協力可能な脅威の知見と迅速な対応を可能とする統合環境

協力可能な脅威の知見と迅速な対応を可能とする統合環境
IBM X-Force Exchange 協力可能な脅威の知見と迅速な対応を可能とする統合環境日本アイビーエム株式会社セキュリティー事業本部セキュリティーシステムズ事業部 2017年9月

セキュリティーチームは、次のようなリソースを最大限活用するための必要なサポートを得られていません。
65% の企業はセキュリティの判断能力を強化するため外部の脅威の知見(インテリジェンス)を使用しています1 。セキュリティーチームは、次のようなリソースを最大限活用するための必要なサポートを得られていません。データは信頼できない情報源から収集されています。アクションをとるために必要な情報の作成に時間がかかり過ぎます。アナリストはノイズから有意な信号を分離することが出来ません。 1 情報ソース: ESG Global

X-Force Exchange のご紹介 IBM X-Force Exchange を使用することで、脅威を示す情報を共同連携環境にて調査でき、脅威のインテリジェンス(知見)の質を高め、アクションをとるまでの時間を早めることができます。 IBM X-Force Exchange プラットフォームを使用するユーザーは、公開コミュニティグループや内輪コミュニティグループを作成したり、参加したりすることができ、より高いレベルの知見やセキュリティーの調査活動に基づく意思決定やワークフローを合理的に一元化することを可能となります。

３つの使用方法連携可能な脅威の知見多くの情報からセキュリティに関する洞察を高めます
協力者達と連携し、脅威の内容を把握し、対応計画を立てます標準化された形式で配布される脅威の知見と使用し、セキュリティ・ソリューションを強化します３つの使用方法連携可能な脅威の知見 IBM X-Force Exchange is a new platform for consuming, sharing and acting on threat intelligence. IBM X-Force Exchange は脅威の知見を使用する、共有する、それに基づき行動するためのプラットフォームです。 X-Force Exchange is (X-Force Exchangeは): OPEN—A robust platform with access to a wealth of threat intelligence data オープン – 脅威の知見データの宝にアクセス可能な堅牢なプラットフォーム ACTIONABLE—An integrated solution to help quickly stop threats 実行可能 – 脅威を止めることを支援する統合ソリューション SOCIAL—A collaborative platform for sharing threat intelligence ソーシャル – 脅威の知見を共有し、共同作業可能なプラットフォーム

脅威の知見のコンテンツセキュリティーの調査の強化

当社の調査チームと自動化されたシステムとが全世界の脅威レベルを常時監視しています
当社の調査チームと自動化されたシステムとが全世界の脅威レベルを常時監視しています動的にアップデート脅威の知見データベースを動的にアップデートしており、10分単位で正確な情報を配信しています。分析セキュリティーチームは全世界のデータを分析し、攻撃の傾向を把握したり、洞察結果を共有したりしています。データ収集 Webサイトを継続的にスキャンし、カテゴリー分けし、マルウェアのホストや、スパムの送信元であるかなどを判別しています。 The X-Force team has a long history of collecting information from across the internet and cataloguing it into different repositories that can then be applied to different products within the portfolio. X-Forceチームはインターネット上で情報を収集し、製品ポートフォリオ中の異なる製品に適用できるよう、それらを種々のレポジトリーにカタログ化(目録化)するということに関しては長い歴史を有しています。 The infrastructure that IBM uses for collecting data includes a web crawler, that is similar in technology to what Google would use, but is focused on identifying threats and malicious web domains, honeypots and darknets to capture the network communication indicative of malware, and spam traps for obtaining as much spam as possible. IBMがデータを収集するために使用しているインフラは、web クローラー、これは Google が使用しているものに類似しておりますが、脅威、悪意のあるwebドメイン、ハニーポット、そして、ダークネットの把握に焦点をあてています。 Capturing this data is important; equally important is turning the information collected into insights that can integrated with products and help protect an enterprise. これらのデータを収集することは重要です。それと等しく重要なことはこれら収集された情報から洞察した結果を製品へ組み込み可能な形にし、組織の保護の助けとすることです。

