McAfee Network Security Platform

Slides:



Advertisements
Similar presentations
1 | © 2015, Palo Alto Networks. Confidential and Proprietary. Palo Alto Networks Introduction Nov 2015 金融機関様向け提案のベストプラクティ ス.
Advertisements

1 製品説明 プレゼンテーション FortiAPの優位性 プロダクトラインナップのご紹介 プレゼンで ソリューションの特長を 伝えましょう.
1 会社名: 氏名: 日付: 会社名: 氏名: 日付:. 2 内容 企業のセキュリティ対策状況 ユーザー管理の重要性 ユーザー管理製品 市場状況 Active Directory とは Active Directory 利用に最低限必要な準備 ユーザー管理のご提案内容 最初の取り組み:ユーザー情報の統合管理.
ご提案書 『ホテル インターネットサービスソリューション』
AdventNet SwisSQL データベース自動移行ツール.
Curlの特徴.
The Enterprise-class Monitoring Solution for Everyone
Ad / Press Release Plan (Draft)
受動的攻撃について Eiji James Yoshida penetration technique research site
3/4/ :37 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Ibaraki Univ. Dept of Electrical & Electronic Eng.
セッション追跡によるプロトコルアノーマリの検知と対処
セッション追跡によるプロトコルアノーマリの検知と対処
Zeusの動作解析 S08a1053 橋本 寛史.
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
TCP (Transmission Control Protocol)
垂直統合システム / Converged System
「コンピュータと情報システム」 07章 インターネットとセキュリティ
会社名: 氏名: 日付:.
NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法
WindowsNTによるLAN構築 ポリテクセンター秋田 情報・通信系.
Borderless Networks 4 How to Sell: SBA
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
龍谷大学理工学部における ウイルス感染事例 part 2
Telnet, rlogin などの仮想端末 ftp などのファイル転送 rpc, nfs
ネストした仮想化を用いた VMの安全な帯域外リモート管理
FireEye機器遮断アダプタ 導入ガイド
忙しい人のための Cisco Umbrella 提案ガイド
McAfee Advanced Threat Defense 説明資料
クラウド型メールセキュリティゲートウェイ
UTM SS5000で社内ネットを一括管理 簡単に、安全な、ネットワークセキュリティ-システムを構築 UTM 無 UTM 有
Cisco Cloudlock & Cisco Umbrella
セキュリティとパフォーマンスを 両立! 特許技術のRFDPTMでデータの中身まで検査 A社ユーザ事例
ネットワークアプリケーションと セキュリティ
Cisco Router GUI設定 CCPE3.2 紹介 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
7. セキュリティネットワーク (ファイアウォール)
※ 今なら、1年追加ライセンスもスペシャル特価。65,560円にて4年間ライセンス対応へ!!
分散IDSの実行環境の分離 による安全性の向上
表紙.
Vector 4 = [Vector 3, packet_size]
Why SonicWall? ~SonicWall UTM製品が選ばれる3つの理由~ 特許技術の”RFDPI” マルチコアアーキテクチャ
インターネットにおける真に プライベートなネットワークの構築
The latest and greatest
セキュリティ 05A2013 大川内 斉.
Microsoft BizTalk Server & SAP PP モジュール 連携検証レポート概要
Cisco Umbrella のご紹介 2018 年 1 月.
Internet広域分散協調サーチロボット の研究開発
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
SonicWall UTM + “Capture”
A18 スパムサーバの調査 ~ボットを見抜けるか?~
Intel SGXを用いた仮想マシンの 安全な監視機構
軽量な仮想マシンを用いたIoT機器の安全な監視
ネットワークをシンプルにする エンタープライズ NFV
最低限インターネット ネットワークにつなぎましょ!
IBM UTM監視サービス セキュリティー運用監視のアウトソーシングで、業務効率化&コスト削減
ICMPを用いた侵入検知システムの負荷軽減
仮想環境を用いた 侵入検知システムの安全な構成法
※ 今なら、1年追加ライセンスもスペシャル特価。65,560円にて4年間ライセンス対応へ!!
SonicWall UTM + “Capture”
Cisco Cloudlock & Cisco Umbrella
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
サイバー攻撃シミュレーション サービス Cisco Cyber Range (シスコ サイバー レンジ)サービス
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
Cisco Threat Response 機能とロードマップの紹介
SD-WAN-インターネットブレイクアウト-
Cisco Umbrella セミナー 第1回 Umbrella概要と機能.
Cisco Umbrella セミナー 第4回 Umbrella 設定概要.
プロトコル番号 長野 英彦.
Presentation transcript:

