最新セキュリティ動向とソリューション アップデート

Slides:



Advertisements
Similar presentations
第 7 章 ネットワークセキュリティ 大久保 恭太. 7.3 ネットワークスキャン 攻撃者はネットワークを攻撃するにあたって 、 攻撃対象のネットワークの 様々な情報を取得していく 。 ・ドメイン情報の取得 ・ホストに関する情報の取得 ・パスワードの奪取.
Advertisements

1 製品説明 プレゼンテーション FortiAPの優位性 プロダクトラインナップのご紹介 プレゼンで ソリューションの特長を 伝えましょう.
1 会社名: 氏名: 日付: 会社名: 氏名: 日付:. 2 内容 企業のセキュリティ対策状況 ユーザー管理の重要性 ユーザー管理製品 市場状況 Active Directory とは Active Directory 利用に最低限必要な準備 ユーザー管理のご提案内容 最初の取り組み:ユーザー情報の統合管理.
ご提案書 『ホテル インターネットサービスソリューション』
NetAgent P2P検知技術 NetAgent.
Global Ring Technologies
The Enterprise-class Monitoring Solution for Everyone
最新ファイルの提供を保証する代理FTPサーバの開発
クラスタ分析手法を用いた新しい 侵入検知システムの構築
Ad / Press Release Plan (Draft)
join NASS ~つながりあうネットワーク監視システム~
受動的攻撃について Eiji James Yoshida penetration technique research site
3/4/ :37 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
IGD Working Committee Update
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
Zeusの動作解析 S08a1053 橋本 寛史.
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
「コンピュータと情報システム」 07章 インターネットとセキュリティ
会社名: 氏名: 日付:.
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
第5章 情報セキュリティ(前半) [近代科学社刊]
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
~スマートフォン利用~ 店舗管理システムのご提案 サイボウズ中国.
ネストした仮想化を用いた VMの安全な帯域外リモート管理
ファイアウォール 基礎教育 (1日目).
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
シスコシステムズ合同会社 ボリュームプログラム推進室 ポートフォリオBDM 渡邊靖博
Cisco Startシリーズ セキュリティ特集 第3回 Cisco Umbrella 編
Cisco Startシリーズ 製品概要 スイッチ編
シスコ アカデミックフォーラム2016 東京 キャンパスLANの シスコ スイッチが未知の脅威を食い止める! Network as a Sensor シスコシステムズ合同会社 2016年7月.
クラウド型メールセキュリティゲートウェイ
Cisco Cloudlock & Cisco Umbrella
情報基盤センター 分散システムセキュリティ支援掛 2000年4月18日
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
2017年度 情報技術マップ調査 ITディレクトリの構成とSI要素技術
DNSトラフィックに着目したボット検出手法の検討
Cisco Router GUI設定 CCPE3.2 紹介 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
製品情報 Windows Server 2003のサポート終了をむかえ、ファイルサーバーの入れ替えを検討されていらっしゃる方も多いのではないでしょうか?既存のファイルサーバーをいきなりクラウド化するとインターネット回線の影響で、エクセルやワードのようなサイズの小さなファイルでさえ、開くまでに時間がかかってしまうことがあります。
7. セキュリティネットワーク (ファイアウォール)
セキュリティ(6) 05A2013 大川内 斉.
分散IDSの実行環境の分離 による安全性の向上
NASのアクセス履歴を記録・検索できる! マイナンバー制度対応のファイルサーバー(NAS)ログ管理ソフト
サイバーセキュリティ バッファオーバフロー
Why SonicWall? ~SonicWall UTM製品が選ばれる3つの理由~ 特許技術の”RFDPI” マルチコアアーキテクチャ
インターネットにおける真に プライベートなネットワークの構築
The latest and greatest
セキュリティ 05A2013 大川内 斉.
Cisco Umbrella のご紹介 2018 年 1 月.
Cisco Startシリーズ セキュリティ編 (Cisco Umbrella)
SonicWall UTM + “Capture”
ネットワークをシンプルにする エンタープライズ NFV
IBM UTM監視サービス セキュリティー運用監視のアウトソーシングで、業務効率化&コスト削減
仮想環境を用いた 侵入検知システムの安全な構成法
第一回 情報セキュリティ 05A1027 後藤航太.
SonicWall UTM + “Capture”
IDSとFirewallの連携によるネットワーク構築
Cisco Cloudlock & Cisco Umbrella
Cisco Startシリーズ セキュリティ特集 第3回 Cisco Umbrella 編
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
サイバー攻撃シミュレーション サービス Cisco Cyber Range (シスコ サイバー レンジ)サービス
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
Cisco Threat Response 機能とロードマップの紹介
SD-WAN-インターネットブレイクアウト-
Cisco Umbrella セミナー 第1回 Umbrella概要と機能.
Cisco Umbrella セミナー 第4回 Umbrella 設定概要.
VPNクライアント接続 サーバー保守のための安全な経路+作業者単位のアクセス制御 簡単な図 (網羅性より象徴性)
Presentation transcript:

