Download presentation
Presentation is loading. Please wait.
1
McAfee Network Security Platform
マカフィー株式会社 Rev5
2
Network is THE Security Battleground
Source: McAfee Threats Report: Third Quarter 2012 “データ漏えいの大部分は、内部犯 行ではなく、悪意を持った外部の 第3者によって行われています。” Verizon, 2012 データ漏えいの原因は? 81% 外部からのハッキング (+31%) 69% マルウェア感染 (+20%) 10% 物理的な攻撃 (-19%) 7% 内部犯行 (-4%) 5% 操作・運用ミス (-12%) Source: Verizon 2012 Breach Investigations Reports “攻撃手法は進化を続けており、伝 統的なシグネチャだけに依存した 方法での検知・防御が困難になっ ています。” Gartner, 2012
3
Traditional vs. Comprehensive Network Security
Traditional Network Security Comprehensive Network Security 大量のアラート 数千・数万のイベント どれが有害?Which are malicious? どれをブロックすべき? Intelligent Security Management 情報不足 対象システムの詳細は? 他の関連イベントは? レピュテーション情報は? Unparalleled Threat Prevention 先進的な攻撃への対応 プロトコル異常検出? ファイル解析? パターンマッチング? Global Malware Protection 可視化機能欠如 使用されているアプリケーションは? 帯域の消費度は? 脅威はどこからどこへ向かってる? Visibility and Control VULNERABLE SECURE
4
McAfee Network Security Platform
情報過多のフラストレーションを 大幅に軽減。見つけたいものを迅速に且つ効率的に。 Unparalleled Threat Preventions Intelligent Security Mgmt Global Malware Protection Security Connected Visibility & Control Performance & Scalability Next Generation Intrusion Prevention Network Security Platform 先進的な脅威に対する「1製品内での多層防御」の確立。 パフォーマンスを損ねることなく、 複数の機能が動作 November 8, 2018
5
McAfee Network Security Platform A History of IPS Excellence
I-Series 1st Enterprise IPS M-Series High Performance Heuristic-based SQL Injection Protection 先進機能投入 File Reputation GTI Packet Capture Connection Limiting Application Visibility Application Protocol Anomaly Detection Advanced Botnet Correlation ePO Integration IP Reputation GTI File Anomaly Detection DoS Prevention OS Fingerprinting VM Protection 2003 2010 2012 MQ Leader MQ Leader MQ Leader MQ Leader 1st Certified 10 Gbps 1st in IPS MQ Leader Largest IPS Market Share Best Perf. & Accuracy MQ Leader Best Un-tuned Block Rate Leads Next Generation IPS Largest IPS Market Share 1st and Only Certified 80 Gbps MQ Leader 市場評価 November 8, 2018 5 5
6
Gartner Magic Quadrant(MQ) で最高評価
7
Intelligent Security Management
November 8, 2018
8
Intelligent Security Management
GTI McAfee ePolicy Orchestrator McAfee ESM (SIEM) TECHNICAL INNOVATIONS ORGANIZATIONAL BENEFIT 直感的な操作感 運用効率の向上 先進的なアラート優先度判定機能 ノイズの減少、フォーカス対象の明確化 スケーラビリティ 組織の要望に沿った拡張 シンプルな構成 容易な導入 製品連携(Security Connected) 関連情報の収集・解析のワークフロー化 November 8, 2018
9
グローバルな脅威情報との密な連携(GTI)
広範な情報収集と素早い防御機能の提供を実現 様々なレピュテーションの連携 ファイル、Web(URL、カテゴリ)、IP、メッセージに関する 脅威情報の収集と連携した詳細なリスク分析 広範囲の情報収集 エンドポイント、Webセキュリティ、メールセキュリティ、IPSなど 様々なセキュリティ機器で取得された情報の活用 素早い防御提供 脅威情報を対策製品で適した防御に生かすため リアルタイム性の高い防御連携 November 8, 2018
10
グローバルな脅威情報との密な連携(GTI)
Threat Reputation GTI Network Activity Affiliations Ports / Protocol IP Address Application Domain Data Activity Geo-location Address Mail Activity Sender Reputation Web Reputation Web Activity URL File Reputation DNS Server Network IPS Firewall Mail Gateway Host AV Host IPS 3rd Party Feed Web Gateway 300M IPS attacks/mo. 300M IPS attacks/mo. 2B Botnet C&C IP Reputation queries/mo. 20B Message Reputation queries/mo. 2.5B Malware Reputation queries/mo. 300M IPS attacks/mo. Geo Location Feeds November 8, 2018
