Kaspersky Vulnerability and Patch Management...パターンB：外部のWSUSサーバーを使用する KSCが管理下のコンピューターに対し、WSUSサーバー（もしくはインターネット上のMicrosoft

Copyright © 2017 Kaspersky Lab. All rights reserved.

Save the World from IT threats

Kaspersky Vulnerability and Patch Management

株式会社カスペルスキーコーポレートビジネス本部

2017年5月18日


脆弱性はなぜ狙われるのか？

2

エクスプロイト攻撃の実態


• プログラムの不具合や設計ミスによる危険な欠陥。 • サイバー攻撃に利用できる。

3

脆弱性とは

権限昇格、任意のコマンド実行が可能なものは重大な危険をもたらし、バックドアを仕掛けられたり、ボット化する。業務継続に影響を及ぼす、データ侵害・ランサムウェアの被害をもたらす。


• エクスプロイト攻撃は2016年は、前年比で24.5％増加。

• 脆弱性の情報が公開された後は、様々な攻撃者が利用し危険性が増大する。

• パッチ適用が進まない事実があるため、数年に渡り同じ脆弱性が狙い続けられている。

4

脆弱性が利用され続ける実態

出典エクスプロイト攻撃：日常の脅威から標的型攻撃まで http://media.kaspersky.com/jp/pdf/pr/Kaspersky_Exploits-Report-PR-1039.pdf

一例 Officeの脆弱性を狙った攻撃が増加し、継続している。

Copyright © 2017 Kaspersky Lab. All rights reserved. 5

狙われるWeb関連アプリとOffice

2016年合計深刻度高深刻度高の脆弱性の割合（%）

Office 48 32 66.67%

ブラウザー 569 84 14.76%

JRE 37 13 35.14%

Flash 266 224 84.21%

Android 523 254 48.57%

26.95%

23.30%

13.15%

6.43%

4.46% 3.97%

0.53%

Browsers

Windows

Android

Office

Flash

Java

Reader

それぞれのアプリケーションを標的とした、エクスプロイトによる攻撃を受けたユーザーの分布（2016年）

2016年に頻繁に攻撃を受けたアプリケーションで発見された脆弱性の数（出典：CVEdetails.comおよびKaspersky Labの独自データベース）


エクスプロイト＝脆弱性を突く部分ペイロード＝仕掛けたい攻撃の部分（ダウンローダー、ボット化、トロイ、ランサム）

6

エクスプロイト＋ペイロード

＋

エクスプロイトは、ユーザーによる操作を必要としない。

エクスプロイト

メールやブラウザ、ネットワークから実行

ペイロード

ダウンローダー、トロイ、ランサム攻撃を実行


脆弱性管理の重要性

7

セキュリティの新しい柱


狙われる脆弱性は何か？

狙われるのは何か • 攻撃が効果的であるために、ほとんどのPCに存在するアプリケーションが良い。 • 日常的に使用されるものが良い。 • ネットワーク内部までたどり着ける仕組み

そもそも、攻撃の目的は何か？ • データを盗むこと • ボット化させること • 近年増えている直接的な金銭奪取

（ランサム、バンキング、カード情報）

その答えが、ブラウザー、Office、Flash、JAVAである。また、Webサーバーの改ざんも、 Web経由で攻撃するために行われる。


狙われる脆弱性は何か？

ランサムウェアは目立つ攻撃であるものの、攻撃の主流は引き続き情報を盗むもの。 Wormは目立つため、情報を盗む活動では下火であった。しかし、ランサムのように、ばらまき型で良いものでは効果的であり、今後も注意が必要である。 Wannacry では、Windowsのネットワーク機能であるSMBの脆弱性が狙われた。

ネットワーク境界は、ルーターやファイウォールのイメージがあるが、一番重要なネットワーク境界はブラウザーである。

ブラウザーは様々な要求を受け付けねばならず、セキュリティを保ちにくい。 Webアプリケーションからの要求 Plug-in、スクリプト、動的コンテンツ、API etc…

Wannacryで見られたネットワーク攻撃

なぜ、ブラウザなのか


エクスプロイト＋ペイロード

＋

そして、ひとつの脆弱性に対して、マルウェアは無数に存在する。しかし、脆弱性の修正は一度で良い。

エクスプロイトは人手を介さないため、脆弱性がある限り、エクスプロイト実行を防ぐことは出来ない。


現場任せは限界

多くの企業がパッチ適用を個人任せにしている。 WindowsUpadateを実行しても、その後の再起動がなかなか行われないこともある。特に、サードパーティアプリケーションは適用の実態が掴めません。

