Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Security JAWS 【第9回】勉強会 WAFシグネチャとログとAI

1,136 views

Published on

2018年 5月16日開催 Security JAWS 【第9回】勉強会
タイトル:WAFシグネチャとログとAI

Published in: Technology
  • Be the first to comment

Security JAWS 【第9回】勉強会 WAFシグネチャとログとAI

  1. 1. © 2018 Imperva, Inc. All rights reserved. WAFシグネチャ と ログ と AI Imperva Japan K.K Hiroshi Iwashita Security JAWS 【第9回】 勉強会 2018年5月16日(水)
  2. 2. © 2018 Imperva, Inc. All rights reserved.2 本資料に記載されている事柄は、予告なく変更されることがありますので、予めご了承ください。 本資料は「無保証」で提供され、市場性、特定の目的に対する適合性、または第三者の権利を侵害しないことを含むいか なる明示または暗示保証は一切付与されません。 Imperva , Inc. (以下「Imperva」といいます) は、本書に含まれる技術的および編集上の誤りと欠落について、また、本資料 の内容の実行および使用に起因する直接的、付随的、二次的、その他のあらゆる損害について、Impervaは、そのような損 害の可能性について事前に知らされていた場合でも、一切責任を負いません。 本書には著作権により保護されている情報が含まれています。内部での配布を除き、Imperva, Inc.の事前の書面による許 可なく、本書を、いかなる形式においても複写または複製することを禁じます。 Imperva製品の限定保証については、各製品の付属文書をご参照ください。Impervaは、Imperva製品のみを保証し、他 社製品は一切保証いたしません。 ドキュメント内の情報はすべて「予定されている内容」となります。製品リリース後の実際の情報と異なる場合、いかなる責任 もImpervaは負わないこととします。 本書に記載されているその他のすべての商品名は、該当する各社の商標または登録商標です。 Copyright © 2018 Imperva, Inc., 3400 Bridge Parkway, Suite 200 Redwood Shores, CA 94065 United States All rights reserved. 本資料について(お約束事項)
  3. 3. 自己紹介 岩下 洋司(いわしたひろし) • Imperva Japan K.K • Senior Security Engineer • 某IDS/IPSベンダーに入社 – Support Engineer / MSS Deploy などに従事 • 某国内セキュリティ専業企業 – 複数のセキュリティプロダクトを担当後 テクニカルコンサル/インシデント対応や脆弱性診断などを行う • Imperva社 – Imperva Japan シニア・セキュリティ・エンジニアとして従事 – ネットワーク分野などこれまで培ってきたセキュリティ知識に加え、コンサルタントやト レーナーとしての経験を生かし、ユーザー企業におけるデータセキュリティの普及に取 り組んでいる 今ココ 3
  4. 4. © 2018 Imperva, Inc. All rights reserved. Impervaについて 事業 データセキュリティ製品の開発、販売 設立 2002年(2011年11月 NYSE上場) 本社 米国カリフォルニア州 Redwood Shores CEO Christopher Hylen CTO Terry Ray 創業者 Shlomo Kramer、Amichai Shulman 従業員数 1,100+ 日本法人 株式会社Imperva Japan 2007年設立 代表:長坂 美宏 実績 90カ国以上での事業展開 顧客:5,200社+ 政府機関、金融機関、電気通信事業者、ヘルスケア他多数 クラウド顧客:100,000組織+、3000,000サイト+ 4
  5. 5. © 2018 Imperva, Inc. All rights reserved.5 コンセプト:データセキュリティ Imperva製品/サービスのソリューション DDoS 保護 (+CDN +WAF) Web アプリケーション ファイアウォール データベース&ファイル アクティビティモニタリング 内部不正対策 データマスキング アプリケーションセキュリティ データセキュリティ © 2018 Imperva, Inc. All rights reserved.5 Attack Analystics
  6. 6. © 2018 Imperva, Inc. All rights reserved. AWS WAF で Imperva SecureSphere のシグネチャを提供している件1 セキュリティ装置のアラートが何かと多すぎる件2 ログ分析分野に今後AIが盛んに利用されていくだろう、という件3 このセッションの内容 6
  7. 7. © 2018 Imperva, Inc. All rights reserved. WAFシグネチャ AWS WAF で Imperva SecureSphere のシグネチャ を提供している件 1 7
