CheckPoint社のセミナーに参加してきました。

エンタープライズ、特定用途向け製品である
SandBlast｜ZERO-DAY PROTECTION｜　の勉強会セミナーに1/21に参加してきました。
そのときのメモを整理致しましたので公開致します。

CheckPoint社は、日本での知名度が薄い反面、全世界で国防総省をはじめ金融機関など、
大規模向けのセキュリティ対策として導入実績No.1のセキュリティ製品メーカーです。
大企業向けの製品（エンタープライズ向け製品）で、脅威になる情報をどんどん回収して
（参考：Cybersecurity Threat Intelligent Map（情報セキュリティ脅威の精査状況）について）
小規模向けのUTM製品（CheckPoint600シリーズなど）のマルウェア定義ファイル作成に役立てて行ってます。
そのため、最強のデータベース、小規模製品での検知率の高さや最新のマルウェア対応速度No.1などを謳う事が出来ます。

今回参加してきた、製品 SandBlastは、下記のような機能を持っています。
・ウイルスが社内に入ってくる前に随時検知する仕組み(ThreatEmulation , 世間でSandBoxと言われている物の進化版)
・メールに含まれているマルウェア（ウイルスを含む色々な脅威プログラム）を無害化する仕組み（ThreatExtraction）

上記２つの仕組みを提供する製品が、機械（アプライアンス）とソフトウェアの２種類で提供されます。
・機械、アプライアンスTEシリーズ
・ソフトウェア製品
（基本的には、機械（アプライアンス）での提供が中心となりそうです。）

