Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
1
WAF導入で見えた脆弱性管理のあれこれ
2018/8/31(Fri)
Future Architect, Inc
Hisashi Hibino
セキュリティ共有勉強会
2
自己紹介
名前:日比野 恒 (ひびの ひさし)
所属:フューチャーアーキテクト株式会社
セキュリティアーキテクト (CISSP、CISA、情報処理安全確保支援士)
 AIなどの「システム高度化」により、ITリテラシーの非対称性が拡大してい...
3
本日、伝えたいこと
① 脆弱性情報を定量的に管理することの大切さ
② サポート終了バージョンに潜む脆弱性管理の難しさ
③ 脆弱性を突く攻撃コードの継続的な監視の難しさ
※資料は終了後公開します
4
×
5
Struts脆弱性を利用したサイバー攻撃事例
Webサイト
(サイト運営受託者)
2017年3月10日 東京都
都税クレジットカードお支払いサイト
(GMOペイメントゲートウェイ)
悪意あるプログラムが仕込まれた
カード情報(暗号化されたカ...
6
WebLogicの脆弱性(CVE-2017-10271)で活躍
年末年始にWebLogicのWLS Securityに対するコマンド実行攻撃を防御。
Internet
WAF
攻撃者
FWSW
(ミラーリング)
FW
LB Webサーバ
F...
7
×
8
伝えたいこと①(脆弱性情報を定量的に管理することの大切さ)
脆弱性情報はウォッチしていても定量的な管理までは出来ない日常的な風景(笑)
Future
こないだ出ていたStruts2のDoS攻撃の脆弱性
について、うちは大丈夫ですか?
顧客
...
9
脆弱性情報の定量化にはVulsを最大限活用
管理下のシステムに含まれるソフトウェア情報と脆弱性データベースにある情報を関連付けし
通知可能なFuture製のOSS脆弱性スキャナー
管理下のシステム
ソフトウェア情報 脆弱性情報
日本の脆弱性...
10
伝えたいこと①(脆弱性情報を定量的に管理することの大切さ)
顧客とCVE単位で会話が可能となり、セキュリティ対応実施がスムースとなった。
※CVE(Common Vulnerabilities and Exposures)とは、ソフトウェ...
11
だが、課題もある、、、
製品サイトで公開された脆弱性情報がすぐにはNVD/JVNで登録されないケースもある。
公開管理番号 脆弱性 システム影響 CVE-ID 攻撃コード IPSシグネチャ WAFシグネチャ
S2-0001 任意のコードを...
12
伝えたいこと②(サポート終了バージョンに潜む脆弱性管理の難しさ)
CVE-2017-10271のWebLogic脆弱性では、サポート終了バージョンに該当していた。
【メーカー公式情報】
【参考】Oracle WebLogic Server...
13
伝えたいこと③(脆弱性を突く攻撃コードの継続的な監視の難しさ)
下記情報以外では、個人ブログやTwitter等のアンオフィシャルな情報を活用するしかない。
【CVE】
https://cve.mitre.org/index.html
【S...
14
攻撃コードを用いた攻撃をWebアクセスログ分析で見張る
Vulsで定量的な脆弱性管理を行い、パッチ適用出来ない環境のログをSIEMで監視する。
インストール済ソフトウェア情報(エージェントレス)
Webサーバ アプリサーバ DBサーバ
基...
15
総括
 脆弱性が定量的に可視化されることで客観的な視点で議論可能。
⇒ 「有識者が個人的に頑張る」から「組織的なチームによる取り組み」へのきっかけになる。
⇒ 検討する対策の優先度付けや実施した対策の効果測定が可能になる。
 ツールは...
16
17
Appendix
18
WAFとは
Web Application Firewallの略で、Webアプリケーションの脆弱性を悪用した攻撃から
Webアプリケーションを保護するソフトウェアまたはハードウェア。
ネットワーク
オペレーションシステム
Webサーバ
W...