  8. 8. © 2018 Imperva, Inc. All rights reserved. AWS WAF用 に Imperva が Ruleセットを提供している件 • 2017年11月28日に開催された「AWS re:Invent conference」にて ① Imperva’s Managed Rules for IP Reputation Lists ② Imperva’s Managed Rules for WordPress Protection の提供を開始することを発表 ※ 現在、マーケットプレイスから、Imperva の Managed Rule Setが利用可能 https://aws.amazon.com/marketplace/pp/B077GJ99B1 https://aws.amazon.com/marketplace/pp/B07784QN39 • AWS WAF に Ruleセットを提供することになった背景 – AWS ユーザからのニーズ – AWS サイドから複数のベンダに対するオファー 8
  9. 9. © 2018 Imperva, Inc. All rights reserved. 提供に至るまでの検討事項とよくある質問 • なぜ競合となるAWS WAFに Managed Rule Set を提供するのか? – AWS WAFユーザからの声 – SecureSphere WAF for AWS のユーザ層の違い – AWSサイドとお互いの思惑が合致 • 「AWS WAF with Imperva Managed Rule Set」と、「SecureSphere WAF for AWS」の違いは何ですか? – 機能面:動的アプリケーションプロファイリングや相関攻撃検証エンジンなどのSecureSphere WAFのコア機能 – ルール数:約1/3 (ポリシー表現力の問題) – 提供されるIPレピュテーションの数: 9
  10. 10. © 2018 Imperva, Inc. All rights reserved. Managed Rules for IP Reputation on AWS WAF Imperva 監修 IPレピュテーション情報をAWS WAFへ • 毛色の違った情報:IPレピュテーション情報 – Imperva SecureSphere用 の ThreatRadar(有償オプション)の一部の情報をAWS WAFユーザへ提供 10 Imperva User Community Imperva Incapsula Imperva SecureSphere 脅威を振りまく最新のIPアドレス 情報を世界中のImperva顧客の WAF/Cloud WAFから収集 ThreatRadar Feeds Crowd-sourced from customers Imperva Application Defense Center AWS WAFユーザー 監修
  11. 11. © 2018 Imperva, Inc. All rights reserved. IPレピュテーション情報の有用性 11 Malicious IPsPhishing URLs Anonymous Proxy ToR IPs Comment Spam IPs RFIIP Forensics SQLi IPs Scanner IPs Scraping BOTS Credit Card Cycling Registration BOTS The Power of Community >75% of attacks come from same sources
  12. 12. © 2018 Imperva, Inc. All rights reserved. Appendix: AWS WAFにルールセットを提供しているベンダ(Managed Rules セラー) 12 参考:https://aws.amazon.com/jp/mp/security/WAFManagedRules/ それぞれの違いなど、もし細かい比較資料がご入用の場合は hiroshi.iwashita@imperva.com までご連絡下さい
  13. 13. © 2018 Imperva, Inc. All rights reserved. ログとAI セキュリティ装置のアラートが何かと多すぎる件 2 13
  14. 14. © 2018 Imperva, Inc. All rights reserved. Security alerts volume is increasing 14
  15. 15. Situation At-A-Glance 15 55% Receive more 10,000 alerts per day 54% High amount of stress frustration with alerts 57% Tune policies to reduce alert volume Imperva Survey at RSA Security Conference 2018
  16. 16. © 2018 Imperva, Inc. All rights reserved. WAFアラートの課題視すべき3つの傾向とその解決策 16 膨大なセキュリティアラートを SIEMで分析することの限界 高度な攻撃手法の増加 複数の攻撃が連続してくる状態 Webセキュリティ人材の不足 ビジネスロジックやアセットの理解 も必要 • WAFアラートを集約することは困難 • 調査が必要なアラートを絞り込む • 優先度(優先度)をつけて通知 • セキュリティ担当者が気づかない攻撃を マシンラーニングやクラスタリングの技術 で検知して通知 • シンプルなアラートで通知 • WAF専門のアナリストが実施して いる解析作業を自動化 • ビューの統一