McAfee Network Security Platform マカフィー株式会社 Rev5

Network is THE Security Battleground Source: McAfee Threats Report: Third Quarter 2012 “データ漏えいの大部分は、内部犯 行ではなく、悪意を持った外部の 第3者によって行われています。” Verizon, 2012 データ漏えいの原因は? 81% 外部からのハッキング (+31%) 69% マルウェア感染 (+20%) 10% 物理的な攻撃 (-19%) 7% 内部犯行 (-4%) 5% 操作・運用ミス (-12%) Source: Verizon 2012 Breach Investigations Reports “攻撃手法は進化を続けており、伝 統的なシグネチャだけに依存した 方法での検知・防御が困難になっ ています。” Gartner, 2012

Traditional vs. Comprehensive Network Security Traditional Network Security Comprehensive Network Security 大量のアラート 数千・数万のイベント どれが有害?Which are malicious? どれをブロックすべき? Intelligent Security Management 情報不足 対象システムの詳細は? 他の関連イベントは? レピュテーション情報は? Unparalleled Threat Prevention 先進的な攻撃への対応 プロトコル異常検出? ファイル解析? パターンマッチング? Global Malware Protection 可視化機能欠如 使用されているアプリケーションは? 帯域の消費度は? 脅威はどこからどこへ向かってる? Visibility and Control VULNERABLE SECURE

McAfee Network Security Platform 情報過多のフラストレーションを 大幅に軽減。見つけたいものを迅速に且つ効率的に。 Unparalleled Threat Preventions Intelligent Security Mgmt Global Malware Protection Security Connected Visibility & Control Performance & Scalability Next Generation Intrusion Prevention Network Security Platform 先進的な脅威に対する「1製品内での多層防御」の確立。 パフォーマンスを損ねることなく、 複数の機能が動作 November 8, 2018

McAfee Network Security Platform A History of IPS Excellence I-Series 1st Enterprise IPS M-Series High Performance Heuristic-based SQL Injection Protection 先進機能投入 File Reputation GTI Packet Capture Connection Limiting Application Visibility Application Protocol Anomaly Detection Advanced Botnet Correlation ePO Integration IP Reputation GTI File Anomaly Detection DoS Prevention OS Fingerprinting VM Protection 2003 2010 2012 MQ Leader MQ Leader MQ Leader MQ Leader 1st Certified 10 Gbps 1st in IPS MQ Leader Largest IPS Market Share Best Perf. & Accuracy MQ Leader Best Un-tuned Block Rate Leads Next Generation IPS Largest IPS Market Share 1st and Only Certified 80 Gbps MQ Leader 市場評価 November 8, 2018 5 5

Gartner Magic Quadrant(MQ) で最高評価

Intelligent Security Management November 8, 2018

Intelligent Security Management GTI McAfee ePolicy Orchestrator McAfee ESM (SIEM) TECHNICAL INNOVATIONS ORGANIZATIONAL BENEFIT 直感的な操作感 運用効率の向上 先進的なアラート優先度判定機能 ノイズの減少、フォーカス対象の明確化 スケーラビリティ 組織の要望に沿った拡張 シンプルな構成 容易な導入 製品連携(Security Connected) 関連情報の収集・解析のワークフロー化 November 8, 2018

グローバルな脅威情報との密な連携(GTI) 広範な情報収集と素早い防御機能の提供を実現 様々なレピュテーションの連携 ファイル、Web(URL、カテゴリ)、IP、メッセージに関する 脅威情報の収集と連携した詳細なリスク分析 広範囲の情報収集 エンドポイント、Webセキュリティ、メールセキュリティ、IPSなど 様々なセキュリティ機器で取得された情報の活用 素早い防御提供 脅威情報を対策製品で適した防御に生かすため リアルタイム性の高い防御連携 November 8, 2018

グローバルな脅威情報との密な連携(GTI) Threat Reputation GTI Network Activity Affiliations Ports / Protocol IP Address Application Domain Data Activity Geo-location Email Address Mail Activity Sender Reputation Web Reputation Web Activity URL File Reputation DNS Server Network IPS Firewall Mail Gateway Host AV Host IPS 3rd Party Feed Web Gateway 300M IPS attacks/mo. 300M IPS attacks/mo. 2B Botnet C&C IP Reputation queries/mo. 20B Message Reputation queries/mo. 2.5B Malware Reputation queries/mo. 300M IPS attacks/mo. Geo Location Feeds November 8, 2018

グローバルな脅威情報との密な連携(GTI) Network IPS Firewall Host IPS 3rd Party Feed Web Gateway Mail Gateway Host AV 300M IPS attacks/mo. 300M IPS attacks/mo. 2B Botnet C&C IP Reputation queries/mo. 20B Message Reputation queries/mo. 2.5B Malware Reputation queries/mo. 300M IPS attacks/mo. Geo Location Feeds November 8, 2018

