Submit Search
Upload
Imperva APP Secトレンド/再燃するATOとWeb APIセキュリティ (トレノケ雲の会 mod5)
•
0 likes
•
466 views
Trainocate Japan, Ltd.
Follow
トレノケ雲の会 mod5 「雲の防人」より 株式会社Imperva Japan 伊藤 秀弘さん
Read less
Read more
Technology
Report
Share
Report
Share
1 of 22
Download now
Download to read offline
Recommended
OWASP IoT Top10 超初級編
OWASP IoT Top10 超初級編
AkitadaOmagari
通信の安全を守るためにエンジニアができること
通信の安全を守るためにエンジニアができること
Kazuaki Fujikura
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
satoru koyama
Securitytopics 2020 08
Securitytopics 2020 08
SQATjp
Cisco E メール セキュリティ アプライアンス(ESA)
Cisco E メール セキュリティ アプライアンス(ESA)
シスコシステムズ合同会社
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare
Shinichiro Kawano
[Japan Tech summit 2017] DEP 003
[Japan Tech summit 2017] DEP 003
Microsoft Tech Summit 2017
Recommended
OWASP IoT Top10 超初級編
OWASP IoT Top10 超初級編
AkitadaOmagari
通信の安全を守るためにエンジニアができること
通信の安全を守るためにエンジニアができること
Kazuaki Fujikura
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
satoru koyama
Securitytopics 2020 08
Securitytopics 2020 08
SQATjp
Cisco E メール セキュリティ アプライアンス(ESA)
Cisco E メール セキュリティ アプライアンス(ESA)
シスコシステムズ合同会社
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare
Shinichiro Kawano
[Japan Tech summit 2017] DEP 003
[Japan Tech summit 2017] DEP 003
Microsoft Tech Summit 2017
test_アンケート案内_securityliteracy0907.pptx
test_アンケート案内_securityliteracy0907.pptx
Trainocate Japan, Ltd.
なるべく作らない内製のために~「作る」から「選んでつなぐ」へ~
なるべく作らない内製のために~「作る」から「選んでつなぐ」へ~
Trainocate Japan, Ltd.
AWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめ
Trainocate Japan, Ltd.
今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎
Trainocate Japan, Ltd.
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
LPI認定の概要
LPI認定の概要
Trainocate Japan, Ltd.
アンチパターンで気づくAWS Well-Architected Framework入門編 信頼性の柱 総集編
アンチパターンで気づくAWS Well-Architected Framework入門編 信頼性の柱 総集編
Trainocate Japan, Ltd.
AWS設計ガイドラインで取り組むクラウドシフト
AWS設計ガイドラインで取り組むクラウドシフト
Trainocate Japan, Ltd.
30分でわかる! コンピュータネットワーク
30分でわかる! コンピュータネットワーク
Trainocate Japan, Ltd.
セキュアなテレワークの実現
セキュアなテレワークの実現
Trainocate Japan, Ltd.
OSSを活用したIaCの実現
OSSを活用したIaCの実現
Trainocate Japan, Ltd.
AWS Organizationsでマルチアカウントハンズオン環境を構築した話
AWS Organizationsでマルチアカウントハンズオン環境を構築した話
Trainocate Japan, Ltd.
どう変わる? 新シスコ認定トレーニング ~CCNAとCCNP Enterprise~
どう変わる? 新シスコ認定トレーニング ~CCNAとCCNP Enterprise~
Trainocate Japan, Ltd.
Microsoft Teams 管理のススメ
Microsoft Teams 管理のススメ
Trainocate Japan, Ltd.
ノンコーディングでビジネスアプリ作成 PowerApps入門
ノンコーディングでビジネスアプリ作成 PowerApps入門
Trainocate Japan, Ltd.
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
Trainocate Japan, Ltd.
20191024 dx trainocate
20191024 dx trainocate
Trainocate Japan, Ltd.
IoTセキュリティの課題
IoTセキュリティの課題
Trainocate Japan, Ltd.
AWS IoT サービスのアップデート情報とセキュリティ関連機能
AWS IoT サービスのアップデート情報とセキュリティ関連機能
Trainocate Japan, Ltd.
IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介
IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介
Trainocate Japan, Ltd.
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
More Related Content
More from Trainocate Japan, Ltd.
test_アンケート案内_securityliteracy0907.pptx
test_アンケート案内_securityliteracy0907.pptx
Trainocate Japan, Ltd.
なるべく作らない内製のために~「作る」から「選んでつなぐ」へ~
なるべく作らない内製のために~「作る」から「選んでつなぐ」へ~
Trainocate Japan, Ltd.
AWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめ
Trainocate Japan, Ltd.
今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎
Trainocate Japan, Ltd.
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
LPI認定の概要
LPI認定の概要
Trainocate Japan, Ltd.
アンチパターンで気づくAWS Well-Architected Framework入門編 信頼性の柱 総集編
アンチパターンで気づくAWS Well-Architected Framework入門編 信頼性の柱 総集編
Trainocate Japan, Ltd.
AWS設計ガイドラインで取り組むクラウドシフト
AWS設計ガイドラインで取り組むクラウドシフト
Trainocate Japan, Ltd.
30分でわかる! コンピュータネットワーク
30分でわかる! コンピュータネットワーク
Trainocate Japan, Ltd.
セキュアなテレワークの実現
セキュアなテレワークの実現
Trainocate Japan, Ltd.
OSSを活用したIaCの実現
OSSを活用したIaCの実現
Trainocate Japan, Ltd.
AWS Organizationsでマルチアカウントハンズオン環境を構築した話
AWS Organizationsでマルチアカウントハンズオン環境を構築した話
Trainocate Japan, Ltd.
どう変わる? 新シスコ認定トレーニング ~CCNAとCCNP Enterprise~
どう変わる? 新シスコ認定トレーニング ~CCNAとCCNP Enterprise~
Trainocate Japan, Ltd.
Microsoft Teams 管理のススメ
Microsoft Teams 管理のススメ
Trainocate Japan, Ltd.
ノンコーディングでビジネスアプリ作成 PowerApps入門
ノンコーディングでビジネスアプリ作成 PowerApps入門
Trainocate Japan, Ltd.
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
Trainocate Japan, Ltd.
20191024 dx trainocate
20191024 dx trainocate
Trainocate Japan, Ltd.
IoTセキュリティの課題
IoTセキュリティの課題
Trainocate Japan, Ltd.
AWS IoT サービスのアップデート情報とセキュリティ関連機能
AWS IoT サービスのアップデート情報とセキュリティ関連機能
Trainocate Japan, Ltd.
IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介
IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介
Trainocate Japan, Ltd.
More from Trainocate Japan, Ltd.
(20)
test_アンケート案内_securityliteracy0907.pptx
test_アンケート案内_securityliteracy0907.pptx
なるべく作らない内製のために~「作る」から「選んでつなぐ」へ~
なるべく作らない内製のために~「作る」から「選んでつなぐ」へ~
AWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめ
今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
LPI認定の概要
LPI認定の概要
アンチパターンで気づくAWS Well-Architected Framework入門編 信頼性の柱 総集編
アンチパターンで気づくAWS Well-Architected Framework入門編 信頼性の柱 総集編
AWS設計ガイドラインで取り組むクラウドシフト
AWS設計ガイドラインで取り組むクラウドシフト
30分でわかる! コンピュータネットワーク
30分でわかる! コンピュータネットワーク
セキュアなテレワークの実現
セキュアなテレワークの実現
OSSを活用したIaCの実現
OSSを活用したIaCの実現
AWS Organizationsでマルチアカウントハンズオン環境を構築した話
AWS Organizationsでマルチアカウントハンズオン環境を構築した話
どう変わる? 新シスコ認定トレーニング ~CCNAとCCNP Enterprise~
どう変わる? 新シスコ認定トレーニング ~CCNAとCCNP Enterprise~
Microsoft Teams 管理のススメ
Microsoft Teams 管理のススメ
ノンコーディングでビジネスアプリ作成 PowerApps入門
ノンコーディングでビジネスアプリ作成 PowerApps入門
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
20191024 dx trainocate
20191024 dx trainocate
IoTセキュリティの課題
IoTセキュリティの課題
AWS IoT サービスのアップデート情報とセキュリティ関連機能
AWS IoT サービスのアップデート情報とセキュリティ関連機能
IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介
IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介
Recently uploaded
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
WSO2
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
Recently uploaded
(10)
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Imperva APP Secトレンド/再燃するATOとWeb APIセキュリティ (トレノケ雲の会 mod5)
1.
