワークレイヤについておさらい

10

Web、メール、アプリケーションの種類、URL、HTTPメソッド(Get, Put)、ユーザID、メールの添付ファイル、等実際のコンテンツ部分

L1

L2

L3

L4

L5

L6

L7

Physical

Datalink

Network

Transport

Session

Presentation

Application

TCPとUDPのポート番号

IPアドレス (L3スイッチ/ルータの世界)

MACアドレス(L2スイッチの世界)

ケーブル等

Page 12: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

L7ファイアウォール

従来のファイアウォール

ネットワークレイヤについておさらい

11

Web、メール、アプリケーションの種類、URL、HTTPメソッド(Get, Put)、ユーザID、メールの添付ファイル、等実際のコンテンツ部分

L1

L2

L3

L4

L5

L6

L7

Physical

Datalink

Network

Transport

Session

Presentation

Application

TCPとUDPのポート番号

IPアドレス (L3スイッチ/ルータの世界)

MACアドレス(L2スイッチの世界)

ケーブル等

Page 13: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

従来のファイアウォールの限界

12

ポート80(HTTP)の危険性

ポート443(SSL)はそれ以上

Page 14: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

L7ペイロードを検査

アプリケーションを識別

HTTPメソッドを理解 (Get/Put)

Identityを理解 (LDAT等と連携し、 ”誰の”通信かを識別)

ポート443(SSL暗号)を 解読、80と同様に制御

L7 ファイアウォール(次世代FW)

13

Page 15: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

FW から UTM への進化

14

• Unified Thread Management – URLフィルタ、アンチウィルス、IPS等を統合

• 問題は – 性能が出にくい、機能が中途半端になりがち

• 中小規模では普及してきたが。

Page 16: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

FW から UTM へ

15

付け加えアーキテクチャゆえ機能と性能に限界

Physical

Datalink

Network

Transport

Session

Presentation

Application

Physical

Datalink

Network

Transport

Session

Presentation

Application

Physical

Datalink

Network

Transport

Session

Presentation

Application

Physical

Datalink

Network

Transport

Session

Presentation

Application

FW AV URL IPS

Page 17: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

UTM から L7-FW へ

16

• 寄せ集めから、統合へ – 性能面で大きな改善 – IPSとFWの融合で効果的な防御

ゼロから製品作り上げが必要。 (基本アーキテクチャの変更)

Page 18: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

“アイデンティティ” が分かるということは?

17

システム管理者

従来のFW L7‐FW

システム管理者

10.212.197.7 の PCが、 インターネットに対して Port80で通信している。

総務部の秋山 が、 インターネットに対して、 Skypeでチャット している。

アイデンティティ

アプリケーション

Page 19: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

具体的製品の状況 ---

18

SRXシリーズ

“App Security” ”ID認識” 等、L7-FWとしての 実装を進行中

SSGシリーズ

安定したレガシーファイアウォールモデル

Page 20: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

具体的製品の状況 ---

19

• “次世代ファイアウォール”の代名詞 • 成熟度の高さ、実効性の高さから成長

Source:ミック経済研究所『情報セキュリティソリューション市場の現状と将来展望2011』

0

500

1000

1500

2000

2500

2009 2010 2011

M¥ PaloAlto出荷金額

Page 21: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

国別に脅威を把握、通信の遮断

20

攻撃の早期検知

日本向けサイトなら海外通信を一切遮断も

攻撃拠点国からの 通信を遮断

Page 22: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

3 無線LANのセキュリティは? ~スマホとWiFiの普及スパイラル~

Page 23: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

無線LANはセキュアか

22

• 問題 – 暗号化しない設定で無線利用

• 企業向け無線LAN – 高い強度の暗号 – 認証 – 有線部分も暗号化

無線LAN コントローラ

無線端末

有線端末

認証と暗号化

Page 24: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

“勝手アクセスポイント” の問題

23

不正AP

悪意ある情報奪取

経営情報 システム 管理者

勝手に設置されたAP

不正APの存在 に気づかない

暗号設定漏れ による盗聴

認証設定漏れにより部外者がアクセス可能に

個人や部門が、統制外のアクセスポイントを設置、社内LANに接続

Page 25: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

ポータブル WiFi の問題

24 24

経営情報 システム 管理者

ポータブルWiFiルータ

会社のネットは遅いし、 制限多すぎ!

