symantec critical system protection 製品紹介 7.1 aix 6.1 aix 5l 5.3 -- 64-bit kernel aix 5l 5.3...
TRANSCRIPT
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
Symantec Critical System Protection 製品紹介
サイバネットシステム株式会社
IT事業部 セキュリティソリューション室
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
事業内容 CAE・シミュレーションソフトウェアおよびITソフトウェアの開発・販売,各種セミ
ナーをはじめとするユーザー教育,技術サポートおよび受託解析・コンサルティング
等のエンジニアリングサービスの提供,ならびにインターフェース,モデルおよび解
析モジュール等の開発
名 称:サイバネットシステム株式会社
本 社:東京都千代田区神田練塀町3
支 社:西日本支社 / 中部支社 / 九州オフィス
設 立:1985年4月17日
資本金:¥995,000,000
社員数:522名(連結)357名(単体)
(2012年3月31日現在)
サイバネットシステム会社紹介
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
リアルタイムに監視、
アラート
vSphere環境の保護
ゼロデイ攻撃、標的型 攻撃からの保護
Symantec Critical System Protection (CSP)
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
監査 &
アラート
ファイルの整合性をリアルタイムで監視。(コンプライアンス)
リアルタイムでアラートを通知。
コンフィグレーションをロックダウン。
ログ、ファイルの改ざんを防止。
アクセス可能なデバイスを制限。
Backdoorを封鎖。
アプリケーションの接続を制限。
ホストファイアウォール。
ゼロディ攻撃からの防御。 ⇒ Sandboxing
ユーザーレベルでアプリケーションの操作を制限。
⇒ Least Privilege(最小特権機能)
バッファーオーバーフロー保護。
Host IDS(侵入検知)
Host IPS(侵入防止)
システムの 制御
ネット ワーク 保護
脆弱性を突く攻撃の防
御
CSP機能概要
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
Host IDS(侵入検知)ポリシーの動作
SCSPエージェント
Office
ブラウザ
… crond
RPC
LPD Printer
コア OS サービス
アプリケーションサービス
対話型プログラム
設定、リソース アプリケーション、プログラム
管理コンソールにアラートを通知
設定
設定ファイルの 作成/変更/削除
ファイル
ファイルの 作成/変更/削除
SCSPのログにイベントを記録
検出
検出
… メール
Web
データベース
システム、 アプリケーション
セキュリティ イベント
システムまたは テキストログ
1.
2.
3.
1.
2.
3. 検出
イベント情報を収集し、IDSポリシーと比較
Windows, Linux, UNIX
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
Host IPS(侵入防止)ポリシーの動作
アプリケーションプログラム
対話型プログラム
… メール
Web
データベース
… DNA
RPC
LPD Printer
コアOS サービス
アプリケーションサービス
Office
ブラウザ
Symantec Critical System Protection
ビヘイビア コントロール エージェント
Windows, Linux, UNIX
設定、リソース
ファイル
メモリ
レジストリ
名前付きパイプ
ネットワーク制御
OS呼び出し
デバイス
起動
SCSP エージェント
SCSP管理サーバー
カーネルモードで実行されたシステムコールを読み取り、IPSポリシーを強制
制御
制御
制御
操作
変更
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
Host IPSポリシーの種類(デフォルトのテンプレート)
Targeted
OSのコア機能を保護 + アプリケーションに制限なし •OSのハードニング(要塞化) + バッファオーバーフロー保護 Core
サーバーアプリケーション以外の実行を制限 •Strictポリシー + ホワイトリスト未登録の対話型アプリケーションの実行を遮断
Limited Execution
OSとアプリケーションを完全保護 •OSのハードニング + バッファオーバーフロー保護 + ネットワークの制御
Strict
特定の目的のためにカスタマイズ可能なポリシー •アプリケーションの稼働に制限も設定しておらず、特定の用途・目的のためにカスタマイズして、使用可能なIPSポリシーです。
弱い
強い
保護レベル
バッファーオーバーを起こすプログラムやネットワークのインバウンドを除いて、未知のプログラムも起動可能。
HTTP、LDAP、SCSPが使用するポート(80、135、389、443)以外のアウトバウンドを制限。
ホワイトリスト未登録の対話型アプリケーションの実行を遮断。
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
Host IPSの運用例
• セキュリティ証明書のアクセスを遮断。
• CSPの管理コンソールにログを表示。
⇒ 管理者にメールで通知。SNMPアラート送信も可能
管理コンソール
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
最小特権をアプリケーションに付与し制御
ファイル
レジストリ
ネットワーク
デバイス
ファイルシステム、 設定情報
アクセス制御
設定、リソースを制御 アプリケーションプログラム
メモリ
ポート、デバイスの使用
ユーザーの権限レベルで、実行可能なアプリケーションの操作などを制御
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
信頼済みユーザーやアプリケーションのみ、重要なデータの変更を許可