19
商用WAF
オープンソースWAF
WAFの提供形態
WAFには、以下の3つの提供形態があり、提供形態によって、WAFの設置位置が異なる。
②専用機器
(HWアプライアンス)
①サービス
(クラウド提供)
③ソフトウェア
(ホスト型)
20
WAFの主な機能
大項目 小項目 説明
基本機能 検査機能 HTTP通信内のHTTPリクエストやHTTPレスポンスを検査する機能。
定義方法には「ホワイトリスト方式」と「ブラックリスト方式」があります。
処理機能 検出された不正なHTTP...
21
WAFによる防御方法
WAFでは、シグネチャによるブラックリスト方式だけではなく、ホワイトリスト方式にも対応。
比較項目 ホワイトリスト方式 ブラックリスト方式
(シグネチャマッチング)
特徴 正しい通信パターン(値)を定義した上で、パタ...
22
シグネチャの種類
シグネチャには、メーカーシグネチャとカスタムシグネチャの2種類が存在する。
保護対象製品
サポート期間中
保護対象製品
サポート終了
攻撃コード有り
攻撃コード無し
メーカーシグネチャ
対応可能
(WAF製品メーカー提供...
23
WAF導入のステップ
WAF導入後、誤検知しないことを確認するため、モニタリング期間(4週間程)を設ける。
現行調査
機器設計
導入構築
モニタリング開始
初期チューニング
遮断運用開始
1
2
3
4
5
6
・防御対象のWebシステム...
24
モニタリング期間とは
正常な通信を遮断してしまわないように設ける様子見調査期間のこと。
誤検知には、下記2種類が存在し、モニタリング対象はフォールスポジティブ。
フォールスポジティブ
フォールスネガティブ
WAF
不正なWeb通信
 不...
25
WAFの動作モード
保護対象サーバ単位で動作モードを指定できる。
検知(シミュレーション)モード
遮断(アクティブ)モード
 保護対象サーバに対して、定義されたポリシーに合致した不正な通信を検知するとログ記録のみ実施するモード。
 開...
26
どんな構成が取れるのか
WAF専用機器の設置方法として、下記方式のいずれかを採用することが可能。
SW
Web サーバ
LB
Firewall
Internet
WAF
SW
LB
Firewall
WAF
Web サーバ
挟み込み方式
...
27
WAF
ミラーポートとブロッキングポート
ミラーリング方式の場合、専用機器の物理ポートには2種類の役割を指定する。
Internet
攻撃者 Webサーバ
シグネチャ検知
RSTRST
不正なWeb通信
Firewall
SW
①ミラーポ...
28
Nächste SlideShare
Wird geladen in …5
×

【第17回セキュリティ共有勉強会】WAF導入で見えた脆弱性管理のあれこれ

871 Aufrufe

Veröffentlicht am

第17回セキュリティ共有勉強会

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

【第17回セキュリティ共有勉強会】WAF導入で見えた脆弱性管理のあれこれ

  1. 1. 1 WAF導入で見えた脆弱性管理のあれこれ 2018/8/31(Fri) Future Architect, Inc Hisashi Hibino セキュリティ共有勉強会
  2. 2. 2 自己紹介 名前:日比野 恒 (ひびの ひさし) 所属:フューチャーアーキテクト株式会社 セキュリティアーキテクト (CISSP、CISA、情報処理安全確保支援士)  AIなどの「システム高度化」により、ITリテラシーの非対称性が拡大している  IoT/コネクテッド領域など、ITが人々の生活に密接に関わるにつれ、危機感を持つようになる  オープンな技術を用いたセキュリティログの分析プラットフォーム開発に目覚め、今に至る
