Symantec Critical System Protection 製品紹介 7.1 AIX 6.1 AIX 5L 5.3 -- 64-bit kernel AIX 5L 5.3 -- 32-bit kernel AIX 5L 5.2 AIX 5L 5.1 Supported and Hardened Hypervisors VMware

© 2014CYBERNET SYSTEMS CO.,LTD. All Rights Reserved.

Symantec Critical System Protection 製品紹介

サイバネットシステム株式会社

IT事業部セキュリティソリューション室


事業内容 CAE・シミュレーションソフトウェアおよびITソフトウェアの開発・販売,各種セミ

ナーをはじめとするユーザー教育,技術サポートおよび受託解析・コンサルティング

等のエンジニアリングサービスの提供,ならびにインターフェース,モデルおよび解

析モジュール等の開発

名称：サイバネットシステム株式会社

本社：東京都千代田区神田練塀町３

支社：西日本支社 / 中部支社 / 九州オフィス

設立：1985年4月17日

資本金：￥995,000,000

社員数：522名(連結)357名(単体)

(2012年3月31日現在)

サイバネットシステム会社紹介


リアルタイムに監視、

アラート

vSphere環境の保護

ゼロデイ攻撃、標的型攻撃からの保護

Symantec Critical System Protection （CSP）


監査 &

アラート

ファイルの整合性をリアルタイムで監視。（コンプライアンス）

リアルタイムでアラートを通知。

コンフィグレーションをロックダウン。

ログ、ファイルの改ざんを防止。

アクセス可能なデバイスを制限。

Backdoorを封鎖。

アプリケーションの接続を制限。

ホストファイアウォール。

ゼロディ攻撃からの防御。 ⇒ Sandboxing

ユーザーレベルでアプリケーションの操作を制限。

⇒ Least Privilege(最小特権機能)

バッファーオーバーフロー保護。

Host IDS（侵入検知）

Host IPS（侵入防止）

システムの制御

ネットワーク保護

脆弱性を突く攻撃の防

御

CSP機能概要


Host IDS（侵入検知）ポリシーの動作

SCSPエージェント

… E-mail

Office

ブラウザ

… crond

RPC

LPD Printer

コア OS サービス

アプリケーションサービス

対話型プログラム

設定、リソースアプリケーション、プログラム

管理コンソールにアラートを通知

設定

設定ファイルの作成/変更/削除

ファイル

ファイルの作成/変更/削除

SCSPのログにイベントを記録

検出

検出

… メール

Web

データベース

システム、アプリケーション

セキュリティイベント

システムまたはテキストログ

1.

2.

3.

1.

2.

3. 検出

イベント情報を収集し、IDSポリシーと比較

Windows, Linux, UNIX


Host IPS（侵入防止）ポリシーの動作

アプリケーションプログラム

対話型プログラム

… メール

Web

データベース

… DNA

RPC

LPD Printer

コアOS サービス

アプリケーションサービス

… E-mail

Office

ブラウザ

Symantec Critical System Protection

ビヘイビアコントロールエージェント

Windows, Linux, UNIX

設定、リソース

ファイル

メモリ

レジストリ

名前付きパイプ

ネットワーク制御

OS呼び出し

デバイス

起動

SCSP エージェント

SCSP管理サーバー

カーネルモードで実行されたシステムコールを読み取り、IPSポリシーを強制

制御

制御

制御

操作

変更


Host IPSポリシーの種類（デフォルトのテンプレート）

Targeted

OSのコア機能を保護 + アプリケーションに制限なし •OSのハードニング（要塞化） + バッファオーバーフロー保護 Core

サーバーアプリケーション以外の実行を制限 •Strictポリシー + ホワイトリスト未登録の対話型アプリケーションの実行を遮断

Limited Execution

OSとアプリケーションを完全保護 •OSのハードニング + バッファオーバーフロー保護 + ネットワークの制御

Strict

特定の目的のためにカスタマイズ可能なポリシー •アプリケーションの稼働に制限も設定しておらず、特定の用途・目的のためにカスタマイズして、使用可能なIPSポリシーです。

