treat stop preso
DESCRIPTION
What is ThreatStop and how to work this service blocking almost malware access from/to your Network that can be deploy on your Firewall.TRANSCRIPT
2014/5/12 1NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved. 1
TreatStopDDoS /マルウェアの新しい対策
株式会社ネットワークバリューコンポネンツ
2NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
マルウェアの脅威• 2010 年度の米国におけるマルウェア被害の平均は 70万ドル• 一度の情報漏えい被害における被害総
額は 6.75 億ドル(ブランドイメージ、顧客損失、など)
3NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
従来の方式では追いつかない?
• 新しいウイルスの発見からシグネチャ対応まで 7% ~ 37% まで• ゼロデイアタックは、 50% の確立で攻撃されてしまう。
4NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
増え続けるシグネチャ・・・
5NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
TreatStopIP レピュテーション
ブラックな IP アドレスのリスト作成• いろいろなところからマリーシャスな IP アドレスを収集・購入• Email RBL 、アンチウィルスベンダー、 etc.
• 目的に応じて複数のブラックリストを作成• Email server 、マルウェア配布サイト、 Botnet C&C
6NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
リアルタイムに IP リストを更新DShield によって更新された IP アドレ
ス
7NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
ThreatStop のポジション
従来の AV :ばらまき型のウイルス、マルウェア対策 ゼロデイアタック、標的型攻撃
対脅威としてベーシックに必要 最新の脅威対策
8NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
ThreatStop のポジションアプリケーションベースで対策
WEB 、 E-Mail 、 File ・・・IP ベース
IP レピュテーションでそもそもの脅威から/脅威への通信をシャットアウト
9NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
What is TreatStop?
10NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
ThreatStop How it Works?
ブラックリストの配布• ブラックリストの配送に DNS を利用• 顧客にドメイン名を割り当て、顧客がその名前を引くとブラックリ
ストが入手できる
• AnyCast による配信を近々始める• スケーリングの問題は起こらない• 現時点ではサイトは US とヨーロッパだけ
11NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
TreatStop 何がいいの?• 既存のファイアウォールを利用• 設定変更ほとんど必要なし
• ネットワーク構成変更なし• ブラックリストの配布に DNS を使っている• スケールする – DNS は唯一成功している分散 DB• ファイアウォールなどのポリシー変更不要
• ブロックする時点で問い合わせることはない• 必要になる前 ( ルータ起動時など ) に取得する• DNS レコードの TTL が切れたら自動更新
12NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
その他動作ブラックリストの機器への投入
• 機器上でスクリプトを動作させ、ブラックリストの取得とコンフィグへの反映を行なう• スクリプトが動作しない機種では、外部の PC(VM) でそれを動
作させ、 SSH で流し込む
13NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
Deployment 4steps
14NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
Deployment 4steps
15NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
Deployment 4steps
16NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
Deployment 4steps
17NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
IP アドレスリストマルウェアサイト
IP アドレスリストからデータベースを選択DNS キャパシティが多いパワフルな Firewalll はより多くのリストを参照
できます
18NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
IP アドレスリストBotnet
19NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
IP アドレスリスト国別
20NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
IP アドレスリストインバウンドアタック
21NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
Reporting
ブラックリストのブロック結果のレポート作成
• ThreatStop へ送信された機器のログからレポートを作成• Botnet C&C へ通信しようとした PC を発見できる• 発見される PC の IP アドレスは NAT の内側
22NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
レポート管理画面
23NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
24NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
25NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
26NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
27NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
ブロックされた例
Yahoo の広告に Java の脆弱性があるアドウェアが埋め込まれていた。
28NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
Thank youAny Question?