脆弱性情報の把握アプリケーション存在と

バージョンの把握

インベントリ突合せ

影響の判断（重大度、緊急度）

パッチ適用計画

告知、実施要請

結果が不明


現場任せは限界

システムによる自動運用が必要


まとめ

サイバー攻撃には脆弱性が使われ、増加している。攻撃に使われるのは、ほとんどが既知の脆弱性である。ひとつの脆弱性に対し、それを利用しようとする攻撃は無数である。しかし、大本の脆弱性をなくせば、攻撃は失敗する。脆弱性の把握、パッチ適用の2段階をシステム化することが重要。脆弱性は日々発見されるので、管理サイクルが重要


製品機能脆弱性管理

14


管理端末上の脆弱性の把握

カスペルスキーが持つマイクロソフト製品とサードバーティー製品の脆弱性情報と、 Microsoftから取得した脆弱性情報により、端末ごとの情報をレポート。


【Microsoft 製品のパッチ管理】

パターンA： KSCをWSUSサーバーとして使用する KSCがWSUSサーバーとなり、パッチを配信するパターンです。

Kasperskyのネットワークエージェント


パターンB：外部のWSUSサーバーを使用する

パターンB：外部のWSUSサーバーを使用する KSCが管理下のコンピューターに対し、WSUSサーバー（もしくはインターネット上のMicrosoft アップデートサイト）からパッチを取得する様、指示を出すパターン。

Windowsアップデートクライアント

比較的小規模で、サーバーのHD容量が確保出来ない場合向け


【サードパーティー製アプリケーションのパッチ管理】

Kasperskyのネットワークエージェント


管理端末上の脆弱性の把握

Microsoftとサードパーティ製アプリケーションの脆弱性有無を確認可能

・CVEなどの脆弱性情報データベースに登録されるサードパーティアプリにも対応・対応脆弱性を持つコンピューター名、脆弱性のCVE番号の確認も可能

19


パッチ配信 – Microsoftのアプリケーション

Kaspersky Security Center からMicrosoft製品のアップデートを配布

• WSUS 単体ではクライアントへの配信スケジュールを設定できないが Kaspersky Security Center の「タスク」機能により可能となります • ワークグループ環境におけるクライアントのレジストリ設定は不要

Microsoft Update サーバー

クライアントPC

① マイクロソフトからアップデートをインターネット経由で取得

② 管理端末へ配信

管理サーバー（Kaspersky Security Center）

20


パッチ配信 – サードパーティのアプリケーション

脆弱性が報告されている主要なアプリケーションをカバー

※ 上記は対応アプリケーションの一部ですリストにないアプリケーションに関しては、別途アプリ提供元WEBサイトなどからインストールパッケージを取得し、リモートインストール機能でパッチ適用可能（P31）

