DTSは、ちょっと違う。
IT企業なのにパキスタンでインフラビジネスに挑戦中!

XSS

DTS WAFのインターフェイスのダイジェスト動画

midashi101202DTSパキスタン支社制作のDTS WAFのマニュアル用映像が届きました。
正式版は編集中ですので、まずはダイジェスト的に雰囲気をご覧ください。




DTS WAF SaaSモデルのユーザーインターフェイスは、操作しやすいG.U.Iを採用。リアルタイムな確認、各種ログ・・・もちろん、PDFによるレポート発行機能も搭載されています。





ログ・イン→メイン画面→システムモニター→トラフィック分析機能→統計→構成
→監査ログ

シグネイチャー型のWAFと、オントロジー型のWAFとの違い

midashi101119昨日のエントリー「現状のWAFが持つ、重大な危険性」。御覧いただけたでしょうか?



今日のエントリーでは、先日開催された学会の「Web DB 2010」でのDTSのプレゼンテーションの昨日のエントリーの内容の一部分を抜粋したものを、動画でご覧いただきましょう。(UST中継を編集したものです)





このDTSのWAFに関連するプロダクトのサイトが今月中にオープン予定。来週のDTSブログでも発表する予定ですのでチェックをよろしくお願いいたします。それでは、良い週末をお過ごしください!

現状のWAFが持つ、重大な危険性。

midashi101118今日のエントリーでも、ブラックリストに頼ったWAFの危険性を
具体的に。さらにオントロジールール生成型との違いもご説明します。必見です!




まずは昨日のエントリーでご紹介した、動画の詳細です。



1















上の緑枠の部分が、一般的なシグネイチャー。

下の赤枠の部分のスクリプトが、XSSのマルウエアとなります。そして、この部分がブラックリストのデータベースとなり、一般的なブラックリスト型のWAFはこのブラックリストと照合して(マルウエアかどうか)判断するのです。


問題は、このスクリプトの一部分を書き換えた場合。書き換えた新種のXSSマルウエアはブラックリストにありません。つまり、「これは大丈夫」と判断してしまうのです。これは重大な問題です。

では、ブラックリストだけに頼らないDTSのWAFの場合はどうやって判断しているのか?

2




DTSのWAFは、独自の「オントロジー」テクノロジーを使用しています。このスクリプトのXSSがアタックしたという「事実」を基にして、「オントロジールールを生成」してしまうのです。

このオントロジールールで関連付けで判断するので、スクリプトの一部分を変えてしまっても「これも危険」だと判断します。

端的には、ブラックリストの場合、「これがマルウエアだから、気をつけるように」とひとつひとつデータベースとして持つのに対して、自らがパターンマッチングを学習して、関連付けで判断できるのです。

現状一般的であるブラックリスト型のWAFは、データベースを積み上げて具体的に照合します。データベースの数が膨大になり、当然のことながら検出スピードが落ちます。さらに、新種のXSSが公開される前にアタックされてしまうのです。これが所謂「ゼロデイアタック」と呼ばれる攻撃です。

これに対して、DTSのWAFはデータベースに頼らないので、検出スピードは圧倒的に速く、新種のXSSの「ゼロデイアタック」を仕掛けられることがありません。


DTSのWAF 関連記事

□WAFのブラックリストは、XSSを通過させてしまうことがあります!(動画)
□DTS の WAF を最もシンプルなFAQ形式で


●DTSのWAF特設サイト

WAFのブラックリストは、XSSを通過させてしまうことがあります!

midashi101117今日から週末にかけては、サイト運営されている方々(今や、ほぼすべての企業の方々ですね)にとって重要エントリーとなります!



