マカフィーとインテルの...
TRANSCRIPT
マカフィーとインテルの 共同ソリューション McAfee ePO Deep Command McAfee Deep Defender
November 10, 2011
McAfee株式会社
McAfee Deep Defender
OSを超えたセキュリティで未知の脅威からシステムを保護
標的型サイバー攻撃の現状
3
• 標的型のサイバー攻撃は、 金銭目的または軍事目的で、 組織的に巧妙に行われる。
• サイバー犯罪者はステルス型のマルウェアを使用して今までのセキュリティを突破する (未知の脆弱性、未知の難読化マルウェア、ルートキット)
• 既存のセキュリティでは標的型 攻撃を防ぐには十分ではない
ステルスマルウェアの急増
• ステルステクニックがマルウェアの急増を促進
• 従来のセキュリティ対策を回避するように設計されている
• データを盗むマルウェアを隠すためにステルスを利用するサイバー犯罪が増加
– 四半期ごとに110,000個の新しいルートキットが出現
– 毎日1,200の新しいルートキットが出現
• 検出を回避するためにルートキットを使用するマルウェアが増加
– Stuxnetはイランとインドにおいて 政府の施設を攻撃対象とした
– Koobfaceはひそかにシステムを ボットに改変する
– SpyEyeはステルスマルウェアを自作するためのツールキット
– TDSS – OSベースのセキュリティ
ソフトウェアではほとんど検出されないルートキットのファミリで、複数の変種が存在する
0
500000
1000000
1500000
2000000
2500000
1Q09 2Q09 3Q09 4Q09 1Q10 2Q10 3Q10 4Q10 1Q11 2Q11 3Q11
他と重複しないルートキットの数 累積
ルートキットを使ったステルスマルウェア
5
アプリケーション
OS
ルートキット
ルートキットはステルス化のためのツール。ファイル・ログ・プロセス・通信などを 隠ぺいし、マルウェアの活動を見えなくするのに使用される。 OSのカーネルコードを改竄するなどして配置され、それ自体の検出も難しい。
実体
見えないマルウェアが活動
マルウェアがステルス化される
リクエスト 改竄した レスポンス
従来のウイルス対策製品による従来のルートキット 対策
従来のウイルス対策製品でのルートキット対策 • ユーザモードルートキットは検知可能。 • カーネルモードルートキットは、オンデマンドスキャンにより 感染の痕跡を見つけることで、既知のものであれば定義 ファイルにより検出可能。新種は検知不可。 • 既に感染済みのルートキットを検知する。リアルタイムでの 感染ブロックはできない。 • 一度感染したカーネルモードルートキットの駆除は危険を伴う
6
ルートキットは大きく分けて2種類 ・ユーザモードルートキット: OSの上で動作する。一般的なアンチウィルスで基本的に検知できる。 ・カーネルモードルートキット: OSを改ざんして、より深い層で動作する。一般的なアンチウィルスで 検知が困難な場合がある。新種の場合はほとんど検知できない。
McAfee DeepSAFE Technology
“この技術とインテルとのコラボレーションは次代のセキュリティ進化であり、マカフィーが大規模かつ複雑なお客様にとって信頼に値するセキュリティ提供者であり続けられるようにしてくれます。”
─ Michael DeCesare, Co-President, McAfee
“McAfee DeepSAFEはOSの域を超えたセキュリティを提供しているインテルプロセッサの既存ハードウェア機能を使用しています。このユニークな優位点から、McAfee DeepSAFEは新たな技術を感染を検知するだけではなく悪意のある活動を妨げることができる、まったく新世代のリアルタイム防御を届けるためにいかすことができる。”
– Todd Gebhart, Co-President, McAfee
“既存のインテルハードウェアの機能とセキュリティソフトウェアのイノベーションを組み合わせることで、コンピュータデバイスを守るための新たな方法を提供して、インテルとマカフィーはセキュリティ業界の技術革新を推し進めてます。新たなソリューションとしてお届けする、この技術を紹介できて本当に興奮しております。” ─ Renee James,
GM Software & Services, Intel Corp.