ワークフローの効率化 「アラートの追跡」から「イベントの把握」へ。 兆候の確認 脅威情報把握 詳細情報確認 システム状況確認 詳細調査 対策 個々の脅威や 関連脅威の 確認 検出詳細情報 OSや脆弱性 ホストのイベント 情報確認 兆候の確認 脅威情報把握 詳細情報確認 パケット分析, SIEM, forensic との統合/連携 ACL,IPS, アプリケーション制御、カスタム防御適用 システム状況確認 詳細調査 対策 リスク、脅威 November 8, 2018

Unparalleled Threat Prevention November 8, 2018

Contextual Awareness(外部情報活用) 脆弱性スキャン結果 エンドポイント製品保護状況 ユーザ情報 端末が接続しているシステム 端末の詳細情報 国情報 レピュテーション情報 Network Security Platform Unparalleled Threat Protection Intelligent Security Mgmt Global Malware Protection Security Connected Visibility & Control Performance & Scalability Next Generation Intrusion Prevention November 8, 2018

Unparalleled Threat Prevention ~包括的な視点での脅威検知~ IPSアラート発生数・種類、ダウンロードしている不審ファイル、Bot活動の兆候、ネットワーク上での不審な活動等、様々な観点から不審な端末(脅威)を特定。 Threat Explorer Vulnerability-based エンジンでの検知結果 Malware Downloads ダウンロードされてきた不審ファイルの表示 Active Botnets Bot動作をしている端末の表示 High-Risk Hosts 怪しい挙動(ハイリスク)をしているホストの表示 Network Forensics ネットワーク上でのBehavior解析(NBA)

Global Malware Protection

多層的なMalware解析・検知エンジン NTBA GAM 内部 PDF Emulation File reputation 脆弱性シグネチャ Botnet Detector DB 入口 Inbound IP Reputation Advanced Botnet Detection 出口 Outbound 感染端末検知シグネチャ

Malware検出機能概要 NSPでは、入口・出口の両方に、異なるロジックのエンジンを「多層的に配置し並行的に動作させる」ことにより、ウイルスに感染させるための活動の検知(入口対策)、及びウイルス感染後の活動の検知(出口対策)の両方を、高いレベルで実現します。 GLOBAL THREAT INTELLIGENCE File Reputation Cloud Sandbox Inbound(入口) IP Reputaion Internet Outbound(出口) 脆弱性シグネチャ 感染端末検知 シグネチャ File Reputation InboundのHTTPやSMTPに含まれてくる不審なファイルを 「6種類のエンジンで」並行的に解析 感染端末からのOutbound通信に含まれる不審な兆候を「4種類のエンジン」で並行的に解析 Custom Fingerprint Advanced Botnet Detection PDF Emulation IP Reputaion GAM on NTBA Cloud Sandbox* Botnet Detector DB *将来バージョンで実装予定

Malware検出エンジン 入口 出口 カテゴリ 機能 概要 スキャン・チェック発生箇所 備考 脆弱性シグネチャ 脆弱性を突くコードを含むファイルをシグネチャベースで検知 センサ(ローカル) ※既存バージョンで実装済 File Reputation 不審ファイルをクラウド上のレピュテーションDBと突き合わせて検知。 GTI(クラウド) Custom Fingerprint 予め手動で定義したファイル情報(ファイル名、ファイルサイズ、ハッシュ値等)と合致したファイルを検知。 PDF Emulation PDFファイルに不審なJava Scriptが存在した場合に、「センサ内」でそれを実行して危険かどうかを検知。 ※v7.5の新機能 Gateway Anti-Malware センサから送られてくるファイルを専用エンジン(振る舞い型)で解析して、危険かどうかを検知。 NTBA(ローカル) ※別途、NTBAが必要 Local Sandbox* 現状、未実装 センサから送られてくるファイルをローカルのSandboxエンジンで解析して、危険かどうかを検知。 未定 ※別途、別筐体が必要 ※将来的に実装予定 Cloud Sandbox* 不審なファイルをクラウド上のSandboxエンジンへ送信して、危険かどうかを検知。 出口 感染端末検知シグネチャ マルウェアに感染した端末やBot化した端末が発生する特徴的な通信パターンのシグネチャベースで検知。 Advanced Botnet Detection 複数の不審な外部向け通信イベントを相関分析してBot活動を検知。 IP Reputation 端末の接続先のIPアドレスのレピュテーションをベースにした検知。(シグネチャに依存しません) Botnet Detector DB ローカルに有するBotnetの情報(IP、URL等)が含まれたDBを使用してBot活動を検知(シグネチャに依存しません)