Imperva AppSec トレンド 再燃する
ATO と Web API セキュリティ Imperva Japan Hidehiro Ito – Sales Engineer September 2019
2.
はじめに 本資料の取り扱いについて 本資料に記載されている事柄は、予告なく変更されることがありますので、予めご了承ください。 本資料は「無保証」で提供され、市場性、特定の目的に対する適合性、または第三者の権利を侵害しないことを含むいかなる明示または暗示保証は一切付与されませ ん。 Imperva , Inc.
(以下「Imperva」といいます) は、本書に含まれる技術的および編集上の誤りと欠落について、また、本資料の内容の実行および使用に起因する直接的、 付随的、二次的、その他のあらゆる損害について、Impervaは、そのような損害の可能性について事前に知らされていた場合でも、一切責任を負いません。 本書には著作権により保護されている情報が含まれています。内部での配布を除き、Imperva, Inc.の事前の書面による許可なく、本書を、いかなる形式においても複写ま たは複製することを禁じます。 Imperva製品の限定保証については、各製品の付属文書をご参照ください。Impervaは、Imperva製品のみを保証し、他社製品は一切保証いたしません。 製品リリース後の実際の情報と異なる場合、いかなる責任もImpervaは負わないこととします。 本書に記載されているその他のすべての商品名は、該当する各社の商標または登録商標です。 Copyright © 2019 Imperva, Inc., 3400 Bridge Parkway, Suite 200 Redwood Shores, CA 94065 United States All rights reserved. 2 © 2019 Imperva, Inc. All rights reserved.
3.
セッションアジェンダ このセッションでは… クラウド上のアプリケーションセキュリティ分野で近年盛り上がりをみせている、API セキュリティとアカウント乗っ取り(Account Take
Over)対策について、 紹介してみます • 自己紹介 • API セキュリティの必要性とそれに対する取り組み • アカウント乗っ取り攻撃の脅威とそれに対する取り組み 3 © 2019 Imperva, Inc. All rights reserved.
4.
Who I am? 伊藤
秀弘(いとう ひでひろ) • Senior Sales Engineer • これまでの歩み • 1991年~ 某総合電機メーカーの(いわゆる)情シス部門で開発・運用に従事 • 2000年~ 運用管理 S/W のベンダを経て、セキュリティ村へ • IDS/IPS、脆弱性スキャナ、エンドポイントセキュリティ、メールセキュリティ、S/W 暗号化 などのサポート、プリセールスなどを担当 • 2014年~ Imperva Japan 入社、おもにセールスエンジニアとして WAF、DB セキュリティ、クラウド WAF などなどを担当 TBC… 4 © 2019 Imperva, Inc. All rights reserved.
5.
Who we are? Imperva
について • 事業 アプリケーション/データセキュリティ・ソリューションプロバイダ • Impervaのミッション “To protect your data and applications from ever-changing attacks of cyber criminals” • 設立 2002年 • 本社 米国カリフォルニア州 Redwood Shores • CEO Christopher Hylen • CTO Kunal Anand • 創業者 Shlomo Kramer、Amichai Shulman • 従業員数 1,200+ • 日本法人 • 株式会社 Imperva Japan • 2007年設立 代表:Lorne Fetzek • 国内1次代理店様: ‒ マクニカネットワークス株式会社 ‒ ソフトバンク・テクノロジー株式会社 ‒ 株式会社ネットワークバリューコンポネンツ ‒ NRIセキュアテクノロジーズ株式会社 • お客様 5 © 2019 Imperva, Inc. All rights reserved. • 325+ • government agencies & departments • 425+ global 2000 companies • 7 of the top 10 • global telecommunications providers • 3 of the top 5 • US commercial banks • global financial services firms • global computer hardware companies • global biotech companies • global diversified insurance services
6.