  3. 3. 3 本日、伝えたいこと ① 脆弱性情報を定量的に管理することの大切さ ② サポート終了バージョンに潜む脆弱性管理の難しさ ③ 脆弱性を突く攻撃コードの継続的な監視の難しさ ※資料は終了後公開します
  4. 4. 4 ×
  5. 5. 5 Struts脆弱性を利用したサイバー攻撃事例 Webサイト (サイト運営受託者) 2017年3月10日 東京都 都税クレジットカードお支払いサイト (GMOペイメントゲートウェイ) 悪意あるプログラムが仕込まれた カード情報(暗号化されたカード番号、カードブラン ド、有効期限)67万6290件(うち61万4629件はメール アドレス含む)が流出した可能性 2017年3月10日 住宅金融支援機構 団体信用生命保険特約料 クレジットカード支払いサイト (GMOペイメントゲートウェイ) 悪意あるプログラムが仕込まれた カード情報(カード番号、有効期限、セキュリティコー ド)、カード払い申込日、住所、氏名、電話番号、生年 月日、団信加入月、メールアドレスのセット合計4万 3540件が流出した可能性 2017年3月10日 日本貿易振興機構(JETRO) 相談利用者様登録ページ 3月8日、ログ情報など一部の情報 の消去 メールアドレス2万6708件が窃取された可能性 2017年3月10日 工業所有権情報・研修館 特許情報プラットフォーム (J-PlatPat)サービス 3月9日、外部からの攻撃 情報漏洩なし。3月9日から17日までサービス停止 2017年3月14日 日本郵便 国際郵便マイページサービス 3月12日から13日まで、悪意のある プログラムが仕込まれた 送り状1104件とメールアドレス2万9116件が流出した可 能性 2017年3月16日 沖縄電力 停電情報公開サービス 3月13日午後7時前後から午後9時 まで、コンテンツの改ざん メールアドレス、ニックネーム、停電情報の配信希望地 域のセット6478件が流出した可能性 2017年3月17日 ニッポン放送 音声ネット配信サービス「Radital」 3月11日午後2時ころから、 一部コンテンツの改ざん 氏名、住所、電話番号、メールアドレスのセットが1万 1330件 公表日 企業・団体 公表されている攻撃内容 被害状況 出典:日経XTECH “猛威振るうStruts2脆弱性への攻撃、どうすれば防げたか”
  6. 6. 6 WebLogicの脆弱性(CVE-2017-10271)で活躍 年末年始にWebLogicのWLS Securityに対するコマンド実行攻撃を防御。 Internet WAF 攻撃者 FWSW (ミラーリング) FW LB Webサーバ FW Firewall 攻撃コード WebLogic 参考URL http://www.morihi-soc.net/?p=910 RST WebLogicの修正パッチ適用が難しく、LBのURL振り 分けによる防御が準備出来るまでの間、WebLogicに 対するHTTPリクエストのURLに「/wls-wsat/」が含ま れるPOST通信をWAFのカスタムシグネチャを作成して 対応。 シグネチャ検知
  7. 7. 7 ×
  8. 8. 8 伝えたいこと①(脆弱性情報を定量的に管理することの大切さ) 脆弱性情報はウォッチしていても定量的な管理までは出来ない日常的な風景(笑) Future こないだ出ていたStruts2のDoS攻撃の脆弱性 について、うちは大丈夫ですか? 顧客 えっと、、(こないだ?いつだ、、、) (大丈夫ってどこの話をしているんだ?)