11
グローバルな脅威情報との密な連携(GTI)
Network IPS Firewall Host IPS 3rd Party Feed Web Gateway Mail Gateway Host AV 300M IPS attacks/mo. 300M IPS attacks/mo. 2B Botnet C&C IP Reputation queries/mo. 20B Message Reputation queries/mo. 2.5B Malware Reputation queries/mo. 300M IPS attacks/mo. Geo Location Feeds November 8, 2018
12
ワークフローの効率化 「アラートの追跡」から「イベントの把握」へ。 兆候の確認 脅威情報把握 詳細情報確認 システム状況確認 詳細調査 対策
個々の脅威や 関連脅威の 確認 検出詳細情報 OSや脆弱性 ホストのイベント 情報確認 兆候の確認 脅威情報把握 詳細情報確認 パケット分析, SIEM, forensic との統合/連携 ACL,IPS, アプリケーション制御、カスタム防御適用 システム状況確認 詳細調査 対策 リスク、脅威 November 8, 2018
13
Unparalleled Threat Prevention
November 8, 2018
14
Contextual Awareness(外部情報活用)
脆弱性スキャン結果 エンドポイント製品保護状況 ユーザ情報 端末が接続しているシステム 端末の詳細情報 国情報 レピュテーション情報 Network Security Platform Unparalleled Threat Protection Intelligent Security Mgmt Global Malware Protection Security Connected Visibility & Control Performance & Scalability Next Generation Intrusion Prevention November 8, 2018
15
Unparalleled Threat Prevention ~包括的な視点での脅威検知~
IPSアラート発生数・種類、ダウンロードしている不審ファイル、Bot活動の兆候、ネットワーク上での不審な活動等、様々な観点から不審な端末(脅威)を特定。 Threat Explorer Vulnerability-based エンジンでの検知結果 Malware Downloads ダウンロードされてきた不審ファイルの表示 Active Botnets Bot動作をしている端末の表示 High-Risk Hosts 怪しい挙動(ハイリスク)をしているホストの表示 Network Forensics ネットワーク上でのBehavior解析(NBA)
16
Global Malware Protection
17
多層的なMalware解析・検知エンジン
NTBA GAM 内部 PDF Emulation File reputation 脆弱性シグネチャ Botnet Detector DB 入口 Inbound IP Reputation Advanced Botnet Detection 出口 Outbound 感染端末検知シグネチャ
18
Malware検出機能概要 NSPでは、入口・出口の両方に、異なるロジックのエンジンを「多層的に配置し並行的に動作させる」ことにより、ウイルスに感染させるための活動の検知(入口対策)、及びウイルス感染後の活動の検知(出口対策)の両方を、高いレベルで実現します。 GLOBAL THREAT INTELLIGENCE File Reputation Cloud Sandbox Inbound(入口) IP Reputaion Internet Outbound(出口) 脆弱性シグネチャ 感染端末検知 シグネチャ File Reputation InboundのHTTPやSMTPに含まれてくる不審なファイルを 「6種類のエンジンで」並行的に解析 感染端末からのOutbound通信に含まれる不審な兆候を「4種類のエンジン」で並行的に解析 Custom Fingerprint Advanced Botnet Detection PDF Emulation IP Reputaion GAM on NTBA Cloud Sandbox* Botnet Detector DB *将来バージョンで実装予定
19
Malware検出エンジン 入口 出口 カテゴリ 機能 概要 スキャン・チェック発生箇所 備考 脆弱性シグネチャ
脆弱性を突くコードを含むファイルをシグネチャベースで検知 センサ(ローカル) ※既存バージョンで実装済 File Reputation 不審ファイルをクラウド上のレピュテーションDBと突き合わせて検知。 GTI(クラウド) Custom Fingerprint 予め手動で定義したファイル情報(ファイル名、ファイルサイズ、ハッシュ値等)と合致したファイルを検知。 PDF Emulation PDFファイルに不審なJava Scriptが存在した場合に、「センサ内」でそれを実行して危険かどうかを検知。 ※v7.5の新機能 Gateway Anti-Malware センサから送られてくるファイルを専用エンジン(振る舞い型)で解析して、危険かどうかを検知。 NTBA(ローカル) ※別途、NTBAが必要 Local Sandbox* 現状、未実装 センサから送られてくるファイルをローカルのSandboxエンジンで解析して、危険かどうかを検知。 未定 ※別途、別筐体が必要 ※将来的に実装予定 Cloud Sandbox* 不審なファイルをクラウド上のSandboxエンジンへ送信して、危険かどうかを検知。 出口 感染端末検知シグネチャ マルウェアに感染した端末やBot化した端末が発生する特徴的な通信パターンのシグネチャベースで検知。 Advanced Botnet Detection 複数の不審な外部向け通信イベントを相関分析してBot活動を検知。 IP Reputation 端末の接続先のIPアドレスのレピュテーションをベースにした検知。(シグネチャに依存しません) Botnet Detector DB ローカルに有するBotnetの情報(IP、URL等)が含まれたDBを使用してBot活動を検知(シグネチャに依存しません)