IBM Security の規模がもたらす、X-Force の脅威の知見の比類ないグローバルカバレッジとセキュリティナレッジ
契約中のデバイス数: 20,000超 1 日に管理されるイベント件数: 億件モニター対象の国 (MSS) の数: 133 セキュリティー関連の特許件数: 3,700+ マルウェア検知可能なエンドポイント数: 2億7千万分析された Web ﾍﾟｰｼﾞ&ｲﾒｰｼﾞ数: 300億スパム & フィッシング攻撃件数: 800万/日不正なIPアドレス数: 86万文書化された脆弱点の数: 10万マルウェア・サンプルの数: 数百万 IBM X-Force has a long standing history as one of the best known commercial security research and development groups in the world IBM X-Forceは、もっとも良く知られた民間のセキュリティ研究調査および開発組織として長く世界的に知られています。 Can leverage security expertise across IBM to better understand what is happening in security IBM X-Forceは、セキュリティのエリアで何が起きているのかよりよく理解するためにIBM全社のセキュリティ専門知識を有効活用することができます。 Work closely with IBM managed security services group IBM X-Forceは、IBMのマネージドセキュリティサービスグループと緊密に連携しています。 Monitor over 20B security events every day from nearly 4,000 security clients in over 133 countries IBM X-Forceは、133の国に渡る4000近いお客様からの200億件のイベントを毎日監視しています。 Have numerous intelligence sources (IBM X-Forceは、非常に多くの知見の情報源を持ちます:): Global web crawler, probably biggest in world behind Google and Bing 世界中のwebクローラー、おそらくGoogleとBingに次ぐ規模の大きさです。 Spam traps around the work スパムのトラップ database of more than 100k security vulnerability – monitored every day 10万件を超える脆弱点情報の数 International spam collectors 国際的なスパム収集ツール All of this is done to stay ahead of continuing threats for our customers これらは全て、我々のお客様が終わりのない脅威に常に先手を打つために実施しています。 Web crawler is particularly interested in files, images, or pages that contain malicious links or content. Webクローラーは特に、ファイル、画像、または不正なリンクや不正な内容を含むページに重点を置いています。 The team in Kassel Germany who builds our web crawler also developed an anti spam product ドイツのカッセルのチームがこの webクローラーを構築しており、アンチスパムの製品も開発しています。 We have spam traps around the world, receive large amounts of spam so that we can analyze and understand the different types so that we can preemptively block that spam 我々は世界中にスパムのトラップを持っており、大量のスパムを受信しているため、異なる種類 (のスパムを)分析し、理解することができ、その結果、スパムを事前に防御することができます。 Our work covers 4 key areas (我々の仕事は次の4つの分野をカバーします) : Research （調査、研究） Engines （分析エンジン） Content Deliver （個々の脆弱点に対応するセキュリティーコンテンツ） Industry/Customer deliverables – such as this X-Force report, blogs, articles, presentations and speaking engagements （業界やお客様への提供物 – X-Force の報告書、ブログ、記事、プレゼンテーションおよび講演） 2016年4月29日時点

X-Force のグローバルな脅威の知見は広範囲にわたる利点をもたらします
攻撃者情報攻撃キャンペーンインシデント攻撃手口高次の知見観測値と測定された指標脆弱点 URL / Web フィルタリング IP レピュテーション Web アプリケーションコントロールアンチスパムマルウェア Vulnerabilities - Provide reverse engineering and protection against the more than 100K vulnerabilities housed in the X-Force database 脆弱点 – X-Force データベースに保管されている10万以上の脆弱点の情報に対してリバースエンジニアリングや保護を提供しています。 URL/web filtering - Provide access to URL filter databases containing more than 32 billion evaluated web pages and images URL/Web フィルタリング – 320億超の評価されたwebページと画像情報を持つURLフィルターのデータベースへのアクセスを提供しています。 IP reputation - Categorize malicious websites via their IP address into different threat segments, including malware hosts, spam sources and anonymous proxies IPレピュテーション – 不正なwebサイト等をそのIPアドレスを通じて、マルウェアのホスト、スパムの発信元および匿名プロキシーなどの異なる脅威セグメントに分類しています。 Web application control - Identify and provide actions for application traffic (both web-based, such as Gmail, and client-based, such as Skype) Webアプリケーションコントロール – アプリケーションの通信 (Gmailなどのwebベースのものと、Skype などのクライアントベースのものの両方) を識別し、それに対するアクションを可能とします。 Anti-spam - Detect spam using known signatures, discover new spam types automatically, 99.95% accurate, near 0% overblocking アンチスパム –既知のシグネチャーを使用してスパムを検知し、新しい種類のスパムを自動的に発見します。99.95%の正確性、且つ、ほぼ0%の過剰ブロックの精度を実現しています。 Malware - Analyze and help defend against financial malware and fraud, leveraging a network of 270M endpoints across the globe マルウェア –地球上の2億7千万のエンドポイントによるネットワークを活用し、金融マルウェアと金融詐欺に対して分析をし、防衛の手助けをしています。