最新セキュリティ動向とソリューション アップデート <6月15日開催> シスコ アカデミックフォーラム大阪 最新セキュリティ動向とソリューション アップデート シスコシステムズ合同会社 2016年7月 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。

アジェンダ 直近の事例にみる脅威 シスコセキュリティ 脅威に対抗するソリューション対策

狙われやすい日本 政治的な理由 経済的な理由 日本はなぜ狙われるのか? ターゲットされている業界・業種 テクノロジー、製造、公共、インフラ  中国、北朝鮮に近い 世界第3位の経済国 世界第1位規模の電気製品業 世界第3位の自動車生産国 世界の18%の特許を保有 世界の13.7%の資産を保有 政治的な理由 経済的な理由 ターゲットされている業界・業種 テクノロジー、製造、公共、インフラ

脅威のトレンド サイバー犯罪者の目的とランサム ウェア(Angler の猛威) 金銭目的が最優先、被害総額は年間 3,000万ドル以上! 1 ヵ月あたりの リダイレクション サーバ数 1 日あたりの 最大被害者数 90,000 人 被害総額(年間) 3,400 万ドル 147 出典:シスコ セキュリティ リサーチ ユーザは リダイレクトの 連鎖→感染へ Angler の バックエンド インフラ エクスプロイト サーバ プロキシ サーバ ステータス サーバ マスター サーバ

ウクライナのサイバー攻撃による停電事件 ・2015年12月23日、ウクライナ西部(イヴァーノ=フランキーウシク州)で電力供給会社がマルウェアに感染し、人口140万人の地域の半分の世帯が一時停電(3時間~6時間)した。 (以下、停電が発生した電力供給地域) - Prykarpattyaoblenergo - Kyivoblenegro - Chernivtsioblenegro ・攻撃手法としてはマルウェアを含む添付ファイルをメールで送信するスピアフィッシング攻撃で、攻撃者はメールの送信元をウクライナ議会の議員に偽装していたが、停電にいたるには、複数のアプローチが実施されている模様(情報収集分析中、下記参照)  -そもそもマルウェアが、一番初めに感染したPCがITシステム側のものか、OTシステム側のもの   かが不明であるが、それ以上にマルウェアが直接的に停電を引き起こしたかどうかも不明   (ただし、管理者権限を取られている部分を見ると、IT側感染が疑われる)  - 現状、「マルウェアの感染」「コールセンター・システムへのDoS攻撃」「(マルェア以外の)   攻撃者からの直接的な働きかけ」の3つのアプローチが認識されている。

