忙しい人のための Cisco Umbrella 提案ガイド ざっくり シリーズ 忙しい人のための Cisco Umbrella 提案ガイド シスコシステムズ合同会社 2017年6月

目次 こんなお客様にご提案ください 製品紹介 販売ガイド 配置イメージ 市場動向 セールスコンテンツ オーダー方法 用語集 付録：その他製品紹介資料

1 2 3 こんなお客様にご提案ください Cisco Umbrella： セキュリティ導入の 「手間が課題」となり 十分な対策ができていない マルウェアなどの危険から簡単に端末を守りたいお客様 セキュリティ導入の 「手間が課題」となり 十分な対策ができていない 1 FWとAVは導入しているが 「マルウェア対策」は 導入していない IoTなどPC以外の機器の セキュリティ対策をしたい 2 3 3

製品紹介

Cisco Umbrella : クラウド型のインターネット セキュリティ 特徴： ・ 企業NWの外でもデバイスを保護 ・ 全てのプロトコルとポートが保護対象 ・ 攻撃の発生前から防御される仕組み ・ プロキシ機能、ファイル検査機能 ・ 分単位での導入も可能 ユーザがどこにいても 安全なインターネット通信を 提供するクラウドサービス Cisco Umbrella Cisco Umbrella

Cisco Umbrella は DNSの仕組みを利用 危険なドメインの情報を様々な 方法で解析、データベース化 Cisco Umbrella Cisco Umbrella は DNSサーバ: 問い合わせられたドメインが危険ならブロック 安全なドメインなら、正規のIPを応答 導入が容易 ・DNS問い合わせ先がCisco Umbrella に なるように設定するだけで導入可能 幅広い防御 ・DNSを使うデバイスは全て防御対象(IoTも) ・ポートやプロトコルに関わらず防御の対象 (Webセキュリティ製品はHTTP/ HTTPSのみ) 208.67.222.222 / 208.67.220.220 DNSの リクエストとリプライ 72.163.4.161 です。 危険なため ブロックします。 badguy.comのIPは? cisco.comの IPは?

エクスプロイト または フィッシング ドメイン マルウェアから端末を保護 Cisco Umbrella は マルウェアの動作を様々なステップで妨害し、端末を保護します。 Cisco Umbrella マルウェアの動作の流れとUmbrellaによる防御ポイント ① マルウェアへの感染を引き起こす 危険なサイトへのアクセスを停止 ② エクスプロイトに感染した場合でも、 エクスプロイトが行う、マルウェア のダウンロードなど(C2通信)を停止 乗っ取られた サイト や マルバタイジング マルウェアとボットネットのインフラ 添付ファイル ファイル ドロップ フィッシング、スパム エクスプロイト または フィッシング ドメイン ランサムウェア トロイの木馬 他のマルウェア コールバック リダイレクト ① ② ③ Point マルウェアもDNSを使って通信する。 ① ③ マルウェアに感染したとしても、 マルウェアが動作上で行うC2通信 (ランサムウェアによる暗号鍵取得など) を停止し、動作を途中で途絶

DNS情報だけでは判別できない脅威にも対応 安全性を断定できないアクセス先は、中身もチェック 安全なサイトへのリクエストは許可 危険なサイトへのリクエストは拒否 断定できないWebサイト*へのリクエストは 中身をチェック (インテリジェント Proxy機能) *単に危険性が断定できないグレーなWebサイトだけではなく、 SNSなどのようにコンテンツがユーザによって変化するため、 サイト単位(DNS)では安全性が担保されないサイトなど

URLやファイルの安全性を精査 複数のセキュリティ機能をもったProxyで Webのトラフィックを検査 Cisco TalosやWBRS (Webレピュテーション)などの 情報を用いて、URLの安全性をチェック ファイルが含まれる場合、アンチウィルスとCisco AMPによってファイルの安全性チェック 問題なければ通信を許可 事後対策として Cisco AMPのレトロスペクティブ機能にも対応 (通過した未知のマルウェアが既知になった際に、 その存在をアラートで通知)

