DTSは、ちょっと違う。
IT企業なのにパキスタンでインフラビジネスに挑戦中!

WebアプリケーションレイヤーセキュリティL7

「2010年 第2四半期 ソフトウェア等の脆弱性関連情報に関する届出状況」

midashi10924今週はma∝acシリーズのご紹介の予定でしたが、21日のtwitterの脆弱のことがありましたので、再度WAF関連のエントリーを続けさせていただきます。




すでに7月の発表となってしまいましたが、情報処理推進機構(IPA)より「2010年 第2四半期 ソフトウェア等の脆弱性関連情報に関する届出状況」が発表されています。


ipa情報処理推進機構(IPA)サイト














脆弱性の累計が6,300件と急増しています。さらに注目しておかなければならないのはソフトウエア製品が1,084件、そして、ウエブアプリケーションに関する届け出が累計5,218件と圧倒的に多いという点です。

IPAの分析によると、ウエブアプリケーション自体の届出数は2009年調査よりもわずかに減少したとのことですが、製品の幅が広がってしまっているということです。アプリケーション開発・実行環境やファイル管理ソフトなどの脆弱性も新たに加わったという報告も。

IPSは、「ウェブサイトの脆弱性対策は早期に実施を」を呼びかけています。脆弱性を長期間放置していたサイトが攻撃を受ける可能性が高いことを指摘しています。

見立てではありますが、先日のtwitterのXSS攻撃も、オフィシャルブログで公式発表されているように8月にパッチにより問題を修正したあと(脆弱性対策したあと)「アップグレード」があり、再度脆弱性の危険があるまま運営されていた・・・という流れなのではないでしょうか。

頻繁にアップグレードするサイトを運営の方々には、ぜひともオントロジーベースのDTSのWAFをお試しいただきたいものです。

今週は連休があり不定期な1週間でした。来週は平日毎日更新のDTSブログをよろしくお願いいたします!

Webアプリケーションレイヤーの脆弱性

midashi10922ニュースを賑わせているFD書き換えの事件・・・の方ではなく、昨晩から今日のIT系のニュースは、昨晩の「Twitterの脆弱性」関連がトップニュースとなっていました。



実際に被害を被った方々も多いかと思います。今回は、PC版のオフィシャル(twitter.com)を狙ったアタックでした。日本では時間帯的にちょうど携帯デバイスではなく、自宅でのPCによるアクセスの多い時間でした。

今回のアタックは、XSS(クロスサイトスクリプティング)。ユーザーのブラウザ上で不正なスクリプトを起動させるといった攻撃でした。


atack<<クリックで拡大 
DTS WAFのサイトより 「Webアプリケーションレイヤーに対する攻撃例」








そして、Twitter側の公式発表では8月にパッチにより問題を解決していたとのことですが、最近のアップグレードにより再度発生が起こったようです。まさにゼロデイアタックの一例。データベースやアップグレードに依存するWAFが狙われる典型的な例なのです。


ご存知のようにDTSのWAFは、データベース/シグネチャ方式ではなく、オントロジーベースのWAFですから、ゼロデイアタックの攻撃をかわすことが可能です。「アタックを推測する」WAFなのです。

さらに、先週のエントリーのFAQでも掲載させていただいたように「DTSのWAFはソフトウエアを頻繁にアップデートする必要がない」という特徴も夕べのアタックに関連すると思います。

実害を受けた企業などもあるらしく、Webアプリケーションレイヤーの脆弱性を実感してしまった夜でした。

DTS のオントロジーベースのWAF

友人からWAFについての質問が来ました(1)5

見出し10126今年はじめのガンブラー、DTS PlatinumRE WAFについてのエントリー。これについて、友人が質問をくれました・・・


「そんな初心的なこと、理解している」という方々、申し訳ありません。本日はこの友人(IT関連に勤務していますが、基本的に文系(笑))に説明したことをエントリーとさせていただきますね。

友人の質問その1「そもそもWAFって、ファイヤーウオールとは違うの?」

ファイヤウオールであることには違いありません。ただし、Webアプリケーションのやり取りを監視して不正侵入を防御することに特化したファイウオールがWAFです。

友人の質問その2「基本的なことでごめん・・・Webアプリケーションって?」

いわゆる、デスクトップで起動させるアプリケーションのことではありません。ブラウザを通してクライアントのリクエストをネットワーク上のサーバが処理。サーバが結果を返すことでクライアントに動的な機能を提供するコンテンツのことです。

