427 Views
March 10, 16
スライド概要
2016.3.10に行われた「Amazon CloudFront で今すぐ始める WAF/SSL 証明書セミナー」で話した講演資料です。パリのテロ直後にあったサイバー攻撃の実例を元にAWS WAFとDeep Securityと連携した対策について詳細とポイントについてまとめてます。
2016.3.10 Amazon CloudFront で今すぐ始めるWAF/SSL 証明書セミナー パリのテロ事件で遭遇した実際のサイバー攻撃から あなたのWebを守り抜くための 3つの実装ポイント アイレット株式会社 後藤 和貴
☁ cloudpack事業 執行役員 • エバンジェリスト • 営業、PR、ウェブ… ☁ バックグラウンド 執行役員 / エバンジェリスト 後藤 和貴 @kaz_goto • Oracle カスタマーサポート→開発@HQ • ウェブデザイン会社 • テクニカルディレクター(フリーランス)
アイレット株式会社 設立 2003年10月15日 資本金 7,000万円 代表者 齋藤 将平 従業員数 117名(2016年3月現在) 事業内容 システム開発・保守 マネジドホスティング
について
AWSを活用しながらビジネスに集中できる コンシェルジュサービス
cloudpackビジネス 設計支援 コンサル MSP 運用保守 システム 開発
24時間365日 監視運用保守 企業 定額課金/ 請求書払い PCI DSS、ISMS、Pマーク取得済みの運用体制 AWS
50,000時間 連続稼働 (※) (2,100日以上) ※ 2010年5月cloudpackサービススタート
6年間AWSのみで運用保守 4社 6年間 600 1200 プロジェクト超 社超
ワンストップでシステム開発から運用保守まで
プレミアコンサルティングパートナー アジア地域5社 最上位パートナー 世界46社
企業規模別 cloudpack利用比率 36 % 中小企業 27 % 中堅企業 37 % 大企業
cloudpack セキュリティの取り組み
securitypack ☁ Deep Security導入から 運用保守までをサポート ☁ 24時間365日、 システム監視と運用・保守 ☁ 脆弱性情報の提供 ルール設定代行 ログ分析など
安全なネットワーク ☁ AWS Direct Connect ☁ 専用接続プラン with 光
安全なデータアップロード ☁ ダイレクトインポート • 完全プライベート回線経 由でAWSへ • 機密レベルの高いデータ のやりとり • マイグレーション時のダ ウンタイム最小化
認証・セキュリティの取り組み PCI DSS監査証明マーク ICMS-PCI0162/PCI DSS +セキュリティルーム ICMS-PCI0162/PCI DSS ※写真はイメージです PCI DS PC ICMS PC ICMS
SOC2レポート受領 • 米国公認会計士協会(AICPA)が定 める、財務報告目的以外の受託サー ビスに関する内部統制の保証報告書 • 監査法人や公認会計士が独立した第 三者の立場から、客観的に検証した 結果を記載したもの • AWS上でのSOC2受領は日本初!