サマリー １ ２ ３ 導入が容易 (Easy) すべての端末/プロトコル/ポート番号が保護対象 (Everything) Cisco Umbrella の３つのポイント 導入が容易 (Easy) １ DNSの動作を応用したサービスであり、現状のインフラに対して大きな変更を伴わずに迅速に導入が可能です。機能を最大限に活かせる導入方式では多少の変更や設置を伴いますが、 すぐに防御を始めたい場合には、まず導入が容易な方式からスタートして後で移行できます。 すべての端末/プロトコル/ポート番号が保護対象 (Everything) ２ DNSを使っていれば、IoTのようにセキュリティ ソフトを導入できないものもUmbrellaで防御することができます。 また、DNSはプロトコルやポート番号に関わらず利用されるため、保護の範囲もマルウェアの動作を阻止できる 範囲も既存のウェブ セキュリティとは大きく違い、広範です。 防御が早い (Early) ３ 通信の可否はクラウド側で判定されるため、オンプレ型のセキュリティ製品のようにローカルに情報取得をする ステップはありません。クラウドが危険と判断した通信先(ドメイン) はただちに通信禁止になります。 また、攻撃者の先手を取り、攻撃の発生前から防御を可能にするクラウドの解析能力により防御が迅速です。

販売ガイド 配置イメージ 市場動向 セールス コンテンツ オーダー方法 用語集 付録： その他特長機能

Anyconnect - Umbrella Roaming Security モジュール 配置イメージ 社外でも防御が有効 パターン１： Cisco ISR 4000シリーズ、Cisco WLAN コントローラと連携して動作 設定箇所がNW機器でOK パターン２： AnyConnect – Umbrella Roaming Security モジュール、 またはスタンドアロンの Roaming Client をPCに インストールして連携 ③強制的にUmbrellaを 利用してDNS解決 ③強制的にUmbrellaを 利用してDNS解決 Cisco WLAN コントローラ ②インター セプト ！ Cisco ISR 4K ！ ②インターセプト Anyconnect - Umbrella Roaming Security モジュール ①DNSクエリ ①DNSクエリ パターン３： 端末のDNSサーバが Umbrellaになるように設定 - 社内DNSの参照先に指定 ‐DHCPサーバでの設定 ‐端末のOSに手動設定 など 導入が最も簡単 パターン４： Umbrella 提供の 仮想アプライアンスを設置 連携することでより高機能 な動作が可能 最も高機能な導入 ①DNSクエリ ‐直接Umbrellaを利用 Umbrella 仮想アプライアンス ①DNSクエリ

市場動向：シスコが最初のSecure Internet Gateway SIG Secure Internet Gateway マルウェアへの対策 など、通信を安全に 行うことにフォーカス SWG Secure Web Gateway Web通信に対するコンプライアンスと 保護を目的としたコントロールに フォーカス デリバリ モデル 高いスケーラビリティをもつ柔軟なアーキテクチャをもつクラウド 多くの場合、スケーラビリティのないH/Wに搭載のオンプレ 導入 シンプルかつ一貫している 複雑 カバー範囲 どのネットワーク上でも 多くの場合、社内のみ 信頼性 グローバル冗長性により100% 一般的にグローバル冗長性を有しない 保護対象 全ての通信ポート Webのみ セキュリティ情報 全ての通信先 十分な情報量がない 連携性 API連携可能で、オープン クローズ 管理者のエクスペリエンス 数分で設定可能 トレーニング受講などが必要 ユーザのエクスペリエンス 遅延なし サイト次第で遅延やデータの破損 2017年2月、 新たなセキュリティ カテゴリ: SIGの 製品として業界初リリースされたのが Cisco Umbrella です。

セールス コンテンツ Umbrella ポータル サイト https://umbrella.cisco.com/ Cisco Partner Contents Portal （CPCP） https://cisco-crp.com/ 評価版ライセンス発行サイト (14日間のトライアルが可能) https://signup.umbrella.com/

オーダー方法 サブスクリプション： UMBRELLA-SUB 開始日と期間(12-36か月)を指定 プロダクトオプション: 以下を導入方式に合わせて選択 Umbrella Branch: UMB-BRAN-4xxx / 利用するISRにつき１つ(最小1) Umbrella Wireless LAN: UMB-WLAN / 利用するAPにつき１つ(最小5) Umbrella Roaming: UMB-ROAM / 利用するユーザ数(最小10) Umbrella Professional: UMB-PROFESSIONAL / 利用するユーザ数 Umbrella Insights: UMB-INSIGHTS-K9 / 利用するユーザ数 Umbrella Platform: UMB-PLATFORM-K9 / 利用するユーザ数(最小500) サポート:UMB-SUPT-B/G/P (Basic/Gold/Platinum) サポート レベルに応じて選択 Basic は無料付帯