Malware検出エンジン競合比較 入口 出口 ○ × △ ? カテゴリ 機能 概要 MFE IPS-A IPS-B IPS-C 標的型 NG-FW-A 入口 脆弱性シグネチャ 脆弱性を突くコードを含むファイルをシグネチャベースで検知 ○ File Reputation 不審ファイルをクラウド上のレピュテーションDBと突き合わせて検知。 × △ Custom Fingerprint 予め手動で定義したファイル情報(ファイル名、ファイルサイズ、ハッシュ値等)と合致したファイルを検知。 ? PDF Emulation PDFファイルに不審なJava Scriptが存在した場合に、「センサ内」でそれを実行して危険かどうかを検知。 Gateway Anti-Malware センサから送られてくるファイルを専用エンジン(振る舞い型)で解析して、危険かどうかを検知。 Local Sandbox ※実装時期未定 センサから送られてくるファイルをローカルのSandboxエンジンで解析して、危険かどうかを検知。 Cloud Sandbox 不審なファイルをクラウド上のSandboxエンジンへ送信して、危険かどうかを検知。 出口 感染端末検知シグネチャ マルウェアに感染した端末やBot化した端末が発生する特徴的な通信パターンのシグネチャベースで検知。 Advanced Botnet Detection 複数の不審な外部向け通信イベントを相関分析してBot活動を検知。 IP Reputation 端末の接続先のIPアドレスのレピュテーションをベースにした検知。(シグネチャに依存しません) Botnet Detector DB ローカルに有するBotnetの情報(IP、URL等)が含まれたDBを使用してBot活動を検知(シグネチャに依存しません)

Global Malware Protection ~ポリシー作成~ スキャン対象とするファイル拡張子を検知エンジン毎に設定 スキャン対象とするプロトコルの指定 スキャン対象とするファイル拡張子と検知エンジン毎に発動するアクションを設定

Global Malware Protection ~第3者機関の検知テスト結果~ トータルで93%の検知率(119824個中111334個を検知)

Visibility and Control

アプリケーション Deep Visibility & Control 1500 1500種類以上のアプリ ケーションを識別・制御 可能 識別したアプリケーション通信の可視化、コントロール(ブロック、帯域制御) 日本独自のアプリケーションにも対応 Anomalies L3/L4レベルの解析では気が付けないネットワーク異常の発見 データベースサーバからのメール送信 禁止しているアプリケーションの使用 特定アプリケーション上での大量の外向き通信 Alignment 組織のポリシーに則り、 アプリケーション通信を細かく制御 Google chat は許可するが、ファイル転送は禁止 BitTorrent は禁止するが他のWebアプリは許可 特定ユーザ/IPからの特定アプリのみ許可

柔軟なアプリケーション制御機能 ファイアウォールルールの「穴」を補完。 FWで許可されているアプリケーション通信の制御(「穴」の補完) セキュリティアラートの確認 制御対象のアプリケーションを選択 レスポンスを適用 脅威になるアプリケーションを  制御(ブロック or 帯域制御)

Architecture

McAfee Network Security Platform Architecture: Network Security Platform Sensors 100 Mbps 1 Gbps 600 Mbps 200 Mbps 10 Gbps 3 Gbps 20 Gbps 5 Gbps 1.5 Gbps 40 Gbps 80 Gbps 10 GigE Connectivity 40 GigE Connectivity XC Cluster Performance, Scalability and Connectivity NS-9200 M-8000 NS-9100 M-6050 M-4050 M-3050 M-2950 M-2750 / M-2850 最大80Gのパフォーマンス 業界トップレベルのポート密度 高い信頼性と拡張性 シングルコンソールによる管理 M-1450 M-1250

IPSを目的に専用設計されたハードウェア M-1250 M-2950 M-6050 NS-9100/9200 M-1450 M-3050 M-8000 NS-9300 M-2850 M-4050 M-Series 監視ポート モデル パフォーマンス 10/100/1000 1GbE SFP 10GbE XFP 1/10GbE SFP+ 40GbE NS-9300 40Gbps 16 - (32)* (16)* NS-9200 20Gbps 8 2 (8)* NS-9100 10Gbps M-8000 12 M-6050 5Gbps M-4050 3Gbps 4 M-3050 1.5Gbps M-2950 1Gbps M-2850 600Mbps M-2750 20 M-1450 200Mbps M-1250 100Mbps (*)NSシリーズでは監視ポートのモジュールとして 1/10GbE SFP+ か 40GbE を選択。

Total Cost of Ownership

Counting It All Up Bottom Line Total cost of ownership(総所有コスト)の削減 Comprehensive Network Security Cost Benefits Intelligent Security Management 解析スピードの向上による運用コス トの低減。 Unparalleled Threat Prevention 検知精度の向上により攻撃による損 失が減少。 Global Malware Protection マルウェアの検知・防御制度の向上 による対応コストの削減。 Visibility and Control 柔軟なアプリケーション通信制御機 能によりネットワーク制御を容易化。 Bottom Line Total cost of ownership(総所有コスト)の削減