セキュリティ ホワイトペーパー • 国際・国内セキュリティ基準への取 り組み • ソフトウェア脆弱性情報に関する取 り組み • 業務ネットワークのセキュリティ • 運用上のセキュリティ保持体制
ドコモ・クラウド パッケージ • NTTドコモ社のクラウド導入・構 築・運用管理ノウハウやツールを パッケージ化 • セキュリティデザインパータンやテ ンプレートを提供 • 準拠したSIをcloudpackで実施可能
昨今のセキュリティ攻撃状況
一般社団法人JPCERTコーディネートセンター JPCERT/CC インシデント報告対応レポート[2015年10月1日~2015年12月31日] https://www.jpcert.or.jp/pr/2016/IR_Report20160114.pdf
ウェブサイト改ざんの傾向 改ざんされた Web サイトを確認したところ、埋め込ま れる不正なコードには、body タグの直後に cookie を送 信する JavaScript と、攻撃サイトに誘導する iframe が埋め込まれているという特徴がありました。また、誘 導先の攻撃サイトでは、マルウエアに感染させるため に、Internet Explorer や Adobe Flash Player の脆弱性 が使用されていました。 上記のような改ざんが行われた Web サイトでは、 WordPress を使用しているという共通点が見られまし た。WordPress のような CMS を使用している Web サ イトは、CMS やそのプラグインのバージョンが古い場 合、脆弱性をつかれて改ざんされてしまう恐れがありま す。Web サイトの管理者は、CMS を常に最新のバー ジョンに維持し、不要なプラグインを削除するなどの対 策を取ることが重要です。 同 インシデント報告対応レポート より http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/manipulation/ 自社サイトの改ざん被害のみならず、 不正なマルウエアを感染させることになり 被害拡大の支援をすることになる
WordPressが攻撃されるケース 管理者ページへの不正ログイン 攻撃者 攻撃者 プラグインを中心とした 脆弱性を悪用した不正侵入
もし改ざんされると…
自社サイトが改ざんされる ↓ 自社サイトへアクセスしたユーザーが不正なサイトへ転送される ↓ 誘導されたサイトでマルウェアに感染 ↓ さらなる被害へ
一般社団法人JPCERTコーディネートセンター インシデント報告対応レポート 2015年4月1日~2015年6月30日 https://www.jpcert.or.jp/pr/2015/IR_Report20150714.pdf
改ざん検知からサイト再開まで 1. ウェブサイトが改ざんされる 2. ウェブサイト停止(閲覧者への被害拡大停止のため) 3. 原因・影響度の調査 4. ウェブサイト復旧 (最悪のケース、OS・アプリの再構築) 5. ウェブサイト再開 サイト停止から復旧までが長いとビジネス的なインパクトが多い
DDoS攻撃に関する統計 ☁ 2014年第4四半期との比較 • DDoS攻撃の総数が148.85%増加 • インフラストラクチャレイヤー(レ イヤー3および4)に対する攻撃が 168.82%増加 • 平均攻撃時間が49.03%減少: 14.95時間対29.33時間 • 100Gbpsを超える攻撃数が 44.44%減少:5件対9件 出典: Akamai https://www.akamai.com/us/en/about/news/press/2016-press/akamai-releases-fourth-quarter-2015-state-of-the-internet-security-report.jsp
いつ誰が標的になるかわからない
実際のサイバー攻撃事例
2015.11.13
https://ja.wikipedia.org/wiki/パリ同時多発テロ事件
パリとの時差 日本 -8時間
2015/11/12 23:26:29(JST)
この時は “パリからの攻撃なんだ” ”珍しいな”と
55,247 特定のお客さまの環境での総検知数
Dynamic Protection 動的な対応
☁ 未知の攻撃のを含む可能性を考慮して、 随時NACLに登録(運用負荷高い) ☁ IPコロコロ替わってイタチごっこ(40近 く) ☁ ”195.154.0.0/16”と登録したかったが、 数が微妙だった(最終的には登録した)
別の環境にて NACLでの遮断後も検知継続
受け身ではツライので DS → WAF 連携を思いついたが…
☁ 直前の送信元IPアドレスがCloudFrontなので、 X-Forwarded-Forに記録されたIPをNACLに登録し ても遮断ができない。 ☁ 当時はAWS WAFが出たばかりで、 テスト無しでの本番投入はハードルが高かった。
IP制御を速やかに CloudFrontまで持っていく 必要があった
System Integration システム連携
n a s Mark GJ!! https://github.com/deep-security/aws-waf
静的情報 (IP List)を AWS WAFへ登録するもの だけど、使えるのでは?
よろしい ならば実装だ
Deep Security検知ログを作成 http://files.trendmicro.com/jp/ucmodule/tmds/96/sp1/Deep̲Security̲9.6̲SP1̲Admin̲Guide̲JP.pdf
不正アクセスIPの集計
Deep Security Managerへプッシュ
Deep Security MangerからAWS WAFへ連携 http://qiita.com/fnifni/items/8ae2b49d5fe6af3d08fe
1度設定しておしまいではない 新たな脅威、不要となった設定などを 最適化していく必要がある
Tuning Rules 運用・ルール最適化
チューニングのポイント ☁ 推奨設定の検索 ☁ 対応済みの脆弱性のルールは外す(検知ベー ス) ☁ 検知傾向を知る(どんな通信を検知するか) ☁ サービスで使用している通信か否か • URI, POST, XML, SQL, CSS, HTML, SSL…
システムは生き物 攻撃も生き物 チューニングは運用の一部
セキュリティ製品は 運用が命!