X-Force Exchange Collection を活用して調査したセキュリティ情報を整理可能
観測値と測定された指標 URL / IP レピュテーション、マルウェア、脆弱点、および関連する添付に関連するレポート高次の知見 Collection のフリーテキストエリアは、識別した情報、攻撃キャンペーン、攻撃手法、情報共有の状況、および、必要に応じた情報などの整理に使用できます。 9

Collaboration （協力可能な仕組み）
共同防衛のための協力体制

共同防衛の阻害要因法的責任に対する恐れ企業内ポリシープロセスの欠如リソースの欠乏信頼関係の欠如
Many companies are not comfortable contributing to collaborative defenses outside their organizations. 多くの企業が、企業外で協力して防衛することに貢献することは心地よいと感じていません: Fear of liability from threat intelligence sharing (脅威の知見を共有することによる法的責任の恐れ) Corporate policies often prohibit threat intelligence to be shared outside of an organization (企業内のポリシーはしばしば脅威の知見を組織の外部と共有することを禁止している) Processes are non-existent within an organization to anonymize and distribute threat intelligence back into the community (組織には脅威の知見を匿名化して、そのコミュニティに配布するためのプロセスが存在しない) Resources are not allocated to define process or operationalize TI sharing back into the community ((脅威の知見を)コミュニティに共有するためのプロセスの定義や ITを運用可能とするためのリソースは割り当てられていない) Trust relationships are not established sufficiently to provide confidence to share (( 情報を)共有するほど信用するまでの十分信頼のおける関係を築けていない)

これらの阻害要因の解決のため、企業はプライベート連携グループとして X-Force Exchangeに参加することができます。
プライベートグループ内で調査情報を共有するコレクション作成し、調査作業のワークフロー運用に活用できます。ここのノートは、おそらく、他のチャートの残骸 Offering Summary Chart with checkpoint objectives and summary risk assessment for the offering. 達成目標とそのチェックポイント、および、そのオファリングに対するリスク評価の要約を含む要約資料の提供 The possible decision outcomes are (考えうる成果は) : Go - Project moves into the next phase. Issues or action items may be identified but project team does not need additional "permission" to proceed. 進める – プロジェクトは次のフェーズに進む。課題やアクション項目は特定できている可能性があるが、プロジェクトチームは進めるための追加の「許可」は必要ない。 No Go - Project is cancelled. Project team conducts an orderly shutdown. 進めない – プロジェクトはキャンセルされる。プロジェクトチームの運用のもと混乱なく活動停止する。 Redirect. - Decision Execution Team does not have sufficient information to make a decision or there is disagreement about the approach/design. Issues or action items must be addressed and information provided back to the Decision Execution Team for a "go" or "no go" decision, リダイレクト – 意思決定エグゼクティブチームは、決定するための十分な情報を持ち合わせていない、または、そのアプローチや設計に関して意見の相違がある。課題やアクション項目は取り組まれなければならず、また情報は「進める」または「進めない」の決定のために、意思決定エグゼクティブチームにフィードバックされる。 Portfolio Management Investment Model （ポートフォリオ管理投資モデル）: Portfolio Management Model ポートフォリオ管理モデル (Terminology and Concepts are from SWG 2015 Business Model 用語とコンセプトはSWGの2015年のビジネスモデルから): Stars are key growth engines. High growth, low development E/R, High profit (upper right quadrant of matrix) Opportunity plays are incubator engines for IBM SWG. Market investments and new initiatives start in this quadrant. New products, starting point for an investment. Grace period 24 months before mandatory reclassification (upper left quadrant of matrix) Power plants are typically profit engines of the portfolio. Moderate to low growth, greater than zero but less than 5% and low E/R (lower than 12%). Underperformers do not contribute to revenue growth while consuming expense that could be applied to fueling opportunity plays or stars. Underperformers require immediate action and are reviewed on a quarterly basis for both action plan execution and progress. Seed is NOT part of the Portfolio Management Model but is an important new option for introducing new offerings quickly to market. This investment phase is typically applied to new bets, innovations and market creation activities. New IBM products where we are creating a new market. Product or offering isn’t fully “commercialized” while we test the market and product viability. The table at the bottom of the chart represents the risk status for each of the areas covered in the rest of the deck. The lowest common status should be represented here. Details on the risks and mitigations that the team want to highlight should be included on the Risks charts on page Color coding guidance: Red=High Risk impacting success metrics - DET assistance requested, Yellow= Medium Risk no impact to success metrics at this time – DET awareness, Green= Low Risk that has been mitigated – DET awareness. 12

