Upgrade to Pro — share decks privately, control downloads, hide ads and more …

第88回 雲勉【オンライン:中級者向け】DeepSecurity(C1WS)機能紹介 _現場か...

l_tanno
November 11, 2022

第88回 雲勉【オンライン:中級者向け】DeepSecurity(C1WS)機能紹介 _現場から出た_にもこたえてみた

l_tanno

November 11, 2022
Tweet

More Decks by l_tanno

Other Decks in Technology

Transcript

  1. 0.講師⾃⼰紹介 1 ▪ 安彦 ⼒樹 • CI事業部 セキュリティセクション 東京第一グループ •

    経歴︓ 2018年 4⽉〜2020年 1⽉ 飲⾷店勤務 2020年 8⽉ アイレット⼊社 • アイレット歴︓2年ちょい • 主な業務︓C1WS (※)を利⽤したsecuritypackの運⽤等 • ふたこと︓初登壇です︕よろしくおねがいいたします︕ 好きなウィスキーはアードベッグです︕ ※以降、Trend Micro Cloud One™ - Workload Securityは「C1WS」と略してお話しさせていただきます。
  2. 6 1.DeepSecurityとC1WS Trend Micro Cloud One™ - Workload Security(C1WS) ▶

    Deep Security のSaaS版であり、セキュリティ機能に変化はありません。 旧製品名称︓Deep Security as a Service (DSaaS) ★⼤きな違いはマネージャサーバを ⾃前で⽤意するかどうか。 ★あくまでC1WSはDeep Security に属する製品という位置付けです。 https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud.html
  3. 2.C1WS機能紹介 8 機能名 簡単な紹介 不正プログラム対策機能 サーバへ侵⼊したマルウェア対策 ファイアウォール機能 ファイアウォール設定が可能 WEBレピュテーション機能 サーバから不正ページへのアクセス防⽌

    侵⼊防御機能(IPS/IDS) サーバへの不正な通信を検知・遮断 変更監視機能 監視対象のファイルの作成、更新、削除の検知 セキュリティログ監視機能 監視対象のOSのセキュリティイベントの検知 アプリケーションコントロール 意図しないアプリケーションのインストール等を制限 機能紹介 ※ファイアウォール機能とアプリケーションコントロールを除く機能をサービス「securitypack」にて提供しております。
  4. 2.C1WS機能紹介 9 機能紹介(不正プログラム対策機能①) ・対象︓ ウイルスやトロイの⽊⾺などの可能性のあるファイル。 ・どのように: トレンド社の脅威データベースの情報をもとにチェックします。 ・処理︓ 削除、隔離、放置、駆除(⼀部脅威に対して選択可能) ・スキャン⽅法︓

    リアルタイム – 読み書きが⾛った瞬間にスキャン。 オンデマンド – 最新のパターンファイルで全ファイルスキャン。 ⼿動スキャン、予約(定時)スキャンがある。 C1WSコンソールより引⽤
  5. 2.C1WS機能紹介 10 機能紹介(不正プログラム対策機能②) ・パターンファイルとは ウイルス対策ソフトがマルウェアを検出する際に用いる情報を含んだ一種のデータベースのこと。 ▶ 更新日時が最新であることが良いとされている。 ②いつ更新されるか分からないから、 1時間に1回状況を確認するよ︕ ・トレンドマイクロ社のパターンファイル更新頻度

    基本的に曜日・休日を問わず毎日。1日に複数回更新される場合もある。 ▶あくまで更新のみ。自身の運用している環境に反映するためにはDLする必要がある。 ①パターンファイル更新したよ︕ ・弊社の運⽤の場合 ⾃動化して最新の状態をキープ !
  6. 2.C1WS機能紹介 11 機能紹介(侵⼊防御機能①) ・対象︓ サーバ上で発信および受信される通信の中の脆弱性に該当する通信。 ・どのように︓ 侵⼊防御ルールを割り当て、通信がそのルールに合致するか検査する。 ex)XSS⽤のルール、log4jの脆弱性に対するルールなど ・処理︓ 検出モードの場合