  9. 9. 9 脆弱性情報の定量化にはVulsを最大限活用 管理下のシステムに含まれるソフトウェア情報と脆弱性データベースにある情報を関連付けし 通知可能なFuture製のOSS脆弱性スキャナー 管理下のシステム ソフトウェア情報 脆弱性情報 日本の脆弱性 データベース (JVN) 米国の脆弱性 データベース (NVD) 関連付け e-mail、slack等で 脆弱性情報を通知  Redhat  Ubuntu  FreeBSD ・・・
  10. 10. 10 伝えたいこと①(脆弱性情報を定量的に管理することの大切さ) 顧客とCVE単位で会話が可能となり、セキュリティ対応実施がスムースとなった。 ※CVE(Common Vulnerabilities and Exposures)とは、ソフトウェアの脆弱性を一意に識別するIDのこと Future CVE-20XX-XXXXは、同業他社で 被害出ているので詳細に調査をお願いします。 顧客 CVE-20XX-XXXXなのですが CVSSが高く、リモートから攻撃可能なため 優先度を上げて調査します。
  11. 11. 11 だが、課題もある、、、 製品サイトで公開された脆弱性情報がすぐにはNVD/JVNで登録されないケースもある。 公開管理番号 脆弱性 システム影響 CVE-ID 攻撃コード IPSシグネチャ WAFシグネチャ S2-0001 任意のコードを実行される脆弱性 × - 〇 - - S2-0002 クロスサイト・スクリプティングの脆弱性 × - 〇 - - S2-0003 任意のコードを実行される脆弱性 × - 〇 - - S2-0004 ディレクトリ・トラバーサルの脆弱性 × - - - - S2-0005 オブジェクト保護メカニズムを回避される脆弱性 × - 〇 - - S2-0006 クロスサイト・スクリプティングの脆弱性 × - - - - S2-0007 任意のコードを実行される脆弱性 〇 CVE-2012-0838 〇 〇 - ・ ・ ・ S2-0043 Config Browser plugin から設定情報を閲覧できる問題 〇 未登録 要調査 要調査 要調査 S2-0044 サービス運用妨害 (DoS) の脆弱性 × - - - - ASF公開情報 【参考】IPA Apache Struts2の脆弱性対策情報一覧 https://www.ipa.go.jp/security/announce/struts2_list.html
  12. 12. 12 伝えたいこと②(サポート終了バージョンに潜む脆弱性管理の難しさ) CVE-2017-10271のWebLogic脆弱性では、サポート終了バージョンに該当していた。 【メーカー公式情報】 【参考】Oracle WebLogic Server の脆弱性 (CVE-2017-10271) に関する注意喚起 https://www.jpcert.or.jp/at/2018/at180004.html 【とある海外ブログの情報】 ※水色枠のバージョンはサポート終了バージョン
  13. 13. 13 伝えたいこと③(脆弱性を突く攻撃コードの継続的な監視の難しさ) 下記情報以外では、個人ブログやTwitter等のアンオフィシャルな情報を活用するしかない。 【CVE】 https://cve.mitre.org/index.html 【Security Bulletins】 https://cwiki.apache.org/confluence/display/WW/Security+Bulletins 【Exploit DB】 https://www.exploit-db.com/ 【CXSECURITY.COM】 https://cxsecurity.com/
  14. 14. 14 攻撃コードを用いた攻撃をWebアクセスログ分析で見張る Vulsで定量的な脆弱性管理を行い、パッチ適用出来ない環境のログをSIEMで監視する。 インストール済ソフトウェア情報(エージェントレス) Webサーバ アプリサーバ DBサーバ 基幹システム Internet ハッカー(攻撃者) レッドチーム 脆弱性情報 Vulnerability DB マッチング Vulsを活用することでパッチ適用出来ない環境において ケアの必要な脆弱性をCVE単位で定量化して管理可能 セキュリティ運用者 オープンSIEM ログ収集 Vulsで把握出来ている脆弱性に対する 攻撃コードをアクセスログ等から検知する
  15. 15. 15 総括  脆弱性が定量的に可視化されることで客観的な視点で議論可能。 ⇒ 「有識者が個人的に頑張る」から「組織的なチームによる取り組み」へのきっかけになる。 ⇒ 検討する対策の優先度付けや実施した対策の効果測定が可能になる。  ツールはあくまでツール。活用出来るかは人次第。 ⇒ 人手で全てのことは出来ない。ツールに頼ることで効率化することは必須である。 ⇒ しかし、ツールを導入したら終わりではない、むしろそこがスタートラインになる。 ⇒ 〇〇とハサミは使いよう(笑)!!  どのレベルで脆弱性管理運用をするか決めることが大事。 ⇒ ツールに任せきりではセキュリティは維持できない。 ⇒ 費用対効果を考えたリスク受容レベルを決めておく必要がある。 ⇒ スピードが求められるセキュリティ対応において、誰にもすぐわかる基準を作ること!