オーダー方法:(補足)プロダクト オプションの比較 ※Professional, Insights, Platformいづれかの購入時も、Roaming, Branch, Wireless LAN と同様の導入形式をサポート (Branchの導入形式を採用かつ高機能なクラウド機能(Proxyファイル検査等)を使いたい場合など) Roaming Branch Wireless LAN Professional Insights Platform ライセンス単位 ユーザ ISR 4K AP カバー範囲 On-network (全デバイス) Off-network (PC) ポリシーと レポートの 細かさ ネットワーク/ ホスト単位 ホストのみ ネットワークのみ サブネット/ユーザ単位 制御/防御 DNSレイヤ (domain+IP) IPv4 レイヤ (DNSを使用しない通信)   Proxy – URL カテゴリ フィルタ Proxy – ファイル検査/ 危険URLへのアクセス阻止 API連携 見える化と Intelligence 基本ログ＆レポート 高度なレポーティング S3を利用したログ管理 Investigate機能の利用

用語集１ 用語 説明 DNS Domain Name System。URLで使われているドメイン名に対するIPアドレスを管理するサーバ。PCやスマホなどの端末はこのサーバに問い合わせることで、ドメイン名から通信先のIPアドレスを取得。その後TCP/ IPを使って通信先と通信している。問い合わせに使われるプロトコルもDNSと呼ばれる。 Proxy プロキシ。クライアントからのサーバに対するWebの通信を中間で受け取り、サーバにはクライアントの代理としてサーバに通信、クライアントにはその応答を返すサーバ。サーバとクライアントを直接通信させないことで クライアントを匿名化したり、製品によっては通信の中身をチェックすることでセキュリティを施すこともできる。 Secure Internet Gateway (SIG) Cisco Umbrella が作った新たなセキュリティ製品のカテゴリ。インターネットの通信の安全性を保護することができるゲートウェイ。Web セキュリティ製品は、これに対してSecure Web Gateway (SWG) とよばれる。 SWGはWebの通信の制御にフォーカスされているが、SIGはインターネットへの通信全般が対象でありカバー範囲が異なる。また、SIGはマルウェアなどの脅威などからクライアントを保護することを目的としており、SWGと比べた 場合、より脅威対策の意味合いが強い。SWGは逆にポリシー制御の意味合いが強い。(カテゴリフィルタやURLフィルタなど) Virtual Appliance (VA) Cisco Umbrella サービス導入方法のうちの１つで使われる仮想アプライアンス。最も高機能な利用方法が可能な 導入となり、そのために必要な役割を果たす。ソフトウェアはUmbrella管理画面から入手できる。 Application Visibility Control (AVC) アプリケーションの可視化と制御を可能とする仕組みと機能のこと。特に最近では、TCP/UDP でのプロトコルにもとづくアプリケーションのみならず、Web通信の中に含まれるアプリケーション(SNS内のゲームやクラウド サービスに 対して行われるファイル操作など)もアプリケーションの単位として扱われる製品が増えている。 WBRS Ciscoのもっているセキュリティ データベースの一つ。様々な情報に基づいてWebのURLに対する信頼性(レピュテーション)をスコアで提供する。健全なドメイン (サーバ)上の特定のURLが有害である場合もあるため、Umbrellaは インテリジェントProxy動作時、この情報を使って危険なURLへの通信をブロックする。

用語集２ 用語 説明 DGA Domain Generation Algorithm。URLフィルタなどよる防御を逃れるために、マルウェアがC2通信に使用するドメインを動的に切り替える手法。マルウェアに機能として組み込まれる。予め設定されたドメインのリストを移っていくのではなく、アルゴリズムに基づいてドメイン名を生成するため、URLフィルタなどで対策するのは困難。 Cisco AMP ファイルをハッシュ値で認識し、クラウド上に有するDBと照合、有害/無害の判定をする機能・製品。特徴の一つとして、 過去に通過したファイルが後から有害だと判明した場合に、その事実を通知する“レトロスペクティブ“をもつ。詳しくは 「ざっくりCisco AMP」を参照。 エクスプロイト(exploit) OSやアプリケーションのもつ脆弱性を悪用するプログラムやソースコード。攻撃者は多くの場合、脆弱性の中でも外部から任意のコマンドが実行可能になったり、小さなプログラムを動作させることができるものを悪用するエクスプロイトを使って、目的の犯罪を達成する機能をもったマルウェアをインストールする。つまり、マルウェアをインストールするための足掛かりとして使われる。 マルウェア PCやPC上のデータ、アプリ、またはユーザに対して害を及ぼす目的で悪意を持って製作されたソフトウェアの総称。ウイルスもマルウェアの一種。過去はウイルスのように愉快犯的な破壊活動が流行したが、現在では金銭を目的とした産業スパイ、データの盗難、ランサムウェアのようなタイプのものが多い。 ランサムウェア PCのデータを暗号化することでデータを人質(ランサム)にとり、データ復元の見返りに金銭を要求するタイプのマルウェア。データが暗号化されることにより、業務アプリケーションも使用することができない状態になり、PC自体が人質に取られた 状態になることも。攻撃側が即金の収入を得られるため流行している。 WannaCry 2017/5 に大流行したランサムウェア。金銭の要求を行う都合上、特定のターゲットを攻撃するのが主流であるランサムウェアに、それまでなかったウイルスのような自己拡散機能を搭載していたため多くのPCが感染した。