7
McAfee Deep Defenderの紹介 - オペレーティングシステムを超えたエンドポイントセキュリティ
以前は検出できなかった脅威に対するOSを跨いだ保護によりセキュリティを改善
業界初のハードウェア支援型セキュリティ技術
リアルタイムでのカーネルメモリ保護
ePOによって管理可能
McAfee DeepSAFE技術を使用
オペレーティングシステム
McAfee DeepSAFE 技術
CPU
Intel® Core™ i3、i5、i7 | VT-x
McAfee Deep Defender
Deep Defender - ルートキット潜伏の阻止
© 2011 McAfee, In. Company Confidential McAfee Labs社外秘 – 配布禁止
• リアルタイムでのカーネルレベルのメモリ監視 • リアルタイムでのカーネルモードルートキットの特定 • ドライバのロードを阻止 • DeepSAFE技術はOSより前にロードされる • DeepSAFE技術が不審なビヘイビアをDeep Defenderに知らせる
DeepSAFEがOSを 跨いでロードされる
OSの 初期化
OS ローダー
ブート ドライバ
ブートドライバ
ブートドライバ
DeepSAFE
ローダー
/エージェント
その他の ドライバ
AVドライバ
ドライバ
ドライバ
ドライバ
McAfee DeepSAFE
ルートキット
ルートキット
サービスおよび アプリケーション
アプリケーション
アプリケーション
アプリケーション
Deep Defender エージェント マルウェア
Intel i3/i5/i7 CPU (BIO
S VT-x:有
効)
Deep Defender による検出と 旧来のルートキットスキャンの違い
10
• Deep Defender はカーネルレベルのメモリアクセスを監視する。 定義された「不正なメモリアクセス」と照合し、該当する不正を検出。 不正検出時に、関連するカーネルドライバを特定し、停止する。
• 旧来のルートキットスキャンでは、カーネルレベルのイベントは見えない。 隠されていない部分のファイルの整合性や動作をチェックし、不正を検出。 検出のためには、ルートキットの振る舞いについての情報が必要。 既知のルートキットについては旧来の方法により検出できる場合があるが、 未知のルートキットについては検出は不可能。
既存ウイルス対策製品との機能比較
11
既存のウイルス対策製品
McAfee Deep Defender
既存ルートキットの検出 ○ ○
既存ルートキットの感染防止 × ○
新種ルートキット × ○
USBワーム ○ -
ネットワークワーム ○ -
ボット通信をブロック △ -
トロイの木馬一般 ○ -
脆弱性を突いた攻撃に対する防御 △ -
マクロウィルス ○ -
ファイル感染型ウィルス ○ -
スクリプトウィルス ○ -
Deep Defender の製品的位置づけ
12
VirusScan Enterprise
Host Intrusion Preventon
legacy PE
generic trojan macro
exploit
BOT script
autorun
GTI
従来製品で保護できなかった領域を、Deep Defender が補完
worm
PUP
Deep Defender
Rootkit
McAfee Deep Defender 要件
• サポートする Intel チップセット – Intel® Core™ i3, i5, i7 プロセッサ
• Intel® VT がBIOS で有効化されていること
• Windows 7; 32 & 64 bit • McAfee Agent 4.6
• ePO 4.5 / 4.6 による管理 • VSE 8.7 / 8.8 と共存 • GTI 連携が可能 • Type1 Hypervisorとの共存は不可 (ESX / ESXi / Xen / Hyper-V 等)
13
McAfee Deep Defenderのメリット
• 隠れた脅威を見つけ出す – 既存のソリューションでは検出できなかった脅威を見
つけ出す
• 保護確率までの時間を短縮 – データを盗むマルウェアがインストールされて損害を
与える前に阻止
• データの損失を防止 – データを盗んでビジネスを侵害するように設計された
マルウェアの蔓延を阻止
• コストを削減 – 脅威の蔓延に関連したダウンタイムとコストを削減
Deep Defender
McAfee Deep Command
Intel® vPro™を使用したOSを超えたセキュリティ管理ソリューション
業界の課題
エンドポイントPCは