ポリシーで認められていないユーザーによるアクセスを遮断
ポリシーで認められたユーザーはアプリケーションの実行や変更が可能。 ユーザーやプロセスごとに、
アクセス可能なリソースの制限についてポリシーを定義
1
2
3
4
最小特権の付与による運用例
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
VMware ESXi
管理サーバー 管理コンソール MS SQL Server
監視対象のサーバーごとにエージェントをインストール
監視対象のゲストVMごとにエージェントをインストール
CSPシステム構成
※ エージェントは、Windows、UNIX、Linuxに対応。
Email、SNMPトラップによりアラートを送信
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
CSP 対応OS
Red Hat Linux
Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 5
Red Hat Enterprise Linux 4
Red Hat Enterprise Linux 3
HP-UX HP-UX 11i V3 (11.31) (64-bit) HP-UX 11i V2 (11.23) (64-bit) HP-UX 11i V1 (11.11) (64-bit) HP Tru64 5.1B-3
Windows Windows 2012 Windows 2008 R2 (Standard Edition and Enterprise Edition) Windows 2008 (Standard Edition and Enterprise Edition) Windows 2003 R2 (Standard Edition and Enterprise Edition) Windows 2003 (Standard Edition and Enterprise Edition) Windows XP Professional, Windows XPe
Windows 7 (32&64bit) Windows Embedded Standard 7
Windows 2000 (Advanced Server, Server and Professional) Windows NT4
Community ENTerprise Operating System
CentOS 5 CentOS 6
SUSE Linux
SUSE Linux Enterprise Server 11
SUSE Linux Enterprise Server 10
SUSE Linux Enterprise Server 9
SUSE Linux Enterprise Server 8
Solaris
Solaris 11- Solaris 10 -- Global Zone
Solaris 10 – Global Zones Solaris 10- Local Zones Solaris 8 &9
AIX
AIX 7.1
AIX 6.1
AIX 5L 5.3 -- 64-bit kernel AIX 5L 5.3 -- 32-bit kernel AIX 5L 5.2
AIX 5L 5.1
Supported and Hardened Hypervisors VMware Server ESXi 5.0 Host VMware Server ESX 4.1 Host VMware Server ESX 3.5 Host
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
CSPエージェントの使用するリソース
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
CSPにより多種多様なシステムを保護
DNSサーバー、ドメインコン
トローラーなど
POS端末
Kiosk / ATM
制御系システム
医療系システム
CSP
サポートが終了したOSの保護
※ Wincor Nixdorf社とは
パートナー契約を締結
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
Black Hat 2011/2012での挑戦
• 年次セキュリティカンファレンスBlack Hatに出展
• パッチ未適用のWindows XPにStrict Prevention Policyを適用し「Capture The Flag」用に展示
• ハッカーによるFlagの奪取を2年連続阻止
D20D54CB D95219ED 0C8A5EFC 0B3B05F6 5D517707 D53BB586 5F104F77 9C44481F
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
• ウイルス定義ファイルを使用せず、ポリシーにより、設定済み・許可済みの操作のみを実行
⇒ポリシーベースで、セキュリティ脅威とユーザー権限の悪用から保護
• アプリケーションやプロセスの状態、変更を監視
• ユーザー権限の悪用を阻止
• 脅威を不活性のままファイルシステム内に閉じ込める
⇒ Sandboxing
• ウイルス定義ファイルとインサイトレピュテーション情報により、振る舞いによるマルウェアの検知力を向上
• マルウェアの挙動を遮断
• 脅威を検疫、駆除
Critical System Protection Endpoint Protection
Symantec Critical System Protectionと Symantec Endpoint Protectionの比較
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
Symantec Critical System Protectionと Symantec Endpoint Protectionの比較
機能 Symantec Critical System Protection
Symantec Endpoint Protection
サポートOS Windows, Linux, UNIX Windows, Linux, Mac OS
シグネチャ、振る舞いベースのマルウェア検知
× ○(SONAR機能により)
デバイス制御 ○ ○
ファイアウォール アプリケーションレベル(Layer 3 & 7) Layer 2 -7
