The latest and greatest Advantage Now The latest and greatest セキュリティ製品アップデートおよび競合案件対策 2016 年10月 6日 Brand team Released: March 2016 Making our PowerPoint simpler and more distinctive. 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。

企業・組織の健全性を可視化

あなたの会社のネットワーク、本当に安全ですか？ さまざまな脅威にさらされるネットワークインフラ

標的型攻撃に対する対策

通信経路での検知・防御策 EPS TS WWW F/W IPS IP Reputation Email Security Endpoint Security F/W　IPS IP Reputation Email Security Anti Virus(2 Venders) Reputation Filter AMP(Hash) AMP(Retrospective) Endpoint Security Anti Virus Client FW/IPS IP/URL Filter Prevalence AMP(Hash/Retrospective/BadIP) Web Site TS WWW Traffic Sensor Web Security Anti Virus(2 Venders) Reputation Filter AMP Network Traffic Sensor Behavior Analysis C&C Server Traffic Anomaly Action DNS Service Secure DNS F/W IPS IP Reputation

実際のインシデントの解析結果

メール＆マルウェアサンプル 詳細 ファイル名 .eml ハッシュ値 (SHA256) ファイル タイプ email, ASCII Text メール＆マルウェアサンプル　詳細 ファイル名 .eml ハッシュ値 (SHA256) ファイル タイプ email, ASCII Text メール件名 添付ファイル .docm application/vnd.ms-word.document.macroEnabled.12

メール ヘッダー確認

メールのFrom Address: Received - 176.204.76.138 Cisco Security Intelligence “Senderbase”での解析 176.204.76.138： SenderbaseでのReputation Score： Poor 対策可能製品： Cisco ESA(Email Security Appliance) Cisco CES(Cloud Email Security) ESA / CESを利用することで、送信元アドレスの評価値でメールをブロック

添付ファイルの解析 #1: 22D90160EB2.docm Cisco Security Intelligence “VRT：Malware Database”での解析 22D90160EB2.docm： VRTでのDisposition： Malicious 対策可能製品： Cisco AMP for Endpoint AMP for Endpointを利用することで、 侵入してきたマルウェアを クライアントで検知、削除可能

添付ファイルの解析 #2: 22D90160EB2.docm Cisco Threat Gridでの振る舞い解析 Treat Gridでの振る舞い解析から、ワードマクロを利用したドロッパーであることが 判明 Threat Score: 95 - Malicious 通信先： http://something117.com:80/54fc3rc3fr

添付ファイルの解析 #3: http://something117.com:80/54fc3rc3fr Cisco Security Intelligence “Senderbase” http://something117.com:80/54fc3rc3fr： SenderbaseでのReputation Score： Poor 対策可能製品： Cisco WSA(Web Security Appliance) Cisco CWS(Cloud Web Security) WSA/ CWSを利用することで、ランサムウェアのダウンロード元へのアクセス/通信をブロック

対策製品： ESA/ CES: そもそもメール受信せず AMP for Endpoint: 添付をマルウェアとして検知・ブロック WSA/ CWS: マルウェア本体のダウンロード ブロック

標的型攻撃に対する対策

通信経路での検知・防御策 EPS TS WWW ESA / CES AMP Endpoints F/W IPS IP Reputation Security F/W IPS IP Reputation Email Security Anti Virus(2 Venders) Reputation Filter AMP(Hash) AMP(Retrospective) Endpoint Security Anti Virus Client FW/IPS IP/URL Filter Prevalence AMP(Hash/Retrospective/BadIP) ASA with FirePOWER Services Web Site WSA / CWS TS WWW Stealth watch Traffic Sensor Web Security Anti Virus(2 Venders) Reputation Filter AMP Network Traffic Sensor Behavior Analysis C&C Server Traffic Anomaly Action DNS Service Secure DNS F/W IPS IP Reputation OpenDNS

あなたの会社のネットワーク、本当に安全ですか？ さまざまな脅威にさらされるネットワークインフラ

次世代型ファイアウォール ASA with FirePOWER services

課題を解決するCisco ASA 5500-X Series 豊富なラインナップ 多種、多様な機能を実装。管理ツールも充実 Small Factor ASA5506 Box Type ASA5512 〜 ASA5555 Chassis Type ASA5585 Basic F/W 機能 次世代型 F/W 機能 IPS 機能 Malware Protection機能 Remote Access VPN機能 統合管理 ツール

Cisco AMP Leads Again in NSS Test 2年連続、業界トップをキープ 99.2%のマルウェアをブロック テストにおいて、全ての回避技術を100% ブロックした唯一のベンダー AMP Everywhereの価値 エンドポイント、次世代FW、次世代IPS、コンテンツゲート ウェイ、モバイルデバイス、仮想環境、において提供可能 既に展開されているCisco製品と組み合わせる事により、現 在および将来の投資を最大限に活用する事が可能 ※ BDS : Breach Detection System BDS とは、侵害が起きたネットワーク内で活性化しているマルウェアを検出するために 設計されたセキュリティデバイスやアプリケーションのカテゴリーのこと。 NSS Labs BDS Security Value Map

