DTSは、ちょっと違う。
IT企業なのにパキスタンでインフラビジネスに挑戦中!

DTSのWAFのSaaSサービス

「Web Application Firewall(WAF)読本 改訂第2版」

midashi1131昨日、IPA(独立行政法人 情報処理推進機構)より「Web Application Firewall(WAF)読本 改訂第2版」が公開されました。





この資料のサブタイトルが「Web Application Firewallを理解するための手引き」。今までこのブログのDTSのWAFの説明の中でも言ってきた様々なことも掲載されているようです。


waf













実際にWAFを導入する前の資料として、これほどうってつけのものは無いと思われますので、まずはぜひともダウンロードしてみてください。

さてこの資料の中でやはり気になった箇所があります。

4.1.1.導入検討
「脆弱性を狙った攻撃の種類によっては、WAF で防御できない可能性があります」
「事前に防御したい脆弱性を悪用する攻撃を、WAF で防御できるか調査します。」
(資料より引用)

まさに、我々がDTSのWAFを説明する時に何度も言ってきたことですね。そして、実際には「事前に防御したい攻撃」がわかっていない、突如として未知の攻撃を受けることがあるわけです。

これに付随して、こんな箇所もチェックしてみてください。

3.3.1. 「検査機能」における偽陽性(false positive)・偽陰性(false negative)
「ブラックリスト」における留意
「の「ブラックリスト」のすべての検出パターンを有効にすると、偽陽性が発生する可能性があります。」
(資料より引用)

ブラックリストによる攻撃防御の不安についても、このブログやセミナーなどで様々な形でご説明してきました。

つまり、DTSのWAFはこういった「導入する前に検証しなければならない・検証したとしても未知の攻撃からの防御は不明」なWAFではなく、ブラックリストも不要で、未知の攻撃の防御も可能なWAFであるわけです。

「Web Application Firewall(WAF)読本 改訂第2版」


DTSのWAF関連記事
□DTSのWAF(SWAF)と、GAPSはアルゴリズムが異なります。
□「2010年 第2四半期 ソフトウェア等の脆弱性関連情報に関する届出状況」
□Twitter〜Webアプリケーションレイヤーの脆弱性を実感してしまった夜
□DTS の WAF を最もシンプルなFAQ形式で

シンプルなクロスサイトスクリプティングの説明

midashi101227このブログでも何度か掲載してきました、クロスサイトスクリプティングの最もシンプルな例。今日は、DTSのWAF開発リーダーのM.Ali Hur 自らのデモンストレーションしているバージョンの動画を先行公開させていただきました。(まだ字幕などが入っていない、英語での説明となります。ご了承ください。)







この動画に登場する最初のスクリプトが一般的なシグネチャー。後に出てくる部分が、XSSのマルウエアです。

そして、何度もご説明したきましたように、このスクリプトの一部分を書き換えてしまった場合、ブラックリスト型のWAFの場合、安全とみなして通過させてしまうことがあります。

来年早々、この動画はバージョンアップして再登場の予定です。

DTSのWAFのインターフェイス〜「感染ログ」

midashi101216オントロジーエンジン搭載のDTSのWAFのインターフェイスをご紹介するエントリーの3日目の今日は、重要項目の「感染ログ」の一部をご紹介しましょう。



d_1現在感染しているトラフィックのグラフです。縦軸が攻撃数、横軸が時間です。








d_2感染したトラフィックオリジネーター(コンテンツの基の作成者・サイト)の順位。縦軸が攻撃数、横軸がクライアント。







d_3感染したトラフィックオリジネーターの比率。円グラフで表示します。








d_4現在感染しているトラフィックの詳細を一覧表示します。右から、オリジネーターIP、ホストIP、アクセスされたリソース、アクセスの時間、攻撃の種類(アタック・タイプ)。





関連記事
DTSのWAF インターフェイス〜「フロントパネル」
□現状のWAFが持つ、重大な危険性。
□WAFのブラックリストは、XSSを通過させてしまうことがあります!(WEB DB 2010 動画)

□DTS の WAF を最もシンプルなFAQ形式で

DTSのWAFのインターフェイス〜アクセストラフィック

midashi101215昨日のエントリーに続き、今日のエントリーでもDTSのWAFのインターフェイス(GUI)を一部ご覧いただきます。





今日ご覧いただきますGUIは、「アクセストラフィック」です。


dts_1トップトラフィックオリジネーター(コンテンツの元の作成者・サイト)。縦軸がヒット数。横軸がクライアントです。







dts_2トップトラフィックオリジネーター(コンテンツの元の作成者・サイト)の比率。円グラフで比率を表示します。







dts_3アクセスされたリソース。縦軸がヒット数。横軸が時刻です。









dts_4現在のトラフィック。

オリジネーター(コンテンツの元の作成者・サイト)のIP、ホストIPアドレス、アクセスされたリソース、アクセスされた時刻が一覧によって表示されます。




さて、12月も早いもので半分が過ぎてしまいました。ただでさえ、忘年会や今年じゅうの仕事の追い込みなどで身体が忙しくなってくる今頃、明日の東京はこの冬一番の寒さになるという予報も出ています。お身体にはじゅうぶんお気をつけください!