推測されるサイバー攻撃の流れ(参考) 1 2 3 4 ITシステム側 OTシステム側 5 スピア フィッシングでマルウェア(BlackEnergyの亜種と想定される)をメールで送信し、端末を感染させる 1 攻撃者 C&C サーバ 2 バックドアを作成して、外部C&Cサーバとの通信を確立する(攻撃基盤構築) SCADAシステム 攻撃 2 3 端末間で感染の拡大、管理者権限を奪い、 ネット スキャンを継続し、制御系への 渡りを実施 4 1 攻撃 メール 5 4 3 SCADAシステムのHMIのRemote Executionの脆弱性を通じて、HMIにBlackEnergyを感染させ、バックドアよりポート(番号6789)を通じて Kill Diskをダウンロードさせ、(制御)ファイルの 消去を実施(停電には至らず)。 管理者端末 5 攻撃者からの遠隔からの直接的な働きかけにより、 停電が発生か? ITシステム側 OTシステム側 *C&C(コマンド アンド コントロール): マルウェアを外部から命令してコントロールしようとする通信

93% 標的型攻撃の大半は Web と Eメール Web または E メールで マルウェアのホストにアクセス 妨害行為 マルウェア感染 情報漏えい Advanced Malware IPv6 Spam Blended Threats Blended Threats Rootkits 93% APTs Worms Targeted Attacks Web または E メールで マルウェアのホストにアクセス Trojan Horse *Cisco 2014 Midyear Security Report

一時点、従来型のセキュリティ対策の限界 防ぎきれない! ネットワーク レベルの セキュリティ対策 端末レベルの セキュリティ対策 一時点、 Stop 一時点、 従来型 サンド ボックス ファイア ウォール IPS Stop スリープ テクニック サンドボックス回避 AV シグニチャの遅延 ゼロデイ攻撃 パスワード ロック 防ぎきれない! アンチウイルス ソフト アンチウィルス SPAM ネットワークの見える化と制御

アジェンダ 直近の事例にみる脅威 シスコ セキュリティ 脅威に対抗するソリューション対策

サイバー攻撃の流れに焦点をおいた脅威中心型セキュリティ 昨今の大きな課題に対処するには、これまでよりもシンプルで拡張性が高く、脅威を重視したモデルが必要です。重要なのは、一連の攻撃活動全体を把握できる可視性と、簡素性、そして拡張性です。 さらに、攻撃前、攻撃中、攻撃後と連続的にセキュリティに対処できる包括性も欠かせません。 攻撃前 攻撃中 攻撃後 BEFORE 侵入 発見 堅牢化 検出 ブロック 防御 DURING AFTER 範囲の特定 封じ込め 復旧 ネットワーク エンド ポイント モバイル 仮想化 クラウド 「BEFORE」 外部からの脅威の侵入を防ぐ 「DURING」 侵入された際に素早く検知してシステムに悪影響を及ぼさないようにブロックする 「AFTER」 ブロックしたものが無害のようでも未知の脅威かもしれないので継続してチェック Continuous Point in time

■シスコのサイバー セキュリティに対する取組み 全世界のシスコ社員(派遣等含む)約13万人、2000近い拠点の網羅的なセキュリティを守るCSIRT組織を保有し、更にCSIRTの上流組織となるFIRSTに加盟し、その知見を各サービスや製品へ積極的に反映しております。 商用セキュリティ研究機関としては世界最大規模となる「Talos」を所有し、専任のセキュリティ担当者を約700名、全世界に分析用ネットワーク センサーとして160万台以上、エンドポイント分析センサーを1億5000万台以上を展開し、実にリアルタイムにセキュリティ分析しているトラフィックは全世界の35%に上ります。 シスコは無償でグローバルのセキュリティ レポートをご提供しております。  http://www.cisco.com/web/JP/solution/security/annual_security_report.html 年次セキュリティ レポート(2016年)

Cisco CSI - セキュリティ インテリジェンス 世界最大規模のサイバーセキュリティ フレームワーク 脅威情報 リサーチ & レスポンス Cisco CSIRT Cisco ATA Cisco Cloud Web Security Cisco Cloud Email Security Cisco AMP Cloud ThreatGRID Open DNS 先進的な脅威リサーチ体制 世界最大規模のテレメトリー データ分析 1日 あたり 110 万 マルウェア サンプル収集 42 億 Web サイト ブロック 10 億 レピュテーション クエリ登録 930 億 メール 解析 約 1 万 Cisco AMP で マルウェア発見 約 30 万 マルウェア情報を Cisco AMP へ送信 10 万 イベント 検出