回復力を備えエンドユーザにとって常に使用可能でなければ
ならない
脅威の急速な増殖に対応するためにセキュリティポリシーをより迅速に導入する必
要がある
「環境にやさしい」電力構想によりセキュリティアップデートのためのアクセスが制限
される
ITスタッフのデスクサ
イド訪問にかかるコストが運用コストを増大させる(1訪問あたり最大250ドル)
Intel vPro
プリブート
OS
McAfee Agent
McAfee Security
アプリケーション
McAfee ePO Deep Command OSを跨いだセキュリティ管理
• インテルのvPro技術(AMT)を使用 • ローカルおよびリモートAMT接続 • リモートからの支援、ポリシー制御、
修復を許可 • ePOクラスのスケーラビリティ • 価値
– セキュリティ操作のコストを削減 – 電源が切られたPCのセキュリティを改善 – セキュリティのためのアクセスを維持しつつ
エネルギー使用量を削減
ePOエージェント ハンドラ
McAfee ePO
Intel vProエンドポイントのリモートシャットダウンを実現 »— 25,000 エンドポイントの例
• 業務時間外にはエンドポイントの電源オフ • 年間50万ドルのコスト削減効果
ePO Deep Commandで電源コストの削減!
18
PC平均消費電力 • デスクトップPC—125 w • ノートPCs—35 w
平均コスト(per 1KW) • 0.097ドル
セキィリティレベルを維持しつつ電源コストの節減
S
OFF
ON
vPro AMT対応エンドポイントを特定
ePO Deep Command - 使用事例
ePO Deep CommandはAMTレベルでシステムに接続するので、問題のあるポリシーをリモートから再構成して、オペレーティングシステム環境との間に正常なトラフィックフローを再確立することができる
ポリシーまたはシステムの構成ミスによって接続の問題が引き起こされる
システムの侵害や障害が起きると修復のためにエンドポイントに物理的にアクセスしなければならない
ePO Deep Commandを使用すると、侵害されたシステムをリモートの修復ディスクイメージから起動できるので、システムディスクを完全にクリーニング/修復できる
組織は電力消費を削減しつつセキュリティとコンプライアンスの規制に従わなければならない
ePO Deep CommandはインテルのAMT Alarm機能とリモートウェイクアップ機能を使用して、セキュリティアップデート、パッチ、新しい製品、または新しいポリシーを適用することができる
ePO Deep Commandは更新されたセキュリティポリシーにアクセスして、潜在的脅威が蔓延する前に、すべてのAMT対応システムにその電源の状態に関係なく適用することができる
エンドポイントの電源が切れていると、更新されたセキュリティを攻撃より「前」に導入できない
McAfee ePO Deep Command ビジネス上の課題
問題のあるシステムのリモートからの復旧
AMTに接続
.isoイメージを使用してリモートからシステムを起動
Goals (a) ePOからセキュリティ侵害やシステ
ムの破損したPCを修復 (b) ブートディスク上で原因調査を実施
1. エンドユーザが管理者に無効なシステムが
あることを連絡
2. ePO管理者は、AMT機能を使用して、ハードウェアレベルで無効なシステムに接続
3. 管理者がネットワーク上の正常なディスクイメージを使用して、システムを起動
4. 起動後、管理者はフォレンジック情報の収集やシステムの修復を行う
ePolicy Orchestrator
21
脅威に先行してセキュリティを配備
22
Goals (a) 電源Off状態のPCを含むすべてのエン
ドポイントに最新のセキュリティを保証
1. IT セキュリティチームが社内に存在する脅威を発見
2. ePO管理者はAMT機能を使用して電源Off状態のPCに接続し、電源をOnにする
• AMT Alarm機能を使用して、特定の時間にシステムを起動することも可能
3. システム起動後、ePO Deep Commandが
セキュリティプロファイルをアップデートするためのタスクを実行
• e.g. 定義ファイルのアップデート、セキュリティ製品の配備、スキャンの実行など
4. タスク実行後、再び電源をOff
AMTに接続
“定義ファイルのアップデート” タスクを即時実行
ePolicy Orchestrator
自動的にシステムを起動して実行
23
タスクリスト
Intel AMT
Preboot
OS
McAfee Agent
Apps
McAfee Security
!