    – 検知イベントが作成されるだけ。 ▶誤検知が⽣じやすいルールや仮運⽤期間に利⽤。 防御モードの場合 – 検出イベントが作成され、その通信は遮断される。 ▶アクセスログに書き込まれない。 ★主にL3〜L6の保護(⼀部L7まで対応が可能) 仮運用期間とは? ここではサービスがリリースしたてで どのような通信がC1WSで検知するか わからない期間を指しています。 この時期は攻撃通信とサービスの通信を 判別する材料が少ないため、 侵入防御ルールを検出モードで稼働させ、 通信の検知動向を確認しています。
  7. 2.C1WS機能紹介 13 機能紹介(侵⼊防御機能②) ▪侵⼊防御機能で対策が難しい攻撃 ・DDoS攻撃 複数のコンピューターを利⽤してサイバー攻撃を仕掛け膨⼤なデータを 攻撃対象のサーバへ送ることで、結果としてより過剰な負荷がかかることで サービス停⽌に追い込む攻撃 ▶侵⼊防御機能の仕様上サーバ到達前に通信を遮断することができない。 ・ブルートフォースアタック

    いわゆるパスワード総当たり攻撃です。 ▶パスワード失敗は脆弱性が介在しないため攻撃に合わせた 柔軟なアクセス制御を行う侵入防御ルールが用意できない。 ※指定時間内に しきい値を超過した過剰アクセスを検知するルールはあります。 引⽤元︓https://www.ntt.com/business/services/network/internet-connect/ocn- business/bocn/knowledge/archive_18.html ★他のセキュリティ機能を併⽤して多⾯的に保護することが⼤切︕
  8. 3.現場で出たC1WSの「︖」 19 ③セキュリティログ監視と変更監視の違いは︖ 主に監視している箇所が違います。 変更監視機能 機能 セキュリティログ監視機能 サーバ内のファイル 監視箇所 OSのイベントログ

    監視対象の作成/更新/削除 検知理由 特定のOSイベントの表⽰ リアルタイム/オンデマンド 検知タイミング リアルタイム 更新時間、ハッシュ値に留まり ファイルの中⾝は確認できない。 イベントの中⾝ 検知したセキュリティイベントがその ままC1WS上に表⽰される 検出のみ 検知後処理 検出のみ
  9. 3.現場で出たC1WSの「︖」 24 ⑤各サーバに適切なルールを割り当てるのは⼤変では︖ 推奨設定の検索を利用することで ルール割り当ての負担を最小限にできます。 ただし、、、 ・一部のルールは推奨検索により推奨されないため、 必要の場合は手動で割り当てる必要がある。 (XSS用のルールや自作ルールなど) ・推奨されるルールはあえて広い範囲で推奨されるため、

    脆弱性がないのに割り当てられる場合もある。 (WPを利用していなくてもPHPが入っていれば推奨される) 推奨設定の検索とは? エージェントがOS内を検索し、 インストールされたアプリケーションや オープンポート、設定などをチェックし、 そのOSに合ったルールを抽出する機能。
  10. いろいろ聞いてきたけど、、、 28 ▪ C1WS導⼊要件よくわからん。 ▪ 実際に運⽤しないとわからないことって多くない︖ ▪ 深夜にアラートが⾶んできたりするんでしょ︖ ▪ C1WSのライセンス等、アカウント管理が⾯倒、、、

    ▪ 知識0から運⽤していくにはラーニングコストが⾼い、、、 ▪ アプリ開発に⼒注ぎたいからできればリソース割きたくない、、、 ▪ ルール多すぎて何を追加するべきか絶対悩む、、、 ▪ どっかに任せたい。。。
  11. 4.最後に -サービス「securitypack」について- 30 セキュリティ機能をオールインワンで提供。 有⼈によるセキュリティ監視を24時間365⽇リモートで対応。 ※securitypackを契約いただくためにはcloudpack監視運⽤保守サービスを 契約いただく必要があります(securitypackのみのサービス提供はございません)。 ▪ C1WS導⼊要件よくわからん。ルール設定悩む ▶初期構築、ルール設定を代⾏します。

    ▪ 運⽤、管理にリソース割きたくないし深夜のアラート対応つらい ▶24365の体制で監視し運⽤の代⾏をします。 ▪知識0から運⽤していくにはラーニングコストが⾼い ▶現在1000サーバ以上の運⽤している実績から得たノウハウ を元にサポートしていきます。 …etc