業界のコンソーシアムの参加者もこのX-Force Exchange のプラットフォーム上で協業可能です。
そのドメイン名を(含む通信を)発見し、不正な通信を迅速にブロックするためのルールを適用する。それについて当該組織のCISOにX-Force Exchange上で共有する。セキュリティアナリストマルウェアがホスティングされている新しいドメイン名を発見し、X-Force Exchange上でそれを悪意ドメインとして記載。インシデント対応担当者 2 1 業界のグループで共有するため、そのドメイン名を「金融業界を標的とする不正な通信元」という名称の公開コレクションに登録。お客様たちにとってIBM X-Forceのセキュリティ調査員や専門家と直接連絡が可能な初めての機会。人物のプロファイルを参照し、X-Force に貢献している人物を見つけ出すことも可能です。 3 CISO 4 IBM X-FORCE

アクションの実行セキュリティー・ソリューションとの統合

X-Forceの脅威の知見は複数の方法でセキュリティ・ソリューションと統合できます。 SDK、ポータルサイト、API
脅威の知見の統合脅威の知見のユーザーによる使用 IBM Security 自社製品 OEM サイトユーザー Open (Free) API 商用有償API 提供方法 SDK ポータルサイト API 脅威の知見の一覧例 Passive DNS Whois 情報 Collections 高次の知見脆弱点マルウェアマルウェア・ファミリー IP レピュテーション URL レピュテーション Web アプリケーション SDK 提供されるプラットフォーム情報データ & 知見の情報源分析のエンジン

脅威の知見情報へのアクセスのほとんどのニーズを満たすインタフェースが用意されています
脅威の知見情報へのアクセスのほとんどのニーズを満たすインタフェースが用意されています X-Force Exchange SDK X-Force Exchange API クラウドサービスとしての応答時間開発者は開発言語やツールを柔軟に選択できる脅威の知見の全情報にアクセス可低遅延の高速アクセス用に最適化可能 OEM/ASL パートナーシップとして製品に統合コーディングする脅威の知見情報のサブセットにアクセス可

APIにより取得可能な包括的な脅威の知見
兆候情報 / コンテンツ詳細脆弱点情報リスクスコア (CVSS), エクスプロイトの特徴, エクスプロイトがもたらす結果, 対処情報, 影響を受ける製品, 防御情報 (e.g. IPSシグネチャー情報, 脆弱点検査の内容), および外部参照情報マルウェア性質, ハッシュ値, 最初の発見情報, マルウェア・ファミリー, ベンダーの対応状況 (%), ダウンロード源, コマンド・アンド・コントロール・サーバー情報, 電子メールの送信元, および電子メールの件名マルウェア・ファミリー最初および最後の観測情報, および関連するハッシュ値 (MD5) IPピュテーションリスクスコア (1-10), 地域場所, 関連するアプリケーション, 関連するマルウェア, カテゴリー情報 – 信頼度(1-100%)の現在値と履歴, Passive DNS 情報, サブネットのレピュテーション情報 URL レピュテーションリスクスコア (1-10), 関連するアプリケーション, カテゴリー情報 – 現在と履歴, DNS 情報 Web アプリケーションリスクスコア,カテゴリー情報, ベースURL, 脆弱点,ホスティングしている群, ホスティングしているIP pDNS パッシブ DNS 情報 Whois 情報ドメインの登録情報 – 名前, 組織, 国, および電子メール IBM Network Protection 月次 XPU の内容, 各シグネチャーの情報, リリース日, カバーされている脆弱点 Collections 特定のセキュリティ調査について収集整理、要約された(構造化および非構造化) 内容. より高次な知見コレクションの内容として、攻撃キャンペーン、攻撃者情報、ツール、手口、手順、行動指針、セキュリティの指標となる情報等のCybox (*1) オブジェクト (*1)サイバー攻撃観測を記述するための言語形式