ASA with FirePOWER Services シスコ セキュリティ ポートフォリオ 次世代FW マルウェア対策 メール セキュリティ ウェブ セキュリティ ASA with FirePOWER Services Cisco AMP for Endpoint ESA WSA / CWS FW 次世代IPS ASA FirePower 100G NGFW + DDoS UTM・MDM マルウェア解析 (サンドボックス) 脅威隔離、認証 マネージドSOC Network as a Sensor (Lancope) and Enforcer (ISE) Active Threat Analytics Meraki MX Meraki SM Firepower9300 ThreatGRID

標的型/サイバー攻撃、情報漏洩の現状と対応の実態 標的型攻撃は、特定の企業や組織を狙ったサイバー攻撃の1つであり、標的の内部に深く継続的に侵入し、機密情報の漏洩や、社会インフラ システムの破壊につながる恐れがあるものです。 標的を十分に調査し、密かに実行されるため、数ヶ月経ったのちに被害に気づき、その時には原因の特定が出来ない、といったケースが多く報告されています。 標的型メール、悪意あるウェブサイトへの誘導、脆弱性を持つ端末への直接攻撃などの手段でマルウェアに感染させる(初期潜入) 攻撃者 C&C サーバ 改ざんサイト 1 HACKED バックドアを作成して、外部C&Cサーバとの通信を確立する(攻撃基盤構築) 2 1 2 4 機密情報 ネットワーク環境の探索、端末間で感染の拡大、マルウェア自己更新を行い、資産への侵入を行う(感染拡大、権限昇格) 3 標的型 メール 3 情報の外部送信やデータの破壊を行う(目的遂行) DBサーバ 4 脆弱性を ついた攻撃 管理者端末 *C&C(コマンド アンド コントロール):マルウェアを外部から命令してコントロールしようとする通信

シスコ ソリューションによる標的型攻撃への対応 ESAおよびAMP:標的型メール マルウェアを阻止 WSAおよびAMP:悪意のあるウェブサイト阻止 1 攻撃者 C&C サーバ 改ざんサイト HACKED ASA(FirePOWERアプライアンス)およびAMP: C&C通信およびマルウェアのダウンロード阻止 2 +CTA ESA +AMP ASA +AMP 1 2 4 CWS AMP for Endpoint, Network as a Sensor:感染拡大の防止 機密情報 3 標的型 メール AMP AMP Cloud Web Security (CTA) 外部への不正な通信を検知、遮断 3 4 DBサーバ マルウェア 5 Active Threat Analytics ネットワーク全体を24/365で監視 早期検知と復旧、対応が可能 AMP AMP 管理者端末 5

アジェンダ 直近の事例にみる脅威 シスコ セキュリティ 脅威に対抗するソリューション対策

Advanced Malware Protection (AMP)

Cisco AMPとは クラウド AMP エンドポイント型 ネットワーク型 マルウェアハッシュDB 次世代マルウェア対策ソリューション+インシデント対策に有効 クラウドを使った新しいマルウェアの検知、隔離、感染の証跡を提供 ハッシュ値をベースにしたマルウェア検知 後からマルウェアと発覚したファイルを直ちに隔離 マルウェアの感染源、ネットワーク内での拡散状況を可視化 パブリック クラウド連携:Windows、Mac OS、Android プライベート クラウド連携:Windows のみ 既に稼働しているアンチ ウイルス ソフトウェアと共存が可能 クラウド ポータル ファイルから生成された ハッシュ値 9a9de323dc2ba4059c3eb10d20e8b93a4cc44c9 AMP エンドポイント型 ネットワーク型 ファイル Win/Mac/Android エンドポイント向け Cisco AMP概念図 Email Security Appliance Web Security Appliance

