<6月14日開催> シスコ アカデミックフォーラム2016 東京 キャンパスLANの シスコ スイッチが未知の脅威を食い止める! Network as a Sensor シスコシステムズ合同会社 2016年7月
いきなりですが、 3500万 122万 260億
3500万人分 会員の個人情報流出 122万人 会員数減少(4割減) 260億円 対応費 2014年 ベネッセ ホールディングスの個人情報流出事件 進研ゼミ・こどもちゃれんじ 3500万人分 会員の個人情報流出 122万人 会員数減少(4割減) 260億円 対応費 (被害者の方へお詫びの品500円図書カード配る等) さらに損害賠償請求集団訴訟にも発展
セキュリティに対する教育機関様の現状 貴学でもこの中で当てはまるところは? 学内をグローバル アドレスで運用するところが多い。 FireWallとアンチ ウイルス ソフトは使っているが不安がある。 外から狙われやすい環境として上位にランクインされる。 貴学内のネットワーク、サーバ(踏み台)から攻撃を受けていると外部機関からの指摘で問題に気づく。 それから調査し、さまざまな機器(FW、スイッチ等)の膨大なログを照らし合わせたりするしかない。 外部からの指摘内容が、数か月前だったりするので、ログが無く、被害や加害内容の把握が出来ない。 外部機関やユーザへの回答として「不明」では収束できず、訴訟問題に発展。なんとか説明責任が果 たせる情報を把握できる仕組みが欲しい。 大学が被害者になるのもまずいが、外部へ攻撃してしまっているほうが、最優先で対策したい。 マイナンバー、個人情報の取り扱い、年金機構や情報漏えい事件から上層部から現状対応の確認と 強化を指示。
セキュリティに対する教育機関様の現状 貴学でもこの中で当てはまるところは? 学内をグローバル アドレスで運用するところが多い。 FireWallとアンチ ウイルス ソフトは使っているが不安がある。 外から狙われやすい環境として上位にランクインされる。 貴学内のネットワーク、サーバ(踏み台)から攻撃を受けていると外部機関からの指摘で問題に気づく。 それから調査し、さまざまな機器(FW、スイッチ等)の膨大なログを照らし合わせたりするしかない。 外部からの指摘内容が、数か月前だったりするので、ログが無く、被害や加害内容の把握が出来ない。 外部機関やユーザへの回答として「不明」では収束できず、訴訟問題に発展。なんとか説明責任が果 たせる情報を把握できる仕組みが欲しい 大学が被害者になるのもまずいが、外部へ攻撃してしまっているほうが、最優先で対策したい。 マイナンバー、個人情報の取り扱い、年金機構や情報漏えい事件から上層部から現状対応の確認と 強化を指示
セキュリティに対する教育機関様の現状 学内をグローバルアドレスで運用するところが多い。 Firewallとアンチウイルスソフトは使っているが不安がある。 外から狙われやすい環境として上位にランクインされる。 貴学内のネットワーク、サーバ(踏み台)から攻撃を受けていると外部機関からの指摘で問題に気づく。 それから調査し、さまざまな機器(FW、スイッチ等)の膨大なログを照らし合わせたりするしかない。 外部からの指摘内容が、数か月前だったりするので、ログが無く、被害や加害内容の把握が出来ない。 外部機関やユーザへの回答として「不明」では収束できず、訴訟問題に発展。なんとか説明責任が果 たせる情報を把握できる仕組みが欲しい 大学が被害者になるのもまずいが、外部へ攻撃してしまっているほうが、最優先で対策したい。 マイナンバー、個人情報の取り扱い、年金機構や情報漏えい事件から上層部から現状対応の確認と 強化を指示
「ウイルス対策ソフトは死んだ」 アンチ ウイルス ソフトがウイルスなどの攻撃を検知できているのは全体の45%である。 2014年5月上旬、米紙Wall Street Journalが報じたシマンテック上級副社長のブライアン・ダイ氏の発言 アンチ ウイルス ソフトがウイルスなどの攻撃を検知できているのは全体の45%である。 「55%の攻撃は検知されることなく素通りしている。」 ハッキング手口が高度に巧妙化 もはや従来型の手法に限界
ある瞬間だけの従来型セキュリティ対策の限界 ネットワーク レベルの セキュリティ対策 端末レベルの セキュリティ対策 Stop サンド ボックス ファイア ウォール IPS Stop スリープ テクニック サンド ボックス回避 AV シグニチャの遅延 ゼロデイ攻撃 パスワード ロック 防ぎきれない! アンチウイルス ソフト アンチウィルス SPAM ネットワークの見える化と制御 感染してしまうということが前提でのセキュリティ対策が必要