社内情報を何でも送信可能

認識不能、 打つ手なし…

スマホ/タブレット用に個人で持ち込み 業務用PCで外部と直結するケースも

ゆるゆるの “出口”に

Page 26: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

情報を盗み見られること

無線LANのセキュリティリスクとは

25

情報を盗み見られること

統制外の無線LANから 情報漏えいすること

Page 27: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

対処はいろいろ

26

• エンドポイントセキュリティでデータ持ちだしをコントロールする – 正規のネットも、勝手WiFiも同様に

• MACアドレス認証を導入する – 勝手アクセスポイントはシャットアウトできる

• “番犬”を設置 – 統制外WiFiを技術的に検知 – さらに、それを無効化 – 正規の無線LANが“番犬”に

Page 28: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

デバイス認証の強化

27 正規クライアント

MACアドレス認証&DHCPで接続可能デバイスを統制

MA

or

不正クライアント

MACアドレス 認証DHCP

Juniper EX スイッチ

Aruba 無線LAN

Infoblox

オープンネットガード

ユーザID認証

正規アクセス ポイント

不正アクセス ポイント

不正無線クライアント

正規無線クライアント

経営情報

DHCP スヌーピング

Page 29: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved. 28

①無線の干渉を逆手にとって、他のアクセスポイントの存在を検知

正規無線LANを “番犬” に

②遮断パケットを送出し、不正アクセスポイントの通信を遮断

③不正アクセスポイントまでの距離も検知

④三点測量の原理で不正アクセスポイントの位置を推定 管理ソフトにて図面上で位置を特定可能

管理者は、勝手WiFiの 所在、保有者を突き止め、

除去することが可能

Page 30: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved. 29

による不正AP捕捉

Page 31: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

4 ボットは検知できるか? ~スパイを見つければ漏洩は防げるが~

Page 32: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

標的型攻撃への新たな対策

31

• ターゲット組織にバックドアやマルウェア – ボット、トロイの木馬

• 密かに感染拡大、コントロール • ターゲット情報にコンタクト、奪取 • ボットは顕在化しにくく、

ウィルス駆除ソフトでも検知しにくい

仕込まれてしまったマルウェア(ボット)や その通信を検知して対処する

標的型攻撃は入口対策が難しい

Page 33: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

通信を分析して感染PCを検出

32 32

ゾンビ化 したPC

L7-FW

ハッカーとの通信

ハッカー

既知のマルサイトへのアクセス

DDNSへのアクセス

unknown アプリケーション

IRC通信

ゾンビPCの通信の特徴

Page 34: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

ボット検出レポートの画面例

33

Page 35: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

標的型攻撃のリアルタイム検出に挑む

34

シグネチャの事前入手は困難

標的型は、感染して初めてマルウェアと分る

感染をシミュレーションしてマルウェアを検出

ハニーポット サンドボックス

ハッカーをおびき寄せるワナ

PCやサーバを、独立した安全な環境でシミュレーションし、怪しい通信に晒してマルウェアの感染や行動を確かめる

Page 36: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

クラウド上のサンドボックス

35 35

L7-FW

信頼できないゾーンからの未知のファイル

被害を最小化 新たな感染・ ゾンビ化抑止

サンドボックスでマルウェアを検出

Page 37: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

WildFireの実証実験から

36

7%のファイルがマルウェア

うち57%は未知

うち15%は独自通信

ポート80Web経由がほとんど

既存顧客に対する WildFire の実証試験では 35,387 の ファイル提供があり、そのうち 7% 以上がマルウェア

発見されたマルウェアのうち、57% はどのアンチウィルス ベンダでも検知できず、またウィルス報告サイトでも未発見

新しく発見されたマルウェアのうち、15% は独自暗号した バックドア通信とみられる 未知のプロトコル通信を行う

特に多くのマルウェアが確認されたのは、Web ベースの ファイル共有や Web メールアプリケーションの通信

※出典:パロアルトネットワークス社

Page 38: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

8 まとめ ~明らかな時代の流れ“L7化”~

Page 39: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

L7-FW へのシフトは妨げようがない

38

情報漏洩も防ぐFWへ

L7でトラフック制御し、ユーザを識別

足し算でなく、L7-FWとしてのアーキテクチャ

攻撃を防ぐFWから、

だから脅威や漏洩を最大限に防御。

性能の出ないUTMは卒業。

Page 40: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

統制外へのアクセスを防げる無線LAN

39

勝手アクセスポイントの排除

認証されたデバイスのみ接続許可

ポータブルWiFiなど、外への情報漏洩ルートをシャット

Page 41: Prowise Business Forum - Hitachi Solutions•WAF(Web Application Firewall) – ポート80通信によるL7脆弱性を突いたサーバ攻撃を ブロック •IPS(IDP)

© Hitachi Solutions, Ltd. 2011. All rights reserved.

ありがとうございました!


L7 GLM Binomial

burlando um WAF

WAF Sistemlerini ve Uygulama Filtrelerini Atlatma Teknikleriturkish]-waf-bypass-methods.pdfproblemlere çözüm üretmeye çalışmaktadırlar. ... tamamen veya kısmen blacklist'lere

クラウド WAF セキュリティオペレーションサービス <セ …...- 3 - クラウドWAF セキュリティオペレーションサービスサービス 利用規約

Waf Esben Danielsen

waf-e.dubudisk.comTranslate this pagewaf-e.dubudisk.com/mrcfa.co.kr/mrcfacokr/O185zQI/DubuDisk...2014-02-17 · waf-e.dubudisk.com

L7 planos arquitectonicos

Burlando Waf 2.0

Кто сказал «WAF»?

Netscaler WAF XSS

Imperva waf

MM ZG538-L7

Marketing L7 Crm

Alınacak Dersler · 2010-06-28 · Saldırı Engelleme Sistemleri(IPS) •İkinci nesil güvenlik sistemleri –Firewall & IDS -> IPS & WAF •Pakete ait tüm alanları(L2-L7 arası)

L7 INTERRUPCIONES

L7 Tancuri chimice

Motorola L7

L7 FRACTURAS

Web Application Firewalls (WAF) - RUB

Work sheet l7

Lg optimus l7

L7 Info - Polinoame

Adicionando segurança web: AWS WAF

Laporan Tutorial L7

L7- Biosenzori microbieni

1110 sS TechGuide WAF

L7 mail server_fadlysatriyagunawan

ET ZC362-L7

Cyberoam Waf Presentation

L7.Frezarea suprafetelor

L7 StudentGuide

Digitale Borden, De Basis - Prowise Presenter

Dwin1 2.Que Es Waf

L7 masaya pamilya

Tarjetas La comida SIN nombre · La comida 63 Tarjetas de vocabulario para recortar SIN nombre. I c o n s m a d e b. A1-L7 A1-L7 A1-L7 A1-L7 A1-L7 A1-L7 A1-L7 A1-L7 A1-L7