現在、ほとんどのWAFは「ブラックリスト形式(マルウエアのデータベース照合形式)」です。

ところが、このブラックリストでアップされているものの一部を変えてしまえば、安全だとみなして通過させてしまうことがあります。

まずは先日の「Web DB 2010」のDTSのプレゼンテーションの一部分をご覧ください。







DTSのWAF関連記事
□DTSのWAF(SWAF)と、GAPSはアルゴリズムが異なります。
□「2010年 第2四半期 ソフトウェア等の脆弱性関連情報に関する届出状況」
□Twitter〜Webアプリケーションレイヤーの脆弱性を実感してしまった夜
□DTS の WAF を最もシンプルなFAQ形式で

XSS(クロスサイトスクリプティング)

midashi101115今週も平日毎日更新のDTSブログをよろしくお願いいたします!今日はXSS関連のエントリーです。


XSS(クロスサイトスクリプティング)。まずは、ウィキペディアの説明が非常にわかりやすく、簡潔に記載されていますのでここで引用を。

動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用し、狭義にはサイト間を横断して悪意のあるスクリプトを混入させること。また、それを許す脆弱性のこと。広義にはスクリプトを混入させずとも、任意の要素を混入させられうる脆弱性を含む。


DTSのWAFや、GAPSに必ず出てくるこのワード、例えばガンブラーはこのXSS攻撃のひとつです。先日のツイッターのアプリケーション攻撃の時にもこのXSSというワードがニュースに記載されていたので記憶に新しい方も多いかと思います。

ここで、先週開催された「WebDB Forum 2010」でDTS高橋がプレゼンした際のXSSについてを一部書き起こしてみます。

hack















「これは、アメリカのXSSについての、あるハッカーが書いたサイトです。(アタックの)ブラックリストだけではセキュリティに対するXSS攻撃は防御できないとはっきり記載しています。XSSのタイプは多種多様ですから、ある一つのパターンの攻撃をデータベース化しても防御できないとも書かれています・・・」(画像は、プレゼン時のUST中継画像)

bogyoまずは、DTSのWAFのXSSの防御率をご覧いただき、明日は再度、高橋のプレゼンと合わせて、最近のWAFで利用されている「Anomaly方式」のお話を。(クリックで拡大します)




高橋のプレゼンテーションでご紹介したハッカーのサイトはこちらです。
「XSS (Cross Site Scripting) Cheat Sheet?Esp: for filter evasion」



XSS関連の記事

□GAPS(Gateway Access Permission System)
□Webアプリケーションレイヤーの脆弱性
□「WebDB Forum 2010」での質疑応答
□「2010年 第2四半期 ソフトウェア等の脆弱性関連情報に関する届出状況」


GAPS・検出とプロテクションのプロセス

midashi1010128DTSの新たなガンブラー対策モジュールGAPS。昨日のエントリーの操作の
流れに続き、今日のエントリーでは、検出とプロテクションのプロセスを簡単な図にしてみました。




クリックすると図が拡大します。


process












社内からインターネットにアクセス。

サイトAは安全なサイト。社内から問題なくアクセスしていただけます。サイトBは一見、安全なサイトにみえますが、実はガンブラーサイトに誘導されるのでアクセス不可とGAPSが判断します。ウイルスサイトであるCは当然のことながら、アクセス不可と判断します。

図をご覧になってお分かりのように、GAPSが悪意のあるサイト、ウイルス、ガンブラーサイトのすべてを保護しますので、安全なWebアクセスが可能となります。

★ガンブラー対策モジュールGAPSのエントリー

昨日から急に寒くなってきました。お身体にはじゅうぶんご注意くださいませ。明日は今週最後のエントリーとなります。お楽しみに!

GAPSのスキャン結果と、まとめ

midashi101027DTSの新たなガンブラー対策モジュールGAPSの具体的な使い方の流れをご紹介しているエントリーの最終日の今日は、スキャン結果などをご覧いただきましょう。



各画像はクリックすると、拡大します。




ga1













これはGumblar ModuleからのGumblar Testing Reportの画面です。Gumblar Moduleはファイルの総数(.js, .asp, .aspx, .html, .htm) がスキャンされたのを示しています。感染ファイルとGumblar Malwares Removedがファイルを形成します。


ga2













Infected File Listをクリックしてください。感染ファイルのリストを表示し、別のウインドウが開きます。




ga3













ゼロバイトファイルリストをクリックすると、システムから取り除かれたゼロバイトファイルが表示されます。


以上が、GAPSの大まかな流れとなります。最後に、まとめを記載します。

1 GAPSは、マルウェア、ウィルスチェッカー、およびガンブラーサイトを検出します。

2 分類、URLは後に検出します。

3 ゼロバイト ファイルの検出。

4 ヒューリスティック パターンによる検出。

5 パターン・マッチングによる検出。

6 ブラックリストは頻繁にアップデートします。

7 L3 Cache(PlatinumCache)による高性能検索が可能です。




※GAPSに関するエントリーまとめ

※GAPS特設サイトも鋭意準備中!今しばらくお待ちくださいませ。

GAPSのスキャン開始

midashi101026昨日のエントリーでは、DTSの新たなガンブラー対策モジュールGAPSの具体的な使い方の流れを画面ショットを中心にしてご覧いただきました。
今日、そして明日のエントリーが、続きとなります。