友人の質問その3「ウチの会社にある普通のファイヤーウオールじゃ不正侵入は防げないの?」

無理です。ルーターと外部へのネットワーク間に設置されて、プロトコルのレベルで通信が可能か不可能かを判断、監視するのが通常の(WAFではない)ファイヤウオールです。コンテンツ(サービス)の存在は確認不可能なので不正侵入を防ぐことはできません。

というわけで、友人の質問に偉そうに答えながらも今日のエントリー担当である私もまだまだわからないこと、実はよく知らないでいることが多いWAFの世界。またこのブログで初心に戻りつつ、DTS PlatinumRE WAFの先進性をより深く理解していくことにします。

DTS PlatinumRE WAF特設ページはこちらです

情報伝達とPlatinumRE WAF5

見出し091216今日のエントリーでは、PlatinumRE WAFに関連する、ある種の概念についてお話したいと思います。


インターネット、web、そしてアプリケーションレイヤー7によって、情報伝達の概念が変化してきたのはご存知の通りです。

1






ネット以前の既存メディアでの情報伝達は、情報ソースが一つで伝達するコンテンツは多くて数種類でした。つまり、同じ製品でも使用するユーザーが異なる場合、例えば広告の場合、ひとつの広告で、コンテンツで伝達しなければなりませんでした。(勿論、予算のある大企業などは別としてもです。予算が莫大にあったとしても、伝達種類は限りがあります)

2








webでは、複数(やり方によっては無数)の伝達種類があり、それは既にみなさんの企業で実行されていることです。中心となる自社サイト、メールマガジンやtwitter等で技術的にはそれが可能となったわけです。

webであれば、可能である。

DTSのWAFテクノロジーは、まさにここに目を付けた技術なのです。リリースされた、PlatinumRE WAFは、DBに頼らないオントロジー型のセキュリティ。

そしてこのオントロジーこそが、「人の感情」「人の趣向」をデータベースという手段以外で関連づけすることができるのです。

例えば、サイトで買い物をした時、決済時などよく見かける、リコメンド。
「これを買った方はこれも買っています」。あれなどはまさにデータベースをうまく利用しているわけですが、慣れてくるとあくまでも売る側のリコメンだと意識するようになります。DTSの場合、セキュリティエンジンではなく、そういったある種のマーケティング的な利用方法もオントロジーベースで研究中です。「人の感情」と「人の感情」を関連付けること。これが可能になれば、伝達方法はさらにステップアップするのです。


DTS PlatinumRE WAF〜オントロジーを用いた独自のセマンテック(意味的)ルールエンジン

Webサーバ3タイプの代表的なアタックに対し、防御率ほぼ100%5

見出し091021今日のエントリーでは、DTSの新プロジェクトのひとつ、「PlatinumRE WAF」(プラチナ・アールイー・ワフ)の防御率についてのテスト結果をご覧いただきます。

ゼロデイアタック型のWebアプリケーションレイヤーファイヤーウオール(WAF)が DTS PlatinumRE WAF。DTS 独自テクノロジーにより、既存の攻撃はもちろん、「未知の攻撃」もブロックするシステムです。

今日のエントリーでは、DTS PlatinumRE WAF の防御率についてのテスト結果の表を公開。


防御率















Webサーバ3タイプの代表的なアタック(攻撃)について実験を行ったところ、防御率(Detection Rate)はなんと、ほぼ100%近い数字を記録しています。

DTS PlatinumRE WAF は、攻撃の判断をDBと比較して検出する既存のプログラムだけではなく、HTTPリクエストの内容をセマンテック(意味的)に、類推・判断・検出。検知率向上と、誤検知率策削減が両立します。

★PlatinumRE WAFに関する、DTSブログの記事はこちらです。開発スタッフの一人であるNUST 大学教授・ファルーク博士のインタビューも。
★dts-1.comにて、PlatinumRE WAF特設ページ準備中。
Categories
10524_bn


mailfフォームボタン
QRコード
QRコード