サンドボックス + セキュリティ インテリジェンス Cisco® Collective Security Intelligence Cisco® Collective Security Intelligence Threat Gridを使用したサンドボックス解析 AMPのPrevalenceという機能と連動し、無意味に 大量のファイルをサンドボックス解析するのでは 無く、マルウェアの確立の高いファイルに集中し て動的解析を行う Prevalenceは、4時間毎に企業内の10台未満の Connector上で観測されるEXEファイルを検知し ます Threat Grid Intelligence Sandbox + Security Intelligence

脅威の早期検知と封じ込め、過去に遡り脅威を可視化 レトロスペクティブ セキュリティとは? AMP(Advanced Malware Protection)では、すり抜けてしまうマルウェアを時間をさかのぼって検出し 感染原因を特定します。加えて、マルウェアと判明した場合には、隔離及び可視化をします。 この仕組みにより、ゼロデイ攻撃に対しても能動的に対策を取ることが可能となります。 一度調査したファイルを覚えておき、 合致するマルウェアが見つかった場合に 瞬時にそのファイルを隔離する仕組み クラウド リコール トラジェクトリ すべてのファイルの挙動をあらかじめ記録しておき、マルウェア感染時もしくは、過去に通過してしまったマルウェアが見つかった場合に、どの脆弱性を元に感染したのか、どのようなルートで感染したのかを可視化する仕組み 脅威の早期検知と封じ込め、過去に遡り脅威を可視化

レトロスペクション Antivirus Sandboxing AMP AFTER 感染させるテクニックを駆使 BEFORE 侵入 発見 堅牢化 検出 ブロック 防御 DURING AFTER 範囲の特定 封じ込め 復旧 セキュリティ対策の仕組みをすり抜けるテクニック(例) Point-in-Timeの検知 分析終了 スリープ テクニック 未知のプロトコル 暗号化 ポリモーフィズム Antivirus Sandboxing 感染させるテクニックを駆使 初めの分析結果 = Clean 現在の分析結果 = Bad = 手遅れ! 現在の分析結果 = Bad = ブロック レトロスペクティブな検知, 分析は継続 AMP アタック後も脅威のモニターを継続 初めの分析結果 = Clean

クラウド リコール ファイルのハッシュ値をクラウド上で記憶する 1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 ------------------------- X 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110 0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 ------------------------- X マルウェア→自動 ------------------------- 信頼できるベンダのファイル ------------------------- 現時点ではマルウェアでないファイル このファイルが将来マルウェアと判定される可能性がある ファイルそのものではなくハッシュ値をクラウドで記憶

X ! ファイルを継続して調査する 継続的してデータを蓄積、調査し新たなマルウェアに対応 クラウド ビッグデータ解析 (サンドボックス) ハッシュ値 クラウド リコール クラウド ビッグデータ解析 (サンドボックス) 110万件/日以上 ------------------------- 1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 ------------------------- X 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110 0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 ! ------------------------- 新しく見つかったマルウェアは、XXという ファイル名で、YYのディレクトリに保存され ているから、削除 継続的してデータを蓄積、調査し新たなマルウェアに対応

クラウド リコールの例 調査にかかる時間を削減、運用効率を高める 2月3日時点でファイルを 「マルウェア」として再認識 2月3日時点でファイルを  「マルウェア」として再認識 2月1日時点でファイルを 「ニュートラル」として一旦認識 後からマルウェアと判定されたファイルについても過去に遡って可視化

感染範囲の特定 “ファイル トラジェクトリ機能” 感染範囲の特定 “ファイル トラジェクトリ機能” Internet 最初の感染端末 2番目 3番目 5番目 4番目 社内ネットワークの マルウェア感染軌道を 管理画面で全て把握可能 不明なファイルが作成された 端末リスト

感染原因の特定 “デバイス トラジェクトリ機能” ※AMP for Endpointのみの機能 Internet 2番目 3番目 5番目 4番目 最初の感染端末 感染端末内のマルウェア感染挙動を 管理画面で全て把握可能 以下の例) ユーザがIEを使い不正なPDFをダウンロードし開いた! 開いたPDFはダウンローダで、次々とマルウェア感染。 また、不正なPDFのダウンロードサイトも判明する! 不明なファイルが作成された!