オンプレ ハイブリッド クラウド 6
© 2019 Imperva, Inc. All rights reserved. DATA APIs APPs 自組織外から のアクセス パートナー 顧客 請負業者 悪性 bot 攻撃者 自組織内から のアクセス 正規ユーザ 特権ユーザ 悪意のある 関係者 不注意なユーザ 侵害された アカウント アプリケーション の保護 CDN ロードバランシング WAF RASP DDoS Bot プロテクション データ セキュリティ & コンプライアンス 可視化/見える化 ポリシー レポーティング モニタリング ブロッキング マスキング Attack Analytics (AIソリューション) Data Risk Analytics (AIソリューション) SIEM Imperva の セキュリティビジョン
7.
API セキュリティの章 7© 2019
Imperva, Inc. All rights reserved.
8.
これらはほんの始まりにすぎない “2022年までには、APIの悪用が最も頻繁な攻撃ベク ターとなり、企業のWebアプリケーションのデータ侵害を引き 起こす可能性がある” API を介したセキュリティインシデント 8 Proprietary
and confidential. Do not distribute.
9.
デジタルトランスフォーメーション - BUZZWORD? さまざまなアプリケーションが日々稼働 e.g.
Enterprise Apps, Web Apps, Mobile Device, Connected car etc. • おなじ組織内の別部門も、運用にあたって個別要件をもつ → 複雑 • データはさまざまな場所に保存、さまざまな人たち/手段でアクセス → やっぱり複雑 ➢ デジタルトランスフォーメーションを進めるうえで、データに対して最小限の労力で アクセスすることは非常に重要 → 複雑性からの解放 単一エントリーポイントからあらゆるデータにアクセスできるととってもうれしい • オンプレミス、パブリック/プライベートクラウドなど、どこからでもアクセス可能 • さまざまな法規制に準拠 • さまざまなプログラミング言語でデータを取得できる • さまざまなサードパーティー製品との連携 9
10.
従来型 Web セキュリティとのちがいを知る •
アクセスクライアントの分類・識別 → よいボット?わるいボット?ブラウザ? • 開発部門による管理 → セキュリティ?そんなことより早くリリース! • Web に対する一般的な攻撃への保護 → SQLi?XSS?RFI? • DDoS 攻撃に対する保護 → BPS?RPS?PPS? • ホワイトリスト型セキュリティについて → めんどくさい設定?頻繁な変更? 10 © 2019 Imperva, Inc. All rights reserved. 開発部門による管理 公開されたビジネスロジック OpenAPI Specification 再利用 Mobile Developer B2B IoT Machine さまざまなアクセスクライアント ボットネット / DDoS攻撃
11.
Imperva API セキュリティ
– 1 API 通信におけるさまざまな攻撃に対して、さまざまな手法を用いて保護(一部これから) • 機械学習(API endpoints calls flow, API call rate, device finger print, Malformed data) • ログ監査, 検出 • ポリシー自動適用 11 © 2019 Imperva, Inc. All rights reserved. ポジティブセキュリティ 1 ネガティブセキュリティ 2 アノマリー検出 3 • セキュリティポリシー • パラメータタイプ, フォーマット, パス • HTTP方式 Website Security DDoS Protection Load Balancing CDN & Optimizer
12.
Imperva API セキュリティ
– 2 Open API(Swagger)ファイルのアップロードで瞬時にポリシーアップデート → ポジティブセキュリティモデル • 3レイヤーAPI保護モデルで多層防御 • CI/CD(ビルド, テスト, 導入)の完全自動化をサポート • DevSecOpsの実現で、品質を落とさずにソフトウェア開発ライフサイクルを高速化 • API管理ツール(AWS等)との連携 12 © 2019 Imperva, Inc. All rights reserved. ポジティブセキュリティ 1 ネガティブセキュリティ 2 アノマリー検出 3 <Swagger ファイル>
13.