  16. 16. 16
  17. 17. 17 Appendix
  18. 18. 18 WAFとは Web Application Firewallの略で、Webアプリケーションの脆弱性を悪用した攻撃から Webアプリケーションを保護するソフトウェアまたはハードウェア。 ネットワーク オペレーションシステム Webサーバ Webアプリケーション WAF IPS Firewall SQLインジェクション クロスサイトスクリプティング Cookie、パラメータ改竄 L7 DoS/DDoSなど 主な攻撃 OS脆弱性攻撃 DoS/DDoSなど ポートスキャン L3/L4の不正アクセス 本件の対象
  19. 19. 19 商用WAF オープンソースWAF WAFの提供形態 WAFには、以下の3つの提供形態があり、提供形態によって、WAFの設置位置が異なる。 ②専用機器 (HWアプライアンス) ①サービス (クラウド提供) ③ソフトウェア (ホスト型)
  20. 20. 20 WAFの主な機能 大項目 小項目 説明 基本機能 検査機能 HTTP通信内のHTTPリクエストやHTTPレスポンスを検査する機能。 定義方法には「ホワイトリスト方式」と「ブラックリスト方式」があります。 処理機能 検出された不正なHTTP通信に対して、定義した処理を実行する機能。 通過処理、エラー処理、遮断処理、書き換え処理などが選択することが出来ます。 ログ機能 検出された不正なHTTP通信やWAFの動作を記録する機能。 記録されるログの種類には「監査ログ」と「動作ログ」があります。 拡張機能 HTTP通信確認機能 HTTP通信のセッションにおけるパラメータやHTTPリクエストの正当性を確認する機能。 (リクエストとレスポンスの整合性のチェックなど) 管理機能 WAFを運用する上で利便性を高める機能。 製品にもよりますが、「レポート生成」、「管理者への通知」、「ホワイトリスト自動生成」、 「ブラックリスト自動更新」などがあげられます。 提供形態や製品によって実装されている機能に差異はあるが、主な機能は以下の通り。
  21. 21. 21 WAFによる防御方法 WAFでは、シグネチャによるブラックリスト方式だけではなく、ホワイトリスト方式にも対応。 比較項目 ホワイトリスト方式 ブラックリスト方式 (シグネチャマッチング) 特徴 正しい通信パターン(値)を定義した上で、パターンに 合致した通信のみを許可する シグネチャをベースにパターンに合致した不正通信をブ ロックする メリット 許可された通信以外の全てをブロックするため 未知の脅威に対しても有効的に機能する 既存のシグネチャを適用することで、既知の脅威に対し て効率的に対応できる。また、ベンダーが更新するシグ ネチャをアップデートするのみで運用負荷が少ない。 デメリット 正しい通信パターン(値)を定義することが難しく 日々の運用負荷と運用コスト増加は避けられない。 アプリケーションを改修するたびにチューニングする 必要がある。 また正常な通信を遮断してしまう可能性がある。 シグネチャの信頼性はメーカーおよびベンダーに依存する ため、未知の脅威に対応出来ない可能性がある。 (攻撃コードの公開されてない脆弱性に対応出来ない) 防御できる攻撃手法 全てのサイバー攻撃に対して有効であるが、パラメー タ改竄などにより不正通信を検知出来ない場合もあ る。 SQLインジェクションやクロスサイトスクリプティングなど、 Webサイト/Webサービスを対象として実行されるサイ バー攻撃 今回採用した方式
  22. 22. 22 シグネチャの種類 シグネチャには、メーカーシグネチャとカスタムシグネチャの2種類が存在する。 保護対象製品 サポート期間中 保護対象製品 サポート終了 攻撃コード有り 攻撃コード無し メーカーシグネチャ 対応可能 (WAF製品メーカー提供) カスタムシグネチャ 対応可能 (保守ベンダー提供) 攻撃コードが公開されていない脆弱性については シグネチャの作成が出来ないため、提供されない 約6,600件 (導入時点) 公開されている 攻撃コードに基づき 保守ベンダーが作成