Network as a Sensor

過去5年間に見る情報漏洩の仕組み ターゲットの下調べ ネットワーク境界線 バックドア確保、マルウェアの埋込 フィッシングメールの リンクをクリック ターゲットの下調べ 権限取得が出来るまで攻撃を続ける アドミン権限取得 アドミン権限を使って情報を抽出 取得した情報の売買

制限のあるPerimeter (境界線)での可視化 192.168.19.3 10.4.51.5 10.200.21.110 ネットワーク内でどのような通信が起こっているのかわからない 10.51.51.0/24 10.51.52.0/24 10.51.53.0/24 192.168.132.99 入り口・出口でのみ通信情報を把握 (送信元、宛先アドレスのみ) 10.43.223.221 Internet 10.85.232.4

属性を追加した可視化とポリシー制御 Network as a Sensor 導入後の可視化 許されたトラフィック 社員 制御されたトラフィック Network as a Sensor 導入後の可視化 192.168.19.3 派遣社員 サーバー 10.4.51.5 10.200.21.110 属性が分かれば「誰・何」が通信しているのか一目瞭然 検疫 ハイリスク セグメント 10.51.51.0/24 10.51.52.0/24 10.51.53.0/24 192.168.132.99 「誰・何」をもとにしたポリシー制御が可能になる 10.43.223.221 共有サーバー インターネット インターネット 10.85.232.4 社員

内部ネットワークの可視化 企業ネットワーク内部での 脅威の動きを見える化! 侵入防御 侵入後の監視 ネットワーク センサー 専用管理製品 Only Cisco ! 内部ネットワークの可視化 侵入防御 ファイア ウォール、 IPS/IDS 侵入後の監視 ネットワーク センサー (シスコ スイッチ) エンタープライズ ネットワーク ウイルスに感染した端末 企業ネットワーク内部での 脅威の動きを見える化! 攻撃者 C2 サーバ 専用管理製品 管理者ノード 脅威と判断した フローを遮断!

Network as a Sensorとは? Ciscoが開発したトラフィックの統計情報を収集、送出する技術「NetFlow」を利用して 怪 しい”ふるまい”を検知 シスコ スイッチやルーターにNetFlow標準装備 (UCS vNICも含む) フルフローだから出来る全てのトラフィックの取得(シスコのみ) 既知の脅威、外部からの攻撃だけでなく、内部感染や暗号データにも有効 シグネチャ不要 (ふるまいを分析) 端末やサーバにソフトウェアインストール不要 キャンパスの 全てシスコ スイッチがセンサー 専用管理 Cisco StelathWatch NetFlowデータ NetFlow NetFlow コレクター ビッグデータ 分析 分析情報 管理画面 メール通知

Stealthwatchの基本構成 標的型攻撃、情報漏洩対策ソリューション Cisco Stealthwatch Stealthwatch 管理コンソール ユーザー名、端末、IPアドレス等共有 StealthWatch FlowCollector NetFlowを収集 Cisco ISE NetFlow 内部ネットワーク ユーザ/端末 NetFlow 有効

Network as a Sensor で検知できる脅威 企業ネットワーク内部の脅威を可視化管理 スキャン サービス 拒否 ボットネット 検知 ホストの信頼性(評判)の変化 TCP, UDP, 複数端 末に対するポートス キャン等 SYN ハーフ オープ ン; ICMP/UDP/Port Flood 既に危険にさらされ ている可能性のあ る端末 外部C&Cサーバー と通信を行う社内端 末 ワーム感染 の拡大 ワーム感染した端末 からのスキャン フラグメンテーション アタック 悪意のある改ざんさ れたフラグメント 基準値を超えた外 部への大量データ 送信 データの 抽出

内部犯行による外国への情報漏洩を検出例 Cisco Stealthwatch 内部同士で35.48GBの データ量をSQLで受信 利用したアプリのデータ量を表示(内部<->内部) 内部同士で35.48GBの データ量をSQLで受信 内部同士で12.58GBの データ量を未定義TCPで送信 利用したアプリのデータ量を表示(内部->外部) 内部から外部に13.38GBのデータ量をP2Pで送信!