Imperva API セキュリティ
– 3 API 向けセキュリティイベントログの出力結果。API 定義から違反したトラフィックを “API Specification Violation” として検出 13 © 2019 Imperva, Inc. All rights reserved.
14.
ATO 保護の章 14© 2019
Imperva, Inc. All rights reserved.
15.
ATO(Account Take Over)-
アカウント乗っ取り攻撃の実態 • サイバー犯罪者は、ハッキングされた資格情報を通じてアカウントにアクセスします • 悪用可能な1つ1つのクレデンシャル情報は転売可能 • サイバー犯罪者が報酬を授与 TRUE STORY © 2019 Imperva, Inc. All rights reserved.15 2018年、ATO による被害の総額 $5.1 Billion 多くの人が複数のデバイスでパス ワードを使いまわしている 60% 全世界における資格情報の侵害数 7 Billion
16.
ATO(アカウント乗っ取り攻撃)とは Credential Stuffing(資格情報の詰め込み)の例 –
入手した資格情報をつめこんでみた 16 © 2019 Imperva, Inc. All rights reserved. TEST CREDENTIALS GAIN ACCESS STEAL ASSETSHARVEST CREDENTIALS ボットネット Web サーバー 組織の情報資産攻撃者 E-Commerce Financial Services Healthcare Stolen Credentials Credit Cards Currency Healthcare Records Joe X X X X X S i g n I n 帯域幅の消費 (Consume bandwidth) 資産の侵害 ブランドダメージ STUFFING!
17.
従来型アプローチの課題を知る 複雑なパスワードの選択を強制してみた → 複雑なパスワードでさえハッキングされてしまった(パスワードの使いまわし) 多要素認証を強制してみた → 利用者の操作性に与える影響が大きい(めんどくさい) →
よくできたフィッシングページに誘導、ワンタイムパスワードを窃取できる IP レピュテーションで守ってみた → 送信元 IP アドレスはしょっちゅう変わる WAF を使ってみた → WAFによる ATO 対策は一定効果が期待できるが、さまざまな回避攻撃に対応するには限界もある © 2019 Imperva, Inc. All rights reserved.17
18.
Imperva Account Take
Over Protection - 1 18 © 2019 Imperva, Inc. All rights reserved. 導入について 利用者への影響について 検知と防御について • 特別な構成変更、不要です • すぐはじめられます • アプリケーションの変更は不要です • Web captcha は最小限に • 操作性への影響も最小限に • 体感的な遅延はほぼありません • 攻撃者の意図をみえる化します • シミュレーションによって過去データ から想定影響をみつもります • リスクベースで攻撃を緩和します
19.
Imperva Account Take
Over Protection - 2 legitimate Suspicious Suspicious Suspicious High Probability Allow Medium Probability Low Probability PoP 4段階の可能性(Probability)を 提示 ↓ 「Simulate」機能で 想定される影響度を確認 ↓ 「High」/「Medium」/「Low」 それぞれにアクションを設定 → Block / Captcha / Alert ATO Detection Engine 19 © 2019 Imperva, Inc. All rights reserved.
20.
Imperva Account Take
Over Protection - 3 20 © 2019 Imperva, Inc. All rights reserved. アカウント名 サイト名 表示期間 表示期間中のログイン数推移 期間中のリスク推移 期間中に検知 した攻撃情報 期間中の検知した攻撃情報 IP Geoロケーションベース
21.
Advanced Detection(’19 年末リリース予定) •
ソースを識別する • ボット?ブラウザ? • 悪性ボット? • ATO 攻撃の試み? • 定義済みの状態で正確に攻撃の 試みを検出 • 遅延はほぼなし • 実トラフィック、24x365 ラボによ るワールドワイドクラスのセキュリ ティインテリジェンス 21 © 2019 Imperva, Inc. All rights reserved. POP アクセスクライアントのフィンガープリント レピュテーション Login Anomaly Detection Engine 専門チーム 分類・識別 人による行動の解析 PoP
22.
ありがとうございました!
Download now