関連記事
DTSのWAF インターフェイス〜「フロントパネル」
□現状のWAFが持つ、重大な危険性。
□WAFのブラックリストは、XSSを通過させてしまうことがあります!(WEB DB 2010 動画)

□DTS の WAF を最もシンプルなFAQ形式で

DTSのWAF インターフェイス〜「フロントパネル」

midashi101214から何度かに分けて、DTSのWAFのインターフェイスの一部をご覧いただきます。今日のエントリーでは、「フロントパネル」をご紹介します。



DTSのWAFは、すべてのインターフェイスがどなたにもチェックしやすいGUIで構築されています。

今日は、フロントパネルの一部をご覧いただきましょう。



fp_1「CPU Utilization」CPUの使用率のグラフ。縦が使用率(パーセント)で横が時間軸となっています。







fp_2「Resources Accessed」アクセスされたリソースのグラフです。縦がヒット数。横は時間軸です。







fp_3Total vs Infected Traffic」アクセストラフィックと、攻撃トラフィック。黄色がアクセストラフィック。グリーンは攻撃トラフィック。縦軸がヒット数。横軸がクライアントです。





fp_4「Server Traffic Summary」サーバートラフィックの概要です。ホストIPアドレス、トラフィック数、攻撃トラフィック数の順に表示されます。





明日は「アクセスログ」画面をご紹介しましょう。

WAFのコスト

midashi101213DTSのWAFのSaaSサービスがスタートします。WAFを導入するにあたり、やはり気になるのはそのコストです。



「WAFのコストは高い」という定説は、WAFのスタート時期からよく言われていたことです。試しに、WAFサービスの料金を調べてみると、そのコストは決して安いとは言えないものがほとんどです。

DTSのWAF自体、平均コストに比較してかなり低コストで済むところを、今回のSaaSサービスによってより幅広い方々の導入が可能となると思います。XSS(クロスサイトスクリプティング)の脅威は最早、大規模運営のサイトだけではなく様々なサイトに及んでいます。

saas










今回のSaaSサービスにより、より多くの、そして多種業社様にお使いいただけると確信しています。

そしてもちろん、コストだけはなく、導入時のシステム変更が不要。導入時のコスト、さらにランニングコストのパフォーマンスも見込めるわけです。

「ブラックリスト」「ホワイトリスト」

みだし101210DTSのWAF関連のエントリーで何度となく、(というより、現在のWAF関連のことを語る時に必ず)出てくる「ブラックリスト」というキーワード。今週最後のエントリーでは、このブラックリスト(そして、ホワイトリスト)を考察してみましょう。



ブラックリストとは、不正な値やパターン等を定義したデータベースのことです。この不正な値やパターン等のデータベースと照合して合致した場合防御するのが現在の主なWAFのエンジンです。そして「ホワイトリスト」という方式も存在します。これは逆に正しい値とパターン等を定義した方のデータベース。正しいもののデータベースに照合されない時に防御されるわけです。

ブラックリスト、ホワイトリストの最大の弱点ともいえることは・・・

ブラックリスト方式

●ブラックリストのデータベースに無いものは防御不可能。
未知の攻撃・ゼロデイアタックには効果なし。

ホワイトリスト方式

●膨大なコストがかかる
●サイトの更新毎にデータベースの更新が必要

要は、ブラックリスト、ホワイトリスト共に、端的に言えば「◯か×か」を単純に照合する方式です。

そして何度も解説させていただいているように、DTSのWAFのエンジンはリストに頼らない、オントロジー方式。推測して関連付けをし、自己学習もしていく方式です。


※昨日、一昨日あたりより話題になっているTwitterの短縮URLを利用したウイルス。この週末もくれぐれもご注意くださいませ。


関連記事
□現状のWAFが持つ、重大な危険性。
□WAFのブラックリストは、XSSを通過させてしまうことがあります!(WEB DB 2010 動画)