AMT Alarm または
電源On シグナル !
Goals (a) 業務時間外でのメンテナン
スや集約的なタスクの実行 (b) 脅威に先行したセキュリティ
アップデートの保証
1. ePO管理者は、電源をOnにするためにAMT Alarm機能を設定、または緊急時に電源Onのシグナルを送信
2. McAfee AgentがAMT機能でシステ
ムを起動し、定義された一連のタスクを実行
• e.g. 製品のアップグレード、定義ファイルのアップデート、オンデマンドスキャンの実行、イベントの送信、シャットダウンなど
ePO
McAfee ePO Deep Command 導入条件
• ePO Deep Commandは以下のインテルプラットフォームに組み込まれたアクティブ・マネジメント・テクノロジーを使用する
– インテル® Core™ i5 vPro™プロセッサー – インテル® Core™ i7 vPro™プロセッサー – Intel vPro AMTバージョン4.2、5.2、6.1.2、7.0、7.1.4をサポート
• 対応OS:Windows XP、Windows Vista、Windows7、Windows Server 2003、 Windows Server 2008 /R2 (全て32 / 64bit 対応)
• McAfee ePolicy Orchestrator 4.6 Patch1以降(Ver 1.5は、 ePO 4.6 Patch4以降 ) • 英語、韓国語、繁体字中国語、日本語、ドイツ語、およびスペイン語版オペレーティン
グシステム上での動作をテスト済み
24
McAfee ePO Deep Command の構成
25
Microsoft - Active Directory - Service account - DNS - DHCP - Certificate Authority - Root cert - IIS (web enrollment)
External - SSL cert
Intel - SCS (または
Microsoft SCCM) - RCS - ACU Wizard - MEI driver - Wired LAN - A/C power - AMT 3.0 and later
直接通信できない場合、Agent Handler にePO Deep Command Gateway Software をインストールし、これを経由で操作可能。
• Intel SCS の代わりにMicrosoft SCCMでも可
• 証明書は、ベリサインま たはJCERTが必要(自作証明書の場合、各端末 のBIOSに設定が必要。
リモート接続ポート :16992-16995
SCSは無償でDL可能
AMTバージョンによる機能の違い
26
Intel (AMT) Use-Case Feature
Intel Standard Manageability
(2008 and beyond)
vPro 2008-2009 (AMT 4.x - 5.x)
vPro 2010 (AMT 6.x)
vPro 2011 (AMT 7.x)
Power State Management (on\off\reset) X X X X
Boot Control (Force boot from local HDD, CD, PXE) X X X X
3rd Party Data Store (<1Mb NVRAM read\write) X X X X
Hardware alerts\events (Subscribe and respond to hw events) X X X X
Serial Over LAN (virtual COM port for OOB mgmt) X X X X
IDE Redirect (boot from network ISO image) X X X X
System Defense Filters (restrict physical network) X X X
Agent Presence (monitor process from hw) X X X X
Remote Encryption Management (secure unlock with power-on event) X X X X
Fast Call for Help (User initiated via pre\post boot) X X X
Alarm Clock (set a defined wake-up time) 5.1 X X
KVM Remote Control (RealVNC in firmware. Intel Gfx req’d) X X
V1.5
V1.5
McAfee ePO Deep Command ベネフィット
グリーンセキュリティの実現
電力を節約しつつセキュリティを確保
PC Resiliency
PC環境の常時提供
セキュリティの最適化
PCの電源状態に依存しない保護を提供
時間の節約
ITサービスレベル
向上
ITコスト削減
頻繁なオンサイト修理の必要性を削減
ePO Deep Command
27