以下セミナーのメモです

【テーマ、冒頭トーク】

セキュリティ100点満点にどう近づけるか。

セキュリティの施策を導入して行く、新しい目的として

組織のITインフラに対して、どうセキュリティ対策をほどこしていくか。

セキュリティ対策に活用するという意味では被害の最小化と効率的な運用するツール。

の両方が望まれている。それで100点満点。

CheckPointのアプローチは、防御だけでなく運用の側面

運用ツールで、安定的にインフラを活用できるかというソリューションも含む。

　セキュリティギャップを　99.*→100%に近づける

今回の目玉がメール無害化ソリューション

　・ThreatExtraction

SandBlast（ZERO-DAY PROTECTIONと言うキャッチで売っている）

SandBlastには、何が含まれているか

　２種類のエンジンがある。

　・ThreatEmulation（３－４年製品として続いているSandBox機能）

　・ThreatExtraction（メール無害化）

CheckPoint社の製品は、SoftWareBladeという製品名称に表現されるように

セキュリティ機能ごとにバラ売りで提供するのが通常だったのが

SandBlastについては、２つのソリューションを併せたライセンス商材としている。

ThreatEmulation,ThreatExtractionの２つの機能のオンオフはできるが、

機能を削っての販売はしない。

ただし、要らない物を不要な料金で買わされるという印象を持つのではなく

サンドボックスをご利用いただいたお客様が、もれなくもう片方も使えるようになったという考え方に近い。

【ThreatExtraction】の説明

ThreatExtractionとは、新しく始まるメール無害化のソリューションである。

・ThreatExtractionのキャッチフレーズ

　未然に

　ゼロ秒で

　ゼロ・マルウェアに

従来のSandBox機能では、マルウェアかどうかの判定をしていた。

→Extractionは判定をしていない。

元の添付ファイルなどのドキュメント、があってマルウェア判定をせずに

（ドキュメントを再構築。）無害化処理をする。

無害化処理には

　・javaスクリプトのような、アクティブコンテンツを除去する。

　・データ情報だけを新しく再構築する

という動きがある。

文書ファイルについてくる、マルウェアが動きうるフィールドを削りましょうという製品である。

デメリットはないのか？期待しない動きはしないようになるのではないか。

業務に影響が出てこないのか？

　→メーカーが考えている限りは、処理の最後に（宝情報推察の補足：添付ドキュメントが画面出力されるであろう最終結果の直前で）

　　無害化を働かせるような工夫はしている。

　オプションで、２通りの動きを選択可能

　・PDF　なんでもかんでもPDFにしてしまう。

　・元々のフォーマットを維持しながら、アクティブコンテンツを除去する。

　オプションごとの結果一例

　　PDF変換すると、クリーンな状態に100%

　　元々のフォーマットを維持すると93%程度

　　→PDFをおすすめする。

　　もちろんCPとしては、100% － 93%= 7%を放置するつもりは無い

　　エクスプロイト（宝情報補足：ウイルス感染させる、段階的な仕組みの中のひとつ）

　　する動きを止めるように、ThreatExtractionだけでなく、CP社の別の製品との組み合わせを推奨している。

　どういう機器構成で導入するのか。

　　SandBlastゲートウェイ（ソフトウェア製品/専用機いずれか）の製品を

　　MTA（宝情報解釈：Mail Transfer Agent メールをリレー、中継するサーバ）として構成する必要がある。

　　対象となる文書ファイルを、中継の過程で脅威を取り除いた後にメール利用者に届ける。

　リレーサーバのひとつとして、メールがやってきて

　内部のメールサーバがあって、リレーをする。その途中にスキャンや無害化を施す。

　現在、SMTPプロトコルに対応している。

　HTTP/HTTPSにも、対応予定

　（機能拡張予定で、既に購入済みの顧客に対してライセンス買い増ししていただくなどは考えていない）

　現在の対応添付ファイルの形式が以下の通り

　

　pdf/doc/docx/xls/xlsx/ppt/pptx/dot/docm/dotx/dotm/xltx/xlsm/xltm/xlsb/xlam/xlsb/xlam/pps/pptm/pot/potm/ppam/ppsx/ppsm/fdf

　

　チェックが要る要らないの選択をお客様ポリシーにあわせてオンオフ設定する。

【ThreatEmulation】の説明

　ThreatEmulationは２種類のエミュレーション機能の組み合わせ

　　・OSレベルのThreatEmuration（他社もSandBox機能として提供している仕組み）

　　・CPUレベルのThreatEmuration（他社にはない非常にテクニカルな検知技術）

　Emulationの機能概要、

　　従来のOSレベルのThreatEmulationは、マルウェアが

　　現在動いている動作を検知して防御するような、所謂［振る舞いの検知］をしている。

　　Emulationが監視出来るネットワーク範囲内で、ファイルが動いてはじめて検査が出来る。

　　　・どういった、仮想OSへのレジストリへの操作があったのか。

　　　・OSが動作しているソフトに寄ってどういう通信をしているのか

　　　・OS内で動作するソフトが、どのようにOSのシステムファイルやデータファイルを変更したか

　　といった動きをOS（ThreatEmulationはWindowsなどOSのようにふるまう）の空間上で見ていた。

　　しかし、最近は、攻める側も、いたちごっこの繰り返し。

　　サンドボックスのセキュリティが存在することを認知して、回避してくるマルウェアも出現している。

　　（サンドボックスである事をマルウェア側が認識すると、マルウェアが動作しない）

　　そのため、OSレベルではなく、CPUレベルでの検知と、防御が必要になってきている。

　感染の手順の説明

　　サンドボックスも、従来は、４段階目のマルウェアしか対応していない。

　　CPU Exploitの時点で止めるようになっている。

　　OSレベルでは、動的な検査をするのに対して

　　CPUレベルでは静的なチェックをする。

　　CPUのデバッグモードが実行され、コードを逆アセンブルして、

　　どのメモリ領域をつかおうとしているのか、本来使うべきメモリ領域か、

　　変なメモリアドレスにアクセスしてないかなど、コードをチェックする。

　　CPUのデバッグモードや、APIをつかって、連携している。

　　intelのCPUをつかったアプライアンスである事をフルに利用して連携をしている。

　　この技術は、他のサンドボックスにはない。

　　Exploitをここで止める。

　　ことにより［100点満点に近づけて行く。］

　サンドボックスのエンジンはThreatEmulation

　44種類のファイルに対応（当日紹介されていたのは下記39種類）

　

　pdf/doc/docx/xls/xlsx/ppt/pptx/exe/tar/zip/rar/Seven-Z/rtf/dot/docm/xlt/xlm/xltx/xlsm//xltm/xlsb/xla/xlam/xll/xtw/pps/pptm/potx/potm/ppam/ppsx/ppsm/sldx/sldm/csv/scr/swf/hwp/jar