弱い

強い

保護レベル

バッファーオーバーを起こすプログラムやネットワークのインバウンドを除いて、未知のプログラムも起動可能。

HTTP、LDAP、SCSPが使用するポート（80、135、389、443）以外のアウトバウンドを制限。

ホワイトリスト未登録の対話型アプリケーションの実行を遮断。


Host IPSの運用例

• セキュリティ証明書のアクセスを遮断。

• CSPの管理コンソールにログを表示。

⇒ 管理者にメールで通知。SNMPアラート送信も可能

管理コンソール


最小特権をアプリケーションに付与し制御

ファイル

レジストリ

ネットワーク

デバイス

ファイルシステム、設定情報

アクセス制御

設定、リソースを制御アプリケーションプログラム

メモリ

ポート、デバイスの使用

ユーザーの権限レベルで、実行可能なアプリケーションの操作などを制御


信頼済みユーザーやアプリケーションのみ、重要なデータの変更を許可

ポリシーで認められていないユーザーによるアクセスを遮断

ポリシーで認められたユーザーはアプリケーションの実行や変更が可能。ユーザーやプロセスごとに、

アクセス可能なリソースの制限についてポリシーを定義

1

2

3

4

最小特権の付与による運用例

http://www.networkworld.com/news/2007/032307-question.html?zb&rc=mgmt


VMware ESXi

管理サーバー管理コンソール MS SQL Server

監視対象のサーバーごとにエージェントをインストール

監視対象のゲストVMごとにエージェントをインストール

CSPシステム構成

※ エージェントは、Windows、UNIX、Linuxに対応。

Email、SNMPトラップによりアラートを送信


CSP 対応OS

Red Hat Linux

Red Hat Enterprise Linux 6




HP-UX HP-UX 11i V3 (11.31) (64-bit) HP-UX 11i V2 (11.23) (64-bit) HP-UX 11i V1 (11.11) (64-bit) HP Tru64 5.1B-3

Windows Windows 2012 Windows 2008 R2 (Standard Edition and Enterprise Edition) Windows 2008 (Standard Edition and Enterprise Edition) Windows 2003 R2 (Standard Edition and Enterprise Edition) Windows 2003 (Standard Edition and Enterprise Edition) Windows XP Professional, Windows XPe

Windows 7 (32&64bit) Windows Embedded Standard 7

Windows 2000 (Advanced Server, Server and Professional) Windows NT4

Community ENTerprise Operating System

CentOS 5 CentOS 6

SUSE Linux

SUSE Linux Enterprise Server 11




Solaris

Solaris 11- Solaris 10 -- Global Zone

Solaris 10 – Global Zones Solaris 10- Local Zones Solaris 8 &9

AIX

AIX 7.1

AIX 6.1

AIX 5L 5.3 -- 64-bit kernel AIX 5L 5.3 -- 32-bit kernel AIX 5L 5.2

AIX 5L 5.1

Supported and Hardened Hypervisors VMware Server ESXi 5.0 Host VMware Server ESX 4.1 Host VMware Server ESX 3.5 Host


CSPエージェントの使用するリソース


CSPにより多種多様なシステムを保護

DNSサーバー、ドメインコン

トローラーなど

POS端末

Kiosk / ATM

制御系システム

医療系システム

CSP

サポートが終了したOSの保護

※ Wincor Nixdorf社とは

パートナー契約を締結


Black Hat 2011/2012での挑戦

• 年次セキュリティカンファレンスBlack Hatに出展

• パッチ未適用のWindows XPにStrict Prevention Policyを適用し「Capture The Flag」用に展示

• ハッカーによるFlagの奪取を2年連続阻止

D20D54CB D95219ED 0C8A5EFC 0B3B05F6 5D517707 D53BB586 5F104F77 9C44481F


• ウイルス定義ファイルを使用せず、ポリシーにより、設定済み・許可済みの操作のみを実行

⇒ポリシーベースで、セキュリティ脅威とユーザー権限の悪用から保護

• アプリケーションやプロセスの状態、変更を監視

• ユーザー権限の悪用を阻止

• 脅威を不活性のままファイルシステム内に閉じ込める

⇒ Sandboxing

• ウイルス定義ファイルとインサイトレピュテーション情報により、振る舞いによるマルウェアの検知力を向上

• マルウェアの挙動を遮断

• 脅威を検疫、駆除

Critical System Protection Endpoint Protection

Symantec Critical System Protectionと Symantec Endpoint Protectionの比較


Symantec Critical System Protectionと Symantec Endpoint Protectionの比較

機能 Symantec Critical System Protection

Symantec Endpoint Protection

サポートOS Windows, Linux, UNIX Windows, Linux, Mac OS

シグネチャ、振る舞いベースのマルウェア検知

× ○(SONAR機能により)

デバイス制御 ○ ○

ファイアウォールアプリケーションレベル（Layer 3 & 7） Layer 2 -7

ネットワーク侵入防止 × ○

Host IPS ○ ○

Host IDS ○ ×

Buffer Overflow ○ ○（ネットワーク侵入防止機能により）

システムロックダウン ○ ○


VMware vSphere 5.0 の保護を提供

主な機能

• ESXi ゲスト(IPS/IDS)