□DTS の WAF を最もシンプルなFAQ形式で

セキュリティ基準「PCI DSS」続報

midashi101208先週のエントリーにも掲載した、セキュリティ基準「PCI DSS」。今日は
さらに具体的な情報を。



PCI DSS(Payment Card Industry Data Security Standard)。クレジットカード業界のセキュリティ標準基準。概略はこちらのエントリーをご覧ください。

PCI DSSに関しては、各クレジットカード会社様が加盟店様用にそれぞれ専用ページを用意していますね。(以下、敬称略とさせていただきます)

アメリカン・エキスプレス

JCB

VISA

マスター



そしてこのPCI DSSの専用オフィシャルサイトも、もちろんあります。


p_1ペイメントカード業界セキュリティ基準協議会(PCI SSC)(英語サイト)(PCI DSSバージョン 2.0関連は現在、日本語サイトを準備中とのことです)






p_2PCI SSCの問診票ダウンロードページ
PCI DSSにはどんな基準なのかを具体的に知るには、PCI SSCが発行している自己問診票がダウンロードできます。






カード会社様の加盟店様向けの要求基準が違うのですが、もちろん、DTSのWAFはすべてのPCI DSSに準拠しています。SaaSサービスも準拠しています。これで、ECサイトを運営されている方々も安心してお使いいただけるわけです。

PCI DSSに関しては、これからもDTSブログでお伝えしていきます。

サイト利用者側としてのXSS対策案が・・・

midashi101207相変わらず、感染の知らせが相次ぐXSS(クロスサイトスクリプティング)。DTSでは、オントロジー型WAFに関連してこのXSSの「管理者側」としての防御策をご紹介してきました。




さて、利用者(閲覧者)側は果たしてどうでしょうか?今日、調べ物をしていてたまたま読んだウイキペディアでの利用者側の記事を読んでその危うさを改めて自覚したのです。引用させていただきましょう。

基本的にはWebサイト側の脆弱性を突いて、Webサイトにアクセスした利用者に任意のスクリプトを実行させる状況であるため、Webサイト管理者側が脆弱性対策を行わずに放置したような場合、サイト利用者側が取れる根本的な対策はほとんどない。
利用者側のポリシーとして「怪しいサイトには行かない」では不十分であり、「脆弱性の対策をしていないサイトは利用しない」という、一般人は有効に適用できそうもないポリシーを取るしかない。
その唯一の例外としては、ブラウザーのスクリプト(Java/ActiveXなどを含む)を無効にすること、スクリプトや動的生成ページを使用しない静的ページのみにアクセスを限定する、という程度である。

ウイキペディア「WAF」より

ご注目いただきたいのは、「Webサイト管理者側が脆弱性対策を行わずに放置したような場合、サイト利用者側が取れる根本的な対策はほとんどない。」という箇所。これはウイキペディアがオーバーに記載しているわけではなく、まさにこの通りなのです。何度か起こった、あのTwitterサイトへのXSS攻撃を思い出してみてください。閲覧者としてはあの時、具体的に解決策がなく、オフィシャルからもアクセスしないことだけが通告されていました。

そして最後にもあるように、唯一の例外がブラウザーのスクリプトを無効にすること・・・もちろん、この時代、これを100%実行してwebブラウジングすることは無意味でしょう。つまり、現段階では利用者としては防ぎようがないのがXSSアタックなのです。ここに記載されているように「一般人は有効に適用できそうもないポリシー」を取ってwebブラウジングすることはほぼ無理なのです。

サイト運営の皆様には、ぜひともこの「利用者が防ぎようがない危険」を今一度考えてみる必要があるかもしれません。この年末年始・・・サイト閲覧をする利用者が、ストレートに顧客になられるようなECサイトを運営されている方々は特に注意が必要かもしれません。

DTSのWAF

DTSのWAF SaaS サービス詳細は現在準備中。もう間もなくの公開となりますので今しばらくお待ちくださいませ。

DTS WAFのインターフェイスのダイジェスト動画

midashi101202DTSパキスタン支社制作のDTS WAFのマニュアル用映像が届きました。
正式版は編集中ですので、まずはダイジェスト的に雰囲気をご覧ください。




DTS WAF SaaSモデルのユーザーインターフェイスは、操作しやすいG.U.Iを採用。リアルタイムな確認、各種ログ・・・もちろん、PDFによるレポート発行機能も搭載されています。





ログ・イン→メイン画面→システムモニター→トラフィック分析機能→統計→構成
→監査ログ
Categories
10524_bn


mailfフォームボタン
QRコード
QRコード