付録： その他の特長機能

導入方法で異なるポリシー/ 可視化の粒度(ID) *Umbrella AD Connector導入時に利用可能 どの導入方式でも端末はUmbrellaとPublic IPで通信 P.11の配置 パターン 配置パターン:３ 配置パターン:２ 配置パターン:４ 配置パターン:１ Umbrella 導入方法 社内DNS または DHCP 設定で指定 Umbrella roaming client (RC) Umbrella AD Connector導入 Umbrella virtual appliance (VA)設置 ネットワーク デバイス との連携 Umbrella identities なし (全体共通のポリシー) ホスト名 (GA) RCやVAでの導入に ユーザ名とグループ名 を提供* インターナルIP ネットワーク デバイス名、 VLAN ID インターナルIP (LA) サブネット ユーザ名* (LA) ユーザ名* + + この単位ごとにポリシー設定が可能＆レポートなど見える化の粒度も同様

設定: ポリシーは、対象(Identity)に割り当てる その対象にどの防御を施すか選択

可視化:イベントもクラウドで見える化 セキュリティのサマリ: イベント発生状況をグラフで見える化 詳細なイベント: いつ/誰が/どこにアクセスしてどの処理をされたか クリック Identityは導入方式によって 見える粒度が異なる 詳細なイベント: 時間ごとの発生状況とブロック状況。 アクセスしたIdentityの情報も確認可能 イベントの多い(アクセスの多い) ドメインをリストアップ クリック

危険なドメイン情報の解析方法 すぐれた分析モデルにより、 攻撃に利用されるドメイン情報を 特定、攻撃発生前から防御も可能 推理に基づき判定 すぐれた分析モデルにより、 攻撃に利用されるドメイン情報を 特定、攻撃発生前から防御も可能 入力: 200万/秒を超えるリアルタイム イベント情報 110億を超える過去のイベント 推理に基づき判定 Co-occurrence モデル IP Geo-Location モデル Secure rank モデル Sender rank モデル 関連性に基づき判定 Predictive IP Space モデリング パターンに基づき判定 Spike rank モデル Natural Language Processing rank モデル Live DGA Prediction 出力: 攻撃に利用されるドメインを特定

分析モデル紹介１：Spike Rank Model DNSリクエスト量のパターンからの推測 Cisco Live 2017 11/8/2018 分析モデル紹介１：Spike Rank Model DNSリクエスト量のパターンからの推測 DGA MALWARE EXPLOIT KIT PHISHING y.com 日 DNS リクエスト パターンが 一致 大量のDNSリクエストの データを収集し、解析を実施 100億/日 y.comが攻撃を本格的に開始する前にブロック！ 既知のエクスプロイトが発生させるDNSリクエストの 特徴パターンに適合 BRKSEC-1980

将来的に作成が予測さ れる10万以上のドメイン Cisco Live 2017 11/8/2018 分析モデル紹介２：Live DGA Prediction DGAを先回りして対策。自動化により高速化 DGA: Dynamic Generation Algorithm URLフィルタなどよる防御を逃れるために、マルウェアがC2通信に使用するドメインを動的に切り替える手法。 マルウェアに機能として組み込まれる。 自動化されたリバース エンジニアリング C2ドメインのペアを融合し、未知 のDGA設定を発見 Configs a.com b.com DGA + 将来的に作成が予測さ れる10万以上のドメイン 新たに発見したDGA設定を 統合し、永続的にC2ドメイン を判定 + DGA Configs b.com c.com, d.com, … Live DNS ストリームの取得 数百万のドメインを対象として DGAによって生成された ドメインか否かを判定 a1.com a2.com b1.com c2.com C2ドメインをまとめて 自動ブロック 現在および将来において、何千以上 にも渡る有害なサンプル情報を利用 fgpxmvlsxpsp.me[.]uk beuvgwyhityq[.]info gboondmihxgc.com pwbbjkwnkstp[.]com bggwbijqjckk[.]me yehjvoowwtdh.com ctwnyxmbreev[.]com upybsnuuvcye[.]net quymxcbsjbhh.info vgqoosgpmmur.it BRKSEC-1980