内部からプエルトリコに13.38GB のデータ量をP2Pで送信! Cisco Stealthwatch 内部犯行による外国への情報漏洩を検出例 どこの国にどのように流出したかを確認 内部からプエルトリコに13.38GB のデータ量をP2Pで送信!

Cloud Web Security (CWS) Cognitive Threat Analytics(CTA)

CWSの構成例 Cloud Web Security (CWS) 世界22拠点のタワー 管理ポータル (ポリシー設定、レポート出力) SAN FRANCISCO VANCOUVER DALLAS TORONTO CHICAGO MIAMI LONDON SAO PAULO NEW YORK PARIS COPENHAGEN FRANKFURT ZURICH BANGALORE SINGAPORE HONG KONG TOKYO JOHANNESBURG SYDNEY モバイルユーザー 管理ポータル (ポリシー設定、レポート出力) 例:東京 最も近いタワーに自動接続 Cloud Web Security (CWS) 東京 インターネット Cisco WSA 本社・拠点 Cisco ISR G2 Cisco ASA クライアント クライアント クライアント VPN 拠点 拠点

アプリケーション ビジビリティ& コントロール (AVC) Cloud Web Security Appliance Virtual Before During CTA ウェブ フィルタリング After ウェブ レピュテーション アプリケーション ビジビリティ& コントロール (AVC) ウェブページ アンチ マルウェア ファイル レピュテーション アウトブレイク インテリジェンス CWS CTA ネットワーク振る舞い 分析 ファイル サンドボックス www www.website.com ファイル レピュテーション   X X X X X X 本社 ASA WSA Standalone ISR G2 AnyConnect トラフィックのリダイレクト レポーティング ログ抽出 運用 管理者 www www www 許可 警告 ブロック 一部ブロック 本社/大規模オフィス 拠点ユーザ 社外ユーザ

改ざんサイト対策 Webフィルタ Webレピュテーション フィルタ Cisco Collective Security Intelligence www 格付け低サイト 格付け中サイト 格付け高サイト SenderBase スコア提供 格付け Ciscoセンサ群 信頼される Web サイトと提携していない Web サーバ (例 広告サーバ) Web サイト インターネット PC クライアント www www Web レピュテーション フィルタはリクエストのチェックだけではなくiframeなどで埋め込まれた各オブジェクトをスキャンします。 www 40 40

人工知能型 出口対策 Cognitive Threat Analytics (CTA) ルール セットは不要 ただCTAをONにすれば、イントラネットに潜む脅威を検出します。 通常…そうではない? 異常トラフィック検出アルゴリズムと、信頼モデルを使用して感染症状を特定。 進化するセキュリティ 機械学習によりトラフィックから学習し自動的に適応していきます。 マルウェア発見時間を短縮 プロアクティブ且つ継続的な監視は攻撃の広がりを防止します。 W ww Cloud Web Security トラフィック解析 ATP脅威 挙動検知 機械学習 ビックデータで発見出来なかった標的型攻撃脅威(ATP)検知に有効。

100億以上のトラフィックを40以上の検知システムにて分析 異常検知により不正なトラフィックを特定 異常検知 100億以上のトラフィックを40以上の検知システムにて分析 ディテクター毎に異常なスコアを提供 集めれたスコアにより 通常のトラフィックと分離 Layer 1 During After Layer 2 AMP CTA CWS PREMIUM Layer 3 File Reputation Anomaly detection Trust modeling Event classification Entity modeling Dynamic Malware Analysis File Retrospection Relationship modeling HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request 通常 HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request 未知 HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request 異常