FireSIGHT Management Center & Excelでのレポーティング ネットワーク レポート アタック レポート マルウェア レポート

ASA5500 with FirePOWER Services製品ラインナップ 規模 ASA製品型番 リモートアクセスVPNライセンス 次世代F/W・IPS機能 ライセンス URL Filter 次世代 F/W機能 IPS機能 マルウェア 防御 備考 25名規模 ASA5506-K9 AC-PLS-1YR-25 L-ASA5506-TAMC-3Y O F/W管理ツールASDMの他に、次世代型F/W・IPS機能を利用するためのFireSIGHT Management Centerが必要になります。 50名規模 ASA5508-K9 L-ASA5508-TAMC-3Y 100名規模 ASA5516-K9 AC-PLS-1YR-100 L-ASA5516-TAMC-3Y 500名規模 ASA5525-FPWR-K9 AC-PLS-1YR-500 L-ASA5525-TAMC-3Y 1,000名規模 ASA5545-FPWR-K9 AC-PLS-1YR-1K L-ASA5545-TAMC-3Y ASA 5506-K9 F/Wスループット: 750Mbps 同時セッション：20,000/s ASA 5508-K9 F/Wスループット: 1Gbps 同時セッション：25,000/s ASA 5516-K9 F/Wスループット: 1.8Gbps 同時セッション：250,000/s ASA 5525-FPWR-K9 F/Wスループット: 2Gbps 同時セッション：500,000/s ASA 5545-FPWR-K9 F/Wスループット: 3Gbps 同時セッション：750,000/s

エンドポイント マルウェア プロテクション Cisco AMP for Endpoint

Point-in-time (一時点)でのセキュリティ対策の限界 ネットワークレベルの セキュリティ対策 端末レベルの セキュリティ対策 Point-in-time Stop Point-in-time ファイア ウォール サンド ボックス IPS Stop スリープ テクニック サンド ボックス回避 AV シグニチャの遅延 ゼロデイ攻撃 パスワード ロック 防ぎきれない！ アンチウイルス ソフト アンチウィルス SPAM ネットワークの見える化と制御 課題 既存の対策では感染する可能性が高い 感染した後に普及するまでに時間が掛かる

次世代のマルウェア検知ソリューション クラウド クラウドを使った新しいマルウェアの検知、隔離、感染範囲/ 原因を特定 　ハッシュ値をベースにしたマルウェア検知 　後からマルウェアと発覚したファイルを直ちに隔離 ⇒ 　マルウェアの感染源、ネットワーク内での拡散状況を可視化 ⇒ クラウド リコール トラジェクトリ ■AMP for Endpoint概念図 管理サーバ無しで簡単導入！ マルウェアハッシュDB クラウド ファイル 9a9de323dc2ba4059c3eb10d20e8b93a4cc44c9 ファイルから生成された ハッシュ値を比較 Win/Mac/Linux クラウド 管理ポータル 既存の一時点での対策に加え、AMP for Endpointなら 過去にさかのぼり、一時点だけでの対策との差分を埋めます

AMP for Endpointの特徴的機能 クラウドリコール ＝ 一度チェックしたファイルも継続的にチェック ファイル トラジェクトリ デバイス トラジェクトリ 感染範囲を特定 感染原因を特定 何時何分のどの端末が感染したかが分かります。 どのアプリが動いたことで感染したかが分かります。

AMP for Endpointの特徴的機能 世界最大規模の セキュリティ データベース プリバランス Cisco® Collective Security Intelligence 未知のマルウェアを検知するために 企業内のPCで統計的に動いている 数の少ないEXEファイルを検知、 クラウド サンドボックス解析 4時間毎に企業内の10台未満のPC上で観測される EXEファイルを検知、解析 マルウェア解析動画 アプリケーション制御 端末の脆弱性把握 特定のアプリケーションを 一時的に動作しないように 制御が可能 端末のソフトウェアの 脆弱性情報を一覧で チェック可能 ファイル拡散状況把握 不正通信のブロック クラウド サンド ボックス上での ファイル解析の動画を閲覧可能 どの端末にどのファイルが 存在するかを検索、検知可能 外部への不正通信をブロック IPブラックリストも作成可能

亜種、新種の未知のマルウェアは、ファジーハッシュ、SPEROエンジンによりブロック AMP アーキテクチャー クラウド 既知のマルウェアは、 膨大なデータにより ポイントインタイムでブロック 世界最大規模の ビッグデータ 分析 マルウェアハッシュDB ハッシュ値 ファイル 3372c1edab46837f1e973164fa2d726c5c5e17bcb888828ccd7c4dfcc234a370 150万/日 サンプル収集 ETHOS Engine (ファジー ハッシュ) 亜種、新種の未知のマルウェアは、ファジーハッシュ、SPEROエンジンによりブロック 7a22d6a14a600eee1c4de9716c3003e92f002f2df3e774983807a3f86ca50539 30万/日 マルウェア情報を Cisco AMP へ送信 既存マルウェアの亜種を検出 SPERO Engine (ファイル特性) 1万/日 Cisco AMP で マルウェア発見 100種類以上のファイル特性から、マルウェア特性と比較、亜種、新種を検出 日々更新されるマルウェア情報を随時更新 マルウェアハッシュDB クラウド リコール

企業・組織の健全性を可視化

あなたの会社のネットワーク、本当に安全ですか？ さまざまな脅威にさらされるネットワークインフラ

シスコ セキュリティ ソリューションで「安全な」ネットワークを!

ASA with FirePOWER Services ネットワークインフラ全体をカバーするセキュリティ製品群 入口、出口対策 入口対策 出口対策 次世代FW マルウェア解析 (サンドボックス) メール セキュリティ ウェブ セキュリティ ASA with FirePOWER Services ThreatGRID ESA WSA / CWS FW 次世代IPS ASA FirePower 100G NGFW + DDoS セキュアDNS 認証・検疫・BYOD リモート アクセス マルウェア対策 Firepower9300 OpenDNS ISE AnyConnect Cisco AMP 出口対策 内部対策 内部対策