　

ThreatEmulationのログ確認など検査結果レポートを取得可能

（OSタイプごとに取得可能）もちろん、サマリも表示はされる。

（当日は、レポート例、検出された脅威の概要欄や詳細ログが紹介された）

【SandBlastまとめ】

　・ThreatEmulation

　・ThreatExtraction

　２つを組み合わせて、SandBlast[ZERO-DAY PROTECTION]のソリューションを提供している。

　一体の機能として提供していて、ThreatExtraction,ThreatEmulationと呼ばれるエンジンが

　パラレル（並列）で動く

【この製品が出てくるまでのお客様ニーズ シナリオ】

　　ThreatEmulationを既に使用しているお客様で漠然と感じている不安が

　　通販の問い合わせ窓口、コールセンターなどの人員

　　Web通販で、顧客とのやり取りに、メールをうける。

　　受付担当の人がメールを開く。事業がクリティカル（致命的）になりうる。

　　振るまい検知を目的としてSandBox（ThreatEmulation）の導入をするも、

　　ファイルが検査される間留められるため通販の受付担当者に届くまでの時間が長いという課題があった。

　　ワンクッション置いて、メールの先頭に添付ファイルのURLリンクを表示する。

　　メール受信者が業務に必要なファイルと判断すればURLのダウンロードリンクをクリックする。

　　（オリジナルのファイルはMTAにたまっている）

　　その時には、受信から少しの時間が経っているためSandboxの検査結果が出ている

　　（ファイルが悪い物かどうか白黒ついている）

　　・黒ならダウンロード出来ない。

　　・白ならそのまま使える。

【専用機アプライアンスのラインナップ】

大小４種類

　サイジング目安は、月刊のファイル検査数で判断。

　あくまでCPが推奨している数なので、CheckPointによるサイジングが推奨

　専用機アプライアンスMTAとして構成する。

　管理サーバを置く（GAiA,Smart-1)

　一緒にご利用いただくサンドボックス

デモ

　・ワードのファイルがThreatExtraction通過時にPDFにされている様子

　・ThreatExtractionを通過したメール文面、添付ファイルがおかしいファイルと判定が下るとSandBlastによるブロック画面が表示されダウンロードができない様子。