  23. 23. 23 WAF導入のステップ WAF導入後、誤検知しないことを確認するため、モニタリング期間(4週間程)を設ける。 現行調査 機器設計 導入構築 モニタリング開始 初期チューニング 遮断運用開始 1 2 3 4 5 6 ・防御対象のWebシステム環境について、該当するサーバの脆弱性と対応するシグネチャの調査。 ・防御対象の環境(本番、デモ、開発)と該当サーバのIPアドレス、対象シグネチャの設定パラメータを定義。 ・設置するWAFの物理ポートの役割と接続先スイッチのネットワーク設定を定義。 ・設定パラメータシートに従ってWAFのコンフィグを設定し、データセンター内のラックに設置。 ・防御対象サーバに対して、疑似攻撃コードを送信して、Highイベントの検知とアラート通知のテストを実施。 ・検知モード(シミュレーションモード)でモニタリング運用を開始。 ※正常な通信を遮断(フォールスポジティブ)してしまわないように検知のみで運用を行う。 ・一定期間検知状況をモニタリングし、初期ポリシーのチューニングを実施。 ※正常な通信で検知しているシグネチャはHighにしない。実攻撃の検知結果をシグネチャに反映。 ・検知モード(シミュレーションモード)から遮断モード(アクティブモード)に切り替え、正式運用を開始。
  24. 24. 24 モニタリング期間とは 正常な通信を遮断してしまわないように設ける様子見調査期間のこと。 誤検知には、下記2種類が存在し、モニタリング対象はフォールスポジティブ。 フォールスポジティブ フォールスネガティブ WAF 不正なWeb通信  不正な通信で検知しないで通過すること。 WAF 正常なWeb通信  正常な通信で検知してしまい遮断すること。
  25. 25. 25 WAFの動作モード 保護対象サーバ単位で動作モードを指定できる。 検知(シミュレーション)モード 遮断(アクティブ)モード  保護対象サーバに対して、定義されたポリシーに合致した不正な通信を検知するとログ記録のみ実施するモード。  開発環境など、遮断まで必要のないサーバを対象とする時に利用すると便利。  同一セグメント内のサーバで遮断したいサーバと分けたい場合に利用すると便利。  保護対象サーバに対して、定義されたポリシーに合致した不正な通信を検知すると通信を遮断するモード。  セビリティHighイベントで遮断が必要なサーバに対して設定する。
  26. 26. 26 どんな構成が取れるのか WAF専用機器の設置方法として、下記方式のいずれかを採用することが可能。 SW Web サーバ LB Firewall Internet WAF SW LB Firewall WAF Web サーバ 挟み込み方式 SW Web サーバ LB Firewall Internet WAF SW LB Firewall WAF Web サーバ ミラーリング方式 ミラーリング 不 正 な Web 通 信 検知 【メリット】 不正通信の検知時は サーバまで到達させない。 【デメリット】 伝送遅延が増える。 障害時に通信影響が出る。 不 正 な Web 通 信 検知 RSTパケット RSTパケット 【メリット】 サービスに影響なく導入可能。 【デメリット】 1発目の不正パケットがサーバに 到達する可能性がある。
  27. 27. 27 WAF ミラーポートとブロッキングポート ミラーリング方式の場合、専用機器の物理ポートには2種類の役割を指定する。 Internet 攻撃者 Webサーバ シグネチャ検知 RSTRST 不正なWeb通信 Firewall SW ①ミラーポート ミラーリング ②ブロッキングポート ①ミラーポート  不正な通信を検査するためにパケットをキャプチャするためのポート。  スイッチ側で複数VLAN指定することで複数セグメント対応可。 ②ブロッキングポート  シグネチャにマッチした場合のRSTパケットを送信するポート。  チーミング不可だが、複数セグメントに対するRSTパケット送信は可。
  28. 28. 28

×