サードパーティアップデート

サーバー


① サードパーティサーバーからアップデートをインターネット経由で取得



21


パッチ配信 – 適用ルールに基づいた自動配信

配信対象パッチの選択（承認・拒否）や脆弱性の重要度別にルールを設定し、パッチ配信の自動化も可能

22


製品機能インベントリ・リモートインストール


IT資産管理機能

インベントリ情報の収集・ハードウェアインベントリ（コンピューター名、IPアドレス、CPU、メモリ、データストレージなど）

・ソフトウェアインベントリ（インストールされたアプリケーション情報やコンピュータ内の実行形式拡張子を持つプログラム）

アプリケーションのリモートインストール/削除・カスペルスキー製品だけでなく、サードパーティアプリケーションのインストール/アンインストールが可能

ソフトウェアライセンス管理・管理対象アプリのライセンス数量をレポート表示可能また、ライセンス超過時に管理者へメールで通知する設定も可能

24


インベントリ情報の収集

管理端末にインストールされたアプリケーション情報を表示業務上不適切なアプリのインストール状況を把握することが可能

アプリケーション情報を取得

Kaspersky Security Center

ネットワークエージェント

インストール済コンピューターの特定が可能

25


インベントリ情報の収集

ハードウェア情報のレポート表示

サマリー表示

端末個別表示

・コンピューター単位での個別表示、各ハードウェアデバイスごとの対象コンピューター数を表示

・ハードウェアスペック状況からPCリプレース時期の判断材料にできる

・管理者が認識していない、PCパーツの交換・追加を監査可能

26


インベントリ情報の管理

27

カスタムフィールドを活用することで、お客様が必要とする資産管理項目に対応

各項目ごとに情報のソートやフィルタリングが可能

保守契約番号や障害履歴なども Kaspersky Security Center上で一括管理できます！

カスタムフィールド項目を含めた管理項目をCSV形式でエクスポートも可能です

カスタムフィールドで追加した管理項目


ソフトウェアライセンス管理

• 管理端末にインストールされているアプリケーション情報をもとに管理

• アプリケーションごとに「使用中」「空き」「超過ライセンス数」を表示

• 管理対象アプリケーションとライセンス数量を設定し超過がないかチェック（超過時のアラートメールも設定可能）

28


SIEM製品との連携機能

Kaspersky Security Centerが管理対象端末から取得したログを他社SIEM製品へエクスポートが可能です。（KSC SP2よりSplunkに対応）

SIEMは複数ベンダー機器のログを統合的に相関分析し、潜在的なセキュリティリスクの早期発見や高度なセキュリティ対策に有効として、近年、注目が高まっております。

QRAder、ArcSight Splunkに対応

Syslogもサポート

29


アプリケーションのリモートインストール

Kaspersky Security Center が持つ製品リストから選択して配信可能

リストにない場合は管理者が別途用意したexe、msi、batなどの実行ファイルも配信可能（次ページ参照）

サードパーティアップデート

サーバー


① サードパーティサーバーからアップデートをインターネット経由で取得



30


アプリケーションのリモートインストール

カスペルスキー製品のインストールだけでなく、サードパーティアプリケーションもインストール可能

単体ファイル、複数ファイル、バッチなどを指定できます。また、引数も設定可能

31


アプリケーションのリモート削除

Windowsのプログラムのアンインストールまたは変更画面と同様の内容が管理サーバー側でも確認が可能

最新版をインストールしても、複数バージョンが存在するアプリケーション（Javaなど）があると、脆弱性が残り続けてしまう定期的なインストール済アプリケーションの監査が重要

Windows OS側でのインストールアプリ確認管理サーバー（KSC）でのインストールアプリ確認

32


アプリケーションのリモート削除

アプリケーションのリモートアンインストール削除コマンドを自動設定

33


付録

34

その他の機能


OSクローニングの流れ

マスターPCのOSイメージを他PCに複製しセットアップする機能

作成したイメージをネットワーク経由で一斉展開できます

35

マスターPC

②PXEブート要求 Kaspersky Security

Center

PXEサーバー（Windows PE起動イメージを保持）

①マスターPC イメージ取得

③Windows PE起動イメージ展開

④Windows PEを起動し、マスターPCイメージ展開を開始

※ Windows PEとは ⇒ CDメディアやネットワークブートが容易に可能な軽量なWindows OSです。 Windows PEをブートさせ、その上でマスターイメージ展開が行われます。

同時に一斉展開！


OSクローニングのメリット

Sysprep処理の自動実行

・Windows OSの固有情報（SID）再作成に必須な

Sysprep処理をイメージ取得時に自動実行

・Kaspersky製品への組み込み用処理もイメージ取得時に実施可能 PXEブートによるネットワーク経由での一斉展開

・イメージ展開ツールやWindows PEの起動CD準備が不要

・クライアント側の設定不要（再起動するだけ） KSCがPXEサーバーとして自動構成

・別途PXEサーバーを用意する必要がありません

36


マスターイメージ作成

マスターPCを指定し、作成イメージ保存用の共有フォルダーを指定するだけ。

37


OSクローニング

■インストール方法パターン１すでに検出されているPCにOSイメージを割り当てて展開

38


OSクローニング

■インストール方法パターン２あらかじめMACアドレスを登録しておき、端末が起動・検出された際に自動でOSイメージを割り当て、展開する方法も設定できます（MACアドレスリストから一括登録可能）


リモートコントロールデスクトップ共有

用途：遠隔操作サポート（ヘルプデスク業務）

Windows標準のRDP（リモートデスクトップ）とは異なり、

ログオンユーザーが操作している画面を共有し、操作が可能

ウイルス感染時など、ユーザーが行った操作をヒアリングしながら、

インシデント対応が必要な際などに役立つ機能

操作される側の同意が必要

Documents

Kaspersky Vulnerability and Patch Management...パターンB：外部のWSUSサーバーを使用する KSCが管理下のコンピューターに対し、WSUSサーバー（もしくはインターネット上のMicrosoft