1. 2014/7/24 1
NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.1
TreatStop
DDoS/マルウェアの新しい対策
株式会社ネットワークバリューコンポネンツ
2. 2NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
マルウェアの脅威
• 2010年度の米国における
マルウェア被害の平均は70万ドル
• 一度の情報漏えい被害における被害総
額は6.75億ドル(ブランドイメージ、顧客
損失、など)
3. 3NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
従来の方式では追いつかない?
• 新しいウイルスの発見からシグネチャ対応まで7%~37%まで
• ゼロデイアタックは、50%の確立で攻撃されてしまう。
4. 4NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
増え続けるシグネチャ・・・
5. 5NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
TreatStop
IPレピュテーション
ブラックなIPアドレスのリスト作成
• いろいろなところからマリーシャスなIPアドレスを収集・購入
• Email RBL、アンチウィルスベンダー、etc.
• 目的に応じて複数のブラックリストを作成
• Email server、マルウェア配布サイト、Botnet C&C
6. 6NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
リアルタイムにIPリストを更新
DShieldによって更新されたIPアドレス
7. 7NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
ThreatStopのポジション
従来のAV:ばらまき型のウイルス、マルウェア対策 ゼロデイアタック、標的型攻撃
対脅威としてベーシックに必要 最新の脅威対策
8. 8NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
ThreatStopのポジション
アプリケーションベースで対策
WEB、E-Mail、File・・・
IPベース
IPレピュテーションでそもそもの脅威から/脅威への通信をシャットアウト
9. 9NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
What is TreatStop?
10. 10NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
ThreatStop How it Works?
ブラックリストの配布
• ブラックリストの配送にDNSを利用
• 顧客にドメイン名を割り当て、顧客がその名前を引くとブラックリストが入
手できる
• AnyCastによる配信を近々始める
• スケーリングの問題は起こらない
• 現時点ではサイトはUSとヨーロッパだけ
11. 11NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
TreatStop何がいいの?
• 既存のファイアウォールを利用
• 設定変更ほとんど必要なし
• ネットワーク構成変更なし
• ブラックリストの配布にDNSを使っている
• スケールする – DNSは唯一成功している分散DB
• ファイアウォールなどのポリシー変更不要
• ブロックする時点で問い合わせることはない
• 必要になる前(ルータ起動時など)に取得する
• DNSレコードのTTLが切れたら自動更新
12. 12NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
その他動作
ブラックリストの機器への投入
• 機器上でスクリプトを動作させ、ブラックリストの取得とコンフィグへ
の反映を行なう
• スクリプトが動作しない機種では、外部のPC(VM)でそれを動作させ、
SSHで流し込む
13. 13NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
Deployment 4steps
14. 14NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
Deployment 4steps
15. 15NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
Deployment 4steps
16. 16NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
Deployment 4steps
17. 17NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
IPアドレスリスト
マルウェアサイト
IPアドレスリストからデータベースを選択
DNSキャパシティが多いパワフルなFirewalllはより多くのリストを参照できます
18. 18NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
IPアドレスリスト
Botnet
19. 19NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
IPアドレスリスト
国別
20. 20NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
IPアドレスリスト
インバウンドアタック
21. 21NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
Reporting
ブラックリストのブロック結果のレポート作成
• ThreatStopへ送信された機器のログからレポートを作成
• Botnet C&Cへ通信しようとしたPCを発見できる
• 発見されるPCのIPアドレスはNATの内側
22. 22NETWORK VALUE COMPONENTS Ltd. Copyright (c)2014 NETWORK VALUE COMPONENTS Ltd. All Right Reserved.
レポート管理画面