20
Malware検出エンジン競合比較 入口 出口 ○ × △ ? カテゴリ 機能 概要 MFE IPS-A IPS-B IPS-C 標的型
NG-FW-A 入口 脆弱性シグネチャ 脆弱性を突くコードを含むファイルをシグネチャベースで検知 ○ File Reputation 不審ファイルをクラウド上のレピュテーションDBと突き合わせて検知。 × △ Custom Fingerprint 予め手動で定義したファイル情報(ファイル名、ファイルサイズ、ハッシュ値等)と合致したファイルを検知。 ? PDF Emulation PDFファイルに不審なJava Scriptが存在した場合に、「センサ内」でそれを実行して危険かどうかを検知。 Gateway Anti-Malware センサから送られてくるファイルを専用エンジン(振る舞い型)で解析して、危険かどうかを検知。 Local Sandbox ※実装時期未定 センサから送られてくるファイルをローカルのSandboxエンジンで解析して、危険かどうかを検知。 Cloud Sandbox 不審なファイルをクラウド上のSandboxエンジンへ送信して、危険かどうかを検知。 出口 感染端末検知シグネチャ マルウェアに感染した端末やBot化した端末が発生する特徴的な通信パターンのシグネチャベースで検知。 Advanced Botnet Detection 複数の不審な外部向け通信イベントを相関分析してBot活動を検知。 IP Reputation 端末の接続先のIPアドレスのレピュテーションをベースにした検知。(シグネチャに依存しません) Botnet Detector DB ローカルに有するBotnetの情報(IP、URL等)が含まれたDBを使用してBot活動を検知(シグネチャに依存しません)
21
Global Malware Protection ~ポリシー作成~
スキャン対象とするファイル拡張子を検知エンジン毎に設定 スキャン対象とするプロトコルの指定 スキャン対象とするファイル拡張子と検知エンジン毎に発動するアクションを設定
22
Global Malware Protection ~第3者機関の検知テスト結果~
トータルで93%の検知率(119824個中111334個を検知)
23
Visibility and Control
24
アプリケーション Deep Visibility & Control
1500 1500種類以上のアプリ ケーションを識別・制御 可能 識別したアプリケーション通信の可視化、コントロール(ブロック、帯域制御) 日本独自のアプリケーションにも対応 Anomalies L3/L4レベルの解析では気が付けないネットワーク異常の発見 データベースサーバからのメール送信 禁止しているアプリケーションの使用 特定アプリケーション上での大量の外向き通信 Alignment 組織のポリシーに則り、 アプリケーション通信を細かく制御 Google chat は許可するが、ファイル転送は禁止 BitTorrent は禁止するが他のWebアプリは許可 特定ユーザ/IPからの特定アプリのみ許可
25
柔軟なアプリケーション制御機能 ファイアウォールルールの「穴」を補完。 FWで許可されているアプリケーション通信の制御(「穴」の補完)
セキュリティアラートの確認 制御対象のアプリケーションを選択 レスポンスを適用 脅威になるアプリケーションを 制御(ブロック or 帯域制御)
26
Architecture
27
McAfee Network Security Platform Architecture: Network Security Platform Sensors
100 Mbps 1 Gbps 600 Mbps 200 Mbps 10 Gbps 3 Gbps 20 Gbps 5 Gbps 1.5 Gbps 40 Gbps 80 Gbps 10 GigE Connectivity 40 GigE Connectivity XC Cluster Performance, Scalability and Connectivity NS-9200 M-8000 NS-9100 M-6050 M-4050 M-3050 M-2950 M-2750 / M-2850 最大80Gのパフォーマンス 業界トップレベルのポート密度 高い信頼性と拡張性 シングルコンソールによる管理 M-1450 M-1250
28
IPSを目的に専用設計されたハードウェア
M-1250 M-2950 M-6050 NS-9100/9200 M-1450 M-3050 M-8000 NS-9300 M-2850 M-4050 M-Series 監視ポート モデル パフォーマンス 10/100/1000 1GbE SFP 10GbE XFP 1/10GbE SFP+ 40GbE NS-9300 40Gbps 16 - (32)* (16)* NS-9200 20Gbps 8 2 (8)* NS-9100 10Gbps M-8000 12 M-6050 5Gbps M-4050 3Gbps 4 M-3050 1.5Gbps M-2950 1Gbps M-2850 600Mbps M-2750 20 M-1450 200Mbps M-1250 100Mbps (*)NSシリーズでは監視ポートのモジュールとして 1/10GbE SFP+ か 40GbE を選択。
29
Total Cost of Ownership
30
Counting It All Up Bottom Line Total cost of ownership(総所有コスト)の削減
Comprehensive Network Security Cost Benefits Intelligent Security Management 解析スピードの向上による運用コス トの低減。 Unparalleled Threat Prevention 検知精度の向上により攻撃による損 失が減少。 Global Malware Protection マルウェアの検知・防御制度の向上 による対応コストの削減。 Visibility and Control 柔軟なアプリケーション通信制御機 能によりネットワーク制御を容易化。 Bottom Line Total cost of ownership(総所有コスト)の削減
Similar presentations
© 2024 slidesplayer.net Inc.
All rights reserved.