ネットワーク侵入防止 × ○
Host IPS ○ ○
Host IDS ○ ×
Buffer Overflow ○ ○(ネットワーク侵入防止機能により)
システムロックダウン ○ ○
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
VMware vSphere 5.0 の保護を提供
主な機能
• ESXi ゲスト(IPS/IDS)
• 役割や管理基準に基づいた
ポリシーの設定
• ESXi ハイパーバイザー(IDS)
• vCLI経由で監視
• ファイル整合性の監視
• コンフィグレーション監視
• vCenter 管理サーバー
(IDS/IPS)
• vCenter環境の改変防止
• admin権限の制限
• パッチ適用作業の軽減
※ ESXi、vCenterのポリシーは
VMware Hardening Guide準拠
VM1 VM2 VM3
APP
WINDOWS OS
APP
NON-WINDOWS
OS
APP
OS
ESXi vCenter
vCLI
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
VMware Hardening Guideに準拠したポリシーを提供
VSH01 – Maintain supported operating system, database, and hardware for vCenter
VSH02 – Keep VMware center system properly patched
VSH03 – Provide Windows system protection on VMware vCenter server host
VSH04 – Avoid user login to VMware vCenter server system
VSH06 – Restrict usage of vSphere administrator privilege
VSH10 – Clean up log files after failed installations of VMware vCenter server
VSC03 – Restrict access to SSL certificates
VSC05 – Restrict network access to VMware vCenter server system
VSC06 – Block access to ports not being used by VMware vCenter
VUM03 – Provide Windows system protection on Update Manager system
VUM04 – Avoid user login to Update Manager system
HMT03 – Establish and maintain ESXi configuration file integrity
HMT15 – the “messages” kernel log file should be monitored for specific errors
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
監視 / IDSのみ
IPSのTargeted ポリシーで運用
学習モード (ログ出力のみ)
IPSポリシーにより 保護
フェーズ1
フェーズ2
フェーズ3
フェ
ーズ
時間軸
• IDSポリシーを適用し、サーバーを監視
• ファイルインテグリティモニター(FIM)により、リアルタイム監視
フェーズ4
• IPSのTargetedポリシーを使用し、特定のアプリケーションやプロセスのみを制御
• 誤検知、誤停止のリスクなく、TargetedポリシーによるIPSを運用
• IPSによるサーバー保護ポリシーを適用し、ログ出力のみの学習モードで運用
• サーバーのイベントを精査し、IPSポリシーをカスタマイズ
• 特定のサービス、アプリケーションを制御するポリシーを作成
• IPSポリシーにより、サーバーを保護
• 運用しながら、ポリシーを再調整
CSP 導入・標準化のステップの例
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
競合他社の弱み
CSP 競合比較
• 限られた機能
• システムのパフォーマンスに影響
• モニタリングおよび保護に関してはアドオンが必要(追加費用)
Capability Symantec Tripwire Trend Micro
(Deep Security) McAfee
(ToPS and HIP)
監視(コンプライアンス対応)
コンフィグレーションモニタリング ● ● ● ●(別ライセンス)
ファイル完全性のモニタリング ● ● ● ●(別ライセンス)
不正侵入検知 ● ◯ ◑ ◑
脅威対策
ホストベースのファイアウォール ● ◯ ◑ ◑
ファイルおよびコンフィグレーション のロックダウン ● ◯ ◯ ◑(別ライセンス)
管理者権限によるロックダウン ● ◯ ◑ ◑
マルウェアによる不正行為防止 ● ◯ ◑(定義ファイルベースのIPS) ◑
デバイスコントロール ● ◯ ◯ ◑
アプリケーションコントロール ● ◯ ◑ ◑
管理
管理サーバーによる集中管理 ● ◑ ● ●
ポリシーテンプレート ● ● ◯ ◯
マルチプラットフォーム対応 ● ● ◑ ◑
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
導入事例
• 小売業 120,000クライアント
• 健康保険会社(米) 250,000サーバー
• 法律事務所(米) 150サーバー
• 投資信託会社 10,000サーバー • その他、電力会社、航空宇宙製造会社、ケーブルテレビ局(米)、
銀行(米、中国、フィリピン、その他国々)電気通信事業者など
© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.
CSPに関するお問い合せは
Symantec Platinumパートナー
サイバネットシステム株式会社
IT事業部 セキュリティソリューション室
TEL : 03-5297-3487
FAX : 03-5297-3646
Mail:[email protected]
http://www.cybernet.co.jp/symantec/