  17. 17. © 2018 Imperva, Inc. All rights reserved. It’s all about the patterns… • セキュリティ境界を越えて世界中で収集された クラスタ・イベント・データ • パターンに基づいてイベントをクラスターにソート およびグループ化する • アラートのボリューム内の攻撃ベースのパターン マッチングを特定する 17
  18. 18. © 2018 Imperva, Inc. All rights reserved. アラート分析に機械学習/AI の技術を投入 Imperva Attacks Analytics • WAFは不審なリクエストを検知 • 攻撃の一連の流れを捉えるには、攻撃元、攻 撃の意図、攻撃方法やツールなど幅広い事象を 元に分析を行う必要がある 18 数百万 アラート 数十インシデント 重要なインシデントを 一連の攻撃の流れとして抽出 Artificial Intelligence Machine Learning
  19. 19. © 2018 Imperva, Inc. All rights reserved.19 How it works ざっくり言うと、、、
  20. 20. © 2018 Imperva, Inc. All rights reserved. ちょっとだけ… Attack Analytics の AI • WAFアラートのための教師なし学習 • 距離関数: 𝐹{𝑡𝑖𝑚𝑒,𝑠𝑜𝑢𝑟𝑐𝑒, 𝑑𝑒𝑠𝑡𝑖𝑛𝑎𝑡𝑖𝑜𝑛, 𝑡𝑎𝑟𝑔𝑒𝑡, 𝑝𝑟𝑜𝑡𝑜𝑐𝑜𝑙, 𝑃𝑎𝑟𝑎𝑚𝑒𝑡𝑒𝑟𝑠, 𝑎𝑛𝑑 𝑚𝑜𝑟𝑒…} • WAFメタデータ: violation, attack type, client classificationなど… • ThreatRadar intelligence(弊社独自のナレッジ) • 重要度はクラスタ比較関数として定義: – 𝐹{𝑠𝑖𝑧𝑒 𝑜𝑓 𝑛𝑎𝑟𝑟𝑎𝑡𝑖𝑣𝑒, % 𝑏𝑙𝑜𝑐𝑘𝑒𝑑, 𝑎𝑡𝑡𝑎𝑐𝑘 𝑡𝑦𝑝𝑒 𝑎𝑛𝑑 𝑚𝑜𝑟𝑒…} 20
  21. 21. © 2018 Imperva, Inc. All rights reserved. もうちょっと… Attack Analystics分析の流れ 21 【Analysticsフロー】 【アーキテクチャイメージ】
  22. 22. © 2018 Imperva, Inc. All rights reserved. Webセキュリティアナリストに対しても価値を提供 22 • アナリストの時間を節約 • 膨大な攻撃状況の可視化 • 均一な分析プラットフォームの提供 高度な グルーピング 攻撃の 一連の流れ 優先度 を分析 前後関係 の分析 1. SQLi Scan: 993 SQLi attempts from IP X during 6AM-10AM 2. Manual Attack: 725 SQLi alerts from a single IP 11:00-11:20 3. Distributed XSS: 3,400 XSS attempts from 20 IPs 7:00-7:01 4. Automated tool: 1,050 alerts from 50 IPs using a programmatic tool 5. Scan: 2365 various alerts from 2 Ukrainian IPs 08:02-08:05
  23. 23. Attack Analytics 画面イメージ(ダッシュボード) 23 Narrative タイトル 重要度による インシデントの分類 解析した攻撃の 重要な要素をハイライト
  24. 24. Attack Analytics 画面イメージ(インシデントビュー)
  25. 25. Attack Analytics 画面イメージ(インシデント画面) 25 Incident information: –Attack type –Source info –Detected tool –Targeted host and URL –No. of events –Percentage of blocked events –Time stamp of the latest event –Severity (Minor/Major/Critical) –Status (Acknowledge)
  26. 26. インシデントの詳細 26 よりスピーディな解析をサポートするために 様々な攻撃の側面を表示 イベントの生データを参照可能
  27. 27. © 2018 Imperva, Inc. All rights reserved. ログとAI(CloudSphereコンセプト) ログ分析分野に今後AIが盛んに利用されていくだろう という件 3 27
  28. 28. リリース前情報多数 のため公開自粛 28 今後のImpervaからの情報発信にご期待下さい
  29. 29. © 2018 Imperva, Inc. All rights reserved.29 © 2018 Imperva, Inc. All rights reserved. Question??
  30. 30. ご清聴ありがとうございました Imperva Japan K.K www.imperva.com hiroshi.iwashita@imperva.com

×