　・設定した要件を超えてるソフトを使用している旨、報告が管理レポートに上がる様子。

　・affected files　画面ショット、どういったマルウェア（悪意のあるソフトウェア）ファイルが動作しようとしているか。レポートより見える様子。

第２セッション

セキュリティイベントの管理について

世間の脅威の種類が増えている

・外部ホットスポット(公共Wi-Fiアクセスポイント）

・モバイル端末のセキュリティ不備で狙われている

・BYODの促進（背景には、IT機器に企業がかける予算削減、ワークスタイルの変化など）

・攻撃の色々なテクニック多様化

対策の仕方がわからない。

結果的に、わからない。セキュリティについて、何も起こってくれるなと祈るだけでみざるきかざるいわざる、

体制が整わない間に狙われる。どういった事がおこっているのかさえわからない。

そんな課題に直面されている企業もある。

ニュースで、情報漏洩がとりだたされていますが、被害に会った企業は、対策をなにもやっていないわけではない。

・ファイアウォールは行ってる

・アンチウイルスは行ってる

なぜか？

抜け道があって、一旦いれて安心してしまい、以降最新の状態に更新していない。

（機器リプレイスも含めて）

そもそもの意識レベルが低いので、もっと高くして、保つ必要がある。

世間で、大規模な情報漏洩事件など何か起こった時に、

各社は、ポイントポイントで場当たり的に対策しているため、

セキュリティポリシーにも一貫性が無く穴がだらけなまま対策している気になっている事がほとんど。

だから、多少は領域を重ねながら面で包括的に防ぐようなソリューションの組み合わせが必要。

色々な攻撃手法がある。

・標的型攻撃は、相手をきめうちする。

　BOTウイルス感染させてC&Cサーバから、銀行口座情報を抜き出したり。

・ランサムウェアは特定サイトに仕込まれて、表示した人をランダムに攻撃する場合もある。

・プログラムを遠隔で強制的にダウンロードされて、システムが乗っ取られる被害なども。

（といった、第二部は、セキュリティ被害トレンドと、管理ツールのデモご紹介でした。）

【質疑応答】（主に第一部にまつわる重要な】質問だけ抜粋しています）

　Ｑ：SandBlastの機器構成例に、透過モードがあるのか

　Ａ：透過モードは無い。必ず社外と、社内メールサーバの間に設置し、中継をさせる。

　Ｑ：メールの送信元や送信先のヘッダ情報の改変などはあるのか

　Ａ：メール中継しているというヘッダが乗るだけで送信元、送信先情報を改変はしない。

　Ｑ：ThreatExtractionで、添付ファイルにパスがかけられているものについては処理がどうなるか

　Ａ：Officeとzipの２種類に分類される。

　　[Officeファイル]

　　　MS Officeのパスワードが、かかってるものは、無害化出来ない。

　　　Officeの保護機能がかかっている事で、ユーザのメール受信を許可するか拒否するかを

　　　管理者側で選択は出来る。

　　[Zipファイル]

　　　暗号化、zipには、現在非対応。そもそもThreatExtractionはzipに対応していない。

　　　SandBox機能（宝情報補足：ThreatEmulationを指すと思われる）は

　　　zipファイルに対応しているが、暗号化されているものについては非対応。

　　　現在開発中機能に、zipにパスワードがかけられていても辞書アタックなどを試行して、

　　　解凍しようとする機能は追加しようとしている。

　　　・解凍できなかった場合、メールを止めるのか止めないか選択出来るようにする。

　　　・解凍出来た場合は、もちろん、スキャンする。

　　　今現在のところ、対応している範囲は、［［添付ファイルの］］無害化のところに

　　　対する機能であるがメール本文のチェックはしていない。［［添付ファイルのみ］］

　　　メール本文などの脅威については、既存のメールセキュリティで、できるであろうとしている。

　　（CP社の各セキュリティサーバを統合管理する、サーバ製品の）Smart-1などにログが格納される。

　Ｑ：Smart-1には、どれくらいの容量や期間ログが保存されるか。

　Ａ：Smart-1管理サーバを、アプライアンスで出しているのが、５モデル。

　　ディスク容量はミドルレンジで2TBx２（RAID1）

　　アプライアンスは、Smart-1という名称だが、

　　管理サーバをソフトウェア供給もしている。そうするとHDDは積み放題。

　　毎日のログの量に依存するので何日、1TBで持つのかは状況よりけりなのでわからない

　　また、Smart-1は、別で、ログのバックアップサーバを立てたい場合に、

　　自由にsyslogサーバを立ててそちらへ、ログの吐き出しが出来る。

　　600アプライアンスをはじめとする、GAiAEmbededと違うところとして

　　[機器のリンクアップ/ダウン]などのシステムログだけでなく

　　[どの機能が働いて、どの動きを防御した]などのセキュリティログが出力出来る。

Check Point社は、大規模向けのセキュリティ対策製品については
ワールドワイドで導入実績No.1のメーカーです。
大企業向けの製品（エンタープライズ向け製品）で、脅威になる情報をどんどん回収して
小規模向けのUTM製品（CheckPoint700シリーズなど）のマルウェア定義ファイル作成に役立てて行ってます。
そのため、小規模製品での検知率の高さや最新のマルウェア対応速度などを謳う事が出来ます。

宝情報でも、ThreatEmulationを搭載できるCheck Point 4000シリーズ、後継の5000シリーズを
販売していて、導入事例ができましたのでご紹介致します。

•