情報漏洩を狙う攻撃パターン(進入経路) インターネット ネットワーク境界線 学内 ターゲットの下調べ 取得した情報の売買 総務課・・・近隣からのクレーム 入試課・・・願書の修正方法 問い合わせ 犬好き・・・おすすめグッズ 評価委員・・・審査依頼 米谷・・・故郷情報 さくらんぼ バックドア確保・マルウェアの埋込 初めのターゲットが フィッシング メールの リンクをクリック ターゲットの下調べ 学内で権限取得が出来るまで攻撃を続ける システムのアドミン権限取得 システムアドミン権限を使って情報を抽出 取得した情報の売買
攻撃は、どこで活動しているか? ネットワーク境界線 インターネット ネットワーク境界線 学内 バックドア確保、マルウェアの埋込 権限取得が出来るまで攻撃を続ける アドミン権限取得 ネットワーク境界線 学内 アドミン権限を使って情報を抽出
LAN キャンパス ネットワーク 侵入検知 (IPS) ファイアウォール VPN終端 個人情報 アンチ ウイルス ソフト WWW インターネット 自宅、外出先 アンチ ウイルス ソフト アンチ ウイルス ソフト アンチ ウイルス ソフト 個人情報 個人情報 個人情報
Network as a Sensor 侵入検知 (IPS) ファイアウォール VPN終端 個人情報 アンチ ウイルス ソフト WWW インターネット Network as a Sensor 自宅、外出先 アンチ ウイルス ソフト アンチ ウイルス ソフト アンチ ウイルス ソフト 個人情報 個人情報 個人情報
Network as a Sensor とは? NetFlow Ciscoが開発したトラフィックの統計情報を収集・送出する技術「NetFlow」を利用して 怪し い”ふるまい”を検知 シスコ スイッチやルーターにNetFlow標準装備 フルフローだから出来る全てのトラフィックの取得 (シスコのみ) シグネチャ不要 (ふるまい分析) 端末やサーバにソフトウェア インストール不要 ①キャンパスの 全てシスコ スイッチがセンサー ②専用解析装置 Cisco StelathWatch NetFlowデータ NetFlow NetFlow コレクター ビッグデータ 分析 分析情報 管理画面 メール通知
専用管理 Cisco Stelathwatch セキュリティー イベント (94以上のアルゴリズム) アラーム カテゴリー 応答 Addr_Scan/tcp Addr_Scan/udp Bad_Flag_ACK** Beaconing Host Bot Command Control Server Bot Infected Host - Attempted Bot Infected Host - Successful Flow_Denied . ICMP Flood Max Flows Initiated Max Flows Served Suspect Long Flow Suspect UDP Activity SYN Flood 異常度 警告テーブル 偵察行為 フローの採取と分析 ホスト状態の保存 C&C メール マルウェア拡散 フロー 内部の情報漏洩 Syslog / SIEM 外部へ情報漏洩 隔離、防御 DDoS 標的 セキュリティ製品として開発 一目で把握できる簡易GUI Cisco Stelathwatch 全世界で300の導入実績 アメリカ国防総省 アメリカ政府など アメリカ政府認定 セキュリティ製品
Network as a Sensor導入事例: 石油サービス企業 Stealthwatch 導入から数週間で重要ファイルの大量ダウンロードを検知 Identity Services Engine(ISE)との連携により盗まれたログイン情報のユーザまで特定 情報漏洩先が中国であると特定
内部犯行による外国への情報漏洩を検出した例 どこの国にどのように流出したかを確認 内部からプエルトリコに13.38GB のデータ量をP2Pで送信!
Network as a Sensor まとめ 侵入検知 (IPS) ファイアウォール VPN終端 個人情報 アンチ ウイルス ソフト WWW インターネット 自宅、外出先 アンチ ウイルス ソフト アンチ ウイルス ソフト アンチ ウイルス ソフト 個人情報 個人情報 個人情報