Active Threat Analytics

Active Threat Analytics (ATA)サービスの概要 お客様内設備(データセンター) シスコ データセンター お客様 閲覧 お客様ポータル 電話・メール Cisco SOC ② ATA解析装置 ① 監視・分析(24hx365d) お客様専用セグメント 検出装置 Sourcefire AMP Investigator Portal INTERNET VPN ④ お客様ネットワークから リアルアイムフィード Sourcefire IDS 24x7 管理 コンソール FIREWALL FIREWALL お客様専用セグメント ThreatGrid 暗号化通信(HTTPS/SSH/IPSec) Cisco 認証サービス アラーム/チケット システム 収集装置 Third Party Metaデータ アラーム/チケット システム Netflow Netflow収集 ③ セキュリティ インテリジェンス フル パケット パケット キャプチャ ⑤ 解析エンジン 異常検出 24時間x365日のリモートSOCサービス - 監視・分析・推奨対策報告 お客様サイトへの分析装置の設置 - VDIによるリモート監視 世界有数のインテリジェンス - 300万台以上の世界規模センサ 膨大なデータ活用し脅威可視化・解析精度向上 - Netflow、フルパケット 多角的な分析アプローチ - 迅速な解析・False Positive激減 顧客環境を熟慮した分析 - お客様固有環境の把握 セキュリティ インテリジェンス ルール ベース 解析 統計解析 ビッグデータ 解析

ATAの脅威解析アプローチ ATAは、膨大の情報ソース(各種メタデータ、Netflow、フルパケット)を活用した、3つの分析手法を組み合わせることで、 各分析手法の特性を補完し、検知精度の向上を実現します。 Deterministic Rules-Based Analytics (DRB) ルールベース解析 Statistical Rules-Based Analytics (SRB) 統計学的分析 Data Science-Centric Analytics (DSC) ビッグデータ分析   長所: 既知の脅威への対応 亜種ウイルスへの対応 大多数の脅威への対応 長所: 異常検知への対応 傾向予測が可能 アクセス頻度の高いドメイン の把握が可能 長所: 共通したデータモデル 顧客別のデータモデル イベント分類 行動の特徴 短所: チューニングができない コンテキスト情報の欠如 ポリモーフィック対応が困難 ビッグデータの活用ができない 短所: 誤警告が増加する コンテキスト情報の欠如 高性能な計算資源・大容量 のストレージが必要 リアルタイム処理が必要 短所: ユースケースにフォーカス したデータモデルになる 顧客に特化したデータモ デルになる

ATAの脅威解析アプローチ 71 269,808 セキュリティイベント(件数) 113,713 1710 207,992 61,816 それにより、お客様がセキュリティ対応にかかる時間を軽減します。 以下では2週間で検出したセキュリティ イベントのスクリーニング(インシデント特定)の例を示します。 チケット報告 (調査によりインシデントと判断) 71 269,808 セキュリティイベント(件数) イベントのユニーク化 113,713 高確度なイベント 1710 207,992 61,816 インテリジェンスによる検知 センサによる検知

セキュリティ運用ライフ サイクル Cisco ATA サービスは、お客様のネットワーク セキュリティ インシデントのライフ サイクルのマネージドサービスを提供します。 以下に示す通り、シスコATAチームでは、脅威の検出、解析、対策推奨報告、並びに状況確認のサービスを提供し、自治体様のセキュリティ運用ライフサイクルを支援します。 お客様CSIRT 連絡授受 対処実行 判断 SIer様 パートナー様 機器監視 連絡授受 対処実行 判断  対処実施  状況確認 チケッティング 状況アップデート 内容に応じてメール、 電話でアップデート ポータル サイト シスコ ATA ログ監視 検出 分類と 優先付け 記録 通知 対策 推奨報告  状況確認

まとめ

シスコ セキュリティ ソリューションの特徴 製品 ソリューション クラウド ビッグデータ および解析 シスコのアドバンスド サービス クラウド ビッグデータ および解析 シスコのアドバンスド サービス 検知率(現在・過去) 脅威の可視性(現在・過去) ネットワークとの連携/親和性 脅威解析 運用支援 コスト削減/セキュリティ強化をご提供 (脅威の検知と迅速な対応が可能に)