でも なんでDeep Securityでできることを AWS WAFにやらせるの?
異常に気づいてから 復旧まで1週間 もともとはOCN経由で自社 データセンター運用(推測) ↓ 攻撃負荷が高く調査も難航、 一旦停止せざるを得ない状態 http://d.hatena.ne.jp/Kango/20160116/1452985392
CloudFront EC2 WAF Deep Security Manager WAFでサーバー負荷をオフロード 単なるDDoS攻撃ではびくともしないサイトへ
セキュリティ対策事例
ハイレベルなセキュリティ基準 ☁ AWSで国内初のPCI-DSS Level1環境の構築の実績 • PCI-DSSとは • PCI DSS (Payment Card Industry Data Security Standard) は国際カードブランド5 社(Visa、MasterCard、JCB、American Express、Discover) が共同で設立したPCI SSC(Payment Card Industry Security Standard Council)によって策定されたグロー バルセキュリティ基準。 • 世界のクレジットカード会社が求める プレスリリース(http://www.cloudpack.jp/press/20130308.html) セキュリティ実装のスタンダード
Coiney 既存サイトをPCI DSS Level1に準拠させる為、 cloudpackはインフラ構築・セキュリティ面でのコンサルティングを担当
実践的セキュリティ対策 アプリケーション ☁ ユーザー責任範囲 データ • 権限設定、ネットワーク設定 ランタイム • ソフトウェアのアップデート ミドルウェア OS 仮想化 サーバー ストレージ ネットワーク • セキュリティログの収集・管理 • データの暗号化 • ウイルス対策 etc… ☁ AWS責任範囲
改ざんから検知の流れ(初期アイディア) 攻撃者 2.ファイル 改ざん 1.バックドアを操作 Victim web 3.アラート送信 4. 自動復旧シナリオ実行 Real time log store
改ざんから復旧までのメカニズム 攻撃者 ファイル改ざん Firewall Deep Security Agent ・・・・・・・・・・・・・・・・・・・・・・ 改ざん検知 ログに記録 削除命令 LOG 自動リカバリー開始 リカバリー命令 Auto-Healingプログラム オリジナル ファイルで リカバリー
Webセキュリティを保護するセキュリティツール。 自動化を実行する為の、最初のトリガーを担当。 Deep Security Agent git(ギット) コンテンツ・アプリのソースコードなどの変更履歴 を記録・追跡・保存するための分散型バージョン管 理システム。 コンテンツのオリジナルデータ先として利用。
バッドロボットからの リクエストを自動的に対処 • • 人間ではアクセスしない リンクを仕込む API Gateway→Lambda→WAF という連携でブロック制御 http://blogs.aws.amazon.com/security/post/Tx1G747SE1R2ZWE/How-to-Reduce-Security-Threats-and-Operating-Costs-Using-AWS-WAF-and-Amazon-Clou
クラウド 導入事例 100+ (※) http://cloudpack.jp/casestudy ※ 2015年11月時点
Deep Security User Group 勉強会なども 開催中
CloudFront / WAF ソリューション
業界最安値 CDN専用プラン AWSは直接契約するよりもcloudpackの方が安く利用できます https://cloudpack.jp/lp/cdn/
【初公開】CDN専用プラン WAFオプション ☁ 基本料金 1,500円/月 • Web ACL x1 + 最大5ルール ☁ 設定変更 1万円~ • 作業内容により応相談 ☁ ルール追加その他応相談 • Deep Security連携など AWS WAF
まとめ
まとめ • 複雑化・高度化するサイバー攻撃には、1)動的な対応、 2)システム連携、3)運用・ルール最適化 が求められる • ツール・サービスも高度な連携が可能な時代に DSとAWS WAFの連携でProactiveな対策を • 最適なルールの適用が最大の防御 =ツール任せではなく人による運用が大切