• 役割や管理基準に基づいた

ポリシーの設定

• ESXi ハイパーバイザー(IDS)

• vCLI経由で監視

• ファイル整合性の監視

• コンフィグレーション監視

• vCenter 管理サーバー

(IDS/IPS)

• vCenter環境の改変防止

• admin権限の制限

• パッチ適用作業の軽減

※ ESXi、vCenterのポリシーは

VMware Hardening Guide準拠

VM1 VM2 VM3

APP

WINDOWS OS

APP

NON-WINDOWS

OS

APP

OS

ESXi vCenter

vCLI


VMware Hardening Guideに準拠したポリシーを提供

VSH01 – Maintain supported operating system, database, and hardware for vCenter

VSH02 – Keep VMware center system properly patched

VSH03 – Provide Windows system protection on VMware vCenter server host

VSH04 – Avoid user login to VMware vCenter server system

VSH06 – Restrict usage of vSphere administrator privilege

VSH10 – Clean up log files after failed installations of VMware vCenter server

VSC03 – Restrict access to SSL certificates

VSC05 – Restrict network access to VMware vCenter server system

VSC06 – Block access to ports not being used by VMware vCenter

VUM03 – Provide Windows system protection on Update Manager system

VUM04 – Avoid user login to Update Manager system

HMT03 – Establish and maintain ESXi configuration file integrity

HMT15 – the “messages” kernel log file should be monitored for specific errors


監視 / IDSのみ

IPSのTargeted ポリシーで運用

学習モード (ログ出力のみ)

IPSポリシーにより保護

フェーズ1

フェーズ２

フェーズ３

フェ

ーズ

時間軸

• IDSポリシーを適用し、サーバーを監視

• ファイルインテグリティモニター(FIM)により、リアルタイム監視

フェーズ４

• IPSのTargetedポリシーを使用し、特定のアプリケーションやプロセスのみを制御

• 誤検知、誤停止のリスクなく、TargetedポリシーによるIPSを運用

• IPSによるサーバー保護ポリシーを適用し、ログ出力のみの学習モードで運用

• サーバーのイベントを精査し、IPSポリシーをカスタマイズ

• 特定のサービス、アプリケーションを制御するポリシーを作成

• IPSポリシーにより、サーバーを保護

• 運用しながら、ポリシーを再調整

CSP 導入・標準化のステップの例


競合他社の弱み

CSP 競合比較

• 限られた機能

• システムのパフォーマンスに影響

• モニタリングおよび保護に関してはアドオンが必要（追加費用）

Capability Symantec Tripwire Trend Micro

(Deep Security) McAfee

(ToPS and HIP)

監視（コンプライアンス対応）

コンフィグレーションモニタリング ● ● ● ●(別ライセンス)

ファイル完全性のモニタリング ● ● ● ●(別ライセンス)

不正侵入検知 ● ◯ ◑ ◑

脅威対策

ホストベースのファイアウォール ● ◯ ◑ ◑

ファイルおよびコンフィグレーションのロックダウン ● ◯ ◯ ◑(別ライセンス)

管理者権限によるロックダウン ● ◯ ◑ ◑

マルウェアによる不正行為防止 ● ◯ ◑(定義ファイルベースのIPS) ◑

デバイスコントロール ● ◯ ◯ ◑

アプリケーションコントロール ● ◯ ◑ ◑

管理

管理サーバーによる集中管理 ● ◑ ● ●

ポリシーテンプレート ● ● ◯ ◯

マルチプラットフォーム対応 ● ● ◑ ◑


導入事例

• 小売業 120,000クライアント

• 健康保険会社（米） 250,000サーバー

• 法律事務所（米） 150サーバー

• 投資信託会社 10,000サーバー • その他、電力会社、航空宇宙製造会社、ケーブルテレビ局（米）、

銀行（米、中国、フィリピン、その他国々）電気通信事業者など


CSPに関するお問い合せは

Symantec Platinumパートナー

サイバネットシステム株式会社

IT事業部セキュリティソリューション室

TEL ： 03-5297-3487

FAX ： 03-5297-3646

Mail：[email protected]

http://www.cybernet.co.jp/symantec/

Documents

Symantec Critical System Protection 製品紹介 7.1 AIX 6.1 AIX 5L 5.3 -- 64-bit kernel AIX 5L 5.3 -- 32-bit kernel AIX 5L 5.2 AIX 5L 5.1 Supported and Hardened Hypervisors VMware