昨日の「コンピュータドライブを選択して、次にフォルダーをスキャンするためにブラウズする項目にチェックを入れて、「Next」ボタンを押します。」の続きとなります。


G1














スキャンするためのパスを選択可能なブラウザを選択して、OKボタンを押します。NEXTボタンを押します。


G2














スキャンするためのフォルダーのパスに入らないと促してくれます。



G3














この画面では、ファイルのリストと、選択されたパスのサブフォルダーを表示しています。ファイルとフォルダをスキャンするために
「スタートスキャン」ボタンを押します。



G4















スキャンがスタートします。ガンブラー/マルウエアを駆除するための時間を計算しています。


さらに明日は、スキャン結果などの画面ショットをご紹介します。

※GAPSに関するエントリーまとめ

GAPSのトップ(起動)画面

midashi101025今週前半は、DTSの新たなガンブラー対策モジュールGAPSの具体的な使い方をご紹介していきます。まず週頭の今日はGAPSのトップ(起動)画面。GAPSのバージョンは1.5となります。



画面の左側にGAPSをご利用いただくためのヒントが記載されています。

gaps1













1 最新のWindows OSをインストールしてください。

2 ガンブラーの現在のフォーム、スパイウエアなどの形態を認識し、
信頼性の高いスパイウエア対策プログラムをダウンロード、インストールします。

3 システムにファイアウオールをインストールして、起動させてください。
ファイアウォールは、システムの完全な保護のために不可欠です。

4 アンチスパイウェアの定義をしてください。

●GAPSを使用する前に、上記のヒントに従って操作します。


画面の右側には、Gumblar、マルウエアに関するいくつかの情報が表示されます。


gaps2













コンピュータドライブを選択して、次にフォルダーをスキャンするためにブラウズする項目にチェックを入れて、「Next」ボタンを押します。

この続きは明日のエントリーにてご紹介いたします。

GAPSに関するエントリーまとめ

ガンブラーサイトへのアクセスを不可にするGAPS(Gateway Access Permission System)

midashi101021本日から、DTSの新たなガンブラー対策モジュール「GAPS(Gateway Access Permission System)」の製品についてのエントリーとなります。


まず最初のエントリーとなります今日は、最も単純な図を使用して、最もシンプルな説明をさせていただきます。詳細図は、現在制作中の特設サイトか、後々のエントリーにて。


gaps1















自分がアクセスしようとしたサイトAが、特に危険なサイトではない場合、GAPSがアクセス可と判断してパーミッションします。

アクセスしようとしたサイトBがガンブラーなどによって危険なサイトであった場合、GAPSがアクセス不可と判断してアクセスする前に止めてくれます。

少し前までは、所謂「URLフィルター」のようなカテゴリーなどで区別してアクセスの可/不可を判断していたモジュールがありましたが、複雑で多種多様に渡るサイトが混在している現在のような状況には不向きで、GAPSはまったく違う技術でダイナミックにチェックできるモジュールなのです。

非常にシンプルに「GAPSとは?」を説明するとこうなります。明日からは、詳細説明となりますが、まずはこの基本を。加えまして、防御側の製品である、DTSのWAFとのテクノロジーの違いについて少し説明させていただきます。

DTSのWAFは、オントロジーテクノロジーを利用した、ゼロデイアタックも防御できるモジュールです。こちらは防御のためのモジュールです。もちろん、ガンブラーからも運営サイトを守ります。

一方、GAPSはブラックリストとヒューリスティックを利用したモジュールです。こちらは安全にアクセスするためのモジュール。こちらももちろん、ガンブラーサイトへのアクセスを防ぎます。ヒューリスティックについては明日以降のエントリーで。
Categories
10524_bn


mailfフォームボタン
QRコード
QRコード