オープンな標準を使用することで、既存のシステムとの相互運用性を最大化します。
JSON RESTful API STIX / TAXII 標準のサポート脅威の知見を対象とする query / response モデルを基盤とするAPIクエリーベーシック認証を活用通信の負荷を支えるロードバランス Node SDKモジュールが使用可能 exchange-node-sdk-now-available/ Javascript のAPIインタフェース脅威の知見にサクセス可能とするTAXII サービス STIX/Cybox オブジェクトのサポート

X-Force Exchange API 脅威の知見情報にWebブラウザーではなく、簡易ツールや他のプログラムからアクセスしやすくするAPIです。 - 発表日 : 2016 年 6 月 14 日発表レター毎月5,000レコードを越えて情報取得する場合は有料となります。 - API一覧 Authentication Generate API Key and Password Collections Get Collection by ID Get Collection as STIX Markup Get public Collections Get shared Collections Get private Collections Search public Collections Get Collection Report Types Upload Collection File Attachment Delete Linked Collection Get linked Collections Add Collection link Get Attachments Import Reports Get Attachment by ID Get file attachment DNS Get DNS records Internet Application Profile Get all App Profiles Search App Profiles Get App Profile by Name IP Reputation Get IPs by Category Get IP Report Get IP Reputation Get Malware for IP Malware Get Malware for MD5 checksum Get Malware for Family Wildcard search Malware by family Signatures Get Signature by PAMID Search Signatures Get by XPU TAXII Read/Write TAXII Data URL Get URLs by Category Get URL Report Get Malware for URL User Get User Information Version Information Get Current Version Vulnerabilities Get Recent Vulnerabilities Search Vulnerabilities Get by XFID Get by STDCODE Get by Microsoft Security Bulletin ID WHOIS Get WHOIS information

X-Force Exchange API 標準価格 (2017年9月27日時点)
プログラムID 課金対象 Passport Adv 発注パーツ番号説明標準価格 (税抜き/月額) 5737-A31 IBM X-Force Exchange Commercial API IBM X-Force Exchange Commercial API Pack of 10K D1NIILL 一月あたり10000レコードおよびサブスクリプションとサポート 277,200円 D1NIJLL 一月あたり10000レコードおよびサブスクリプションとサポート(超過分) 304,900円 IBM X-Force Exchange 商用 API SLA D1NIKLL Service Level Agreement年額 (単品の注文は出来ません) 無料 ※ 取得するレコード数が5000レコード/月を越える場合、有料ライセンスが必要になります。 ※ Malware カテゴリーの IP 情報一覧は無料ライセンスではAPIによる取得ができません。参考 X-Force Exchange API 文書 :

X-Force Exchange API 使用条件抜粋
自社のサービスや製品に使用できる? サービス定義 6.2.2 IBM コンテンツ「IBM コンテンツ」は IBM が所有するもの、またはラインセンスによって IBM に提供されたもの、またはその他の理由により IBM が使用できるものをさします。IBM、そのライセンサーまたはサプライヤーは、「IBM コンテンツ」のすべての権利、権原、および権益を保持します。「IBM コンテンツ」の著作権は、米国またはその他の国の著作権法に基づき、IBM、IBM のライセンサーまたは IBM のサプライヤーに帰属し、また、所有権および知的財産権にかかわる法律の適用を受けます。本「サービス記述書」に従うことを条件に、サブスクリプション期間中、IBM はお客様に、以下のいずれかの場合、「IBM コンテンツ」に「クラウド・サービス」を通じてアクセスする非独占的かつ譲渡不可能な制限付きライセンスを付与します。(i) お客様の調査および脅威調査をサポートするためのお客様による個人使用、または (ii) 「IBM コンテンツ」をお客様の製品への統合。お客様は「IBM コンテンツ」または「クラウド・サービス」の大部分またはコンテンツ全体を複製することはできません。お客様は、「IBMコンテンツ」に含まれる、または「IBM コンテンツ」に添付されるすべての著作権表示、情報、および制限に従うものとし、「IBM コンテンツ」に含まれるテキスト、著作権、またはその他の財産権表示を削除しないものとします。お客様は、「クラウド・サービス」に関連するアクセス制限を回避することはできません。IBM は、お客様がアクセス制限を回避したり、回避しようとしたりした場合を含めて、IBM は自らの裁量で、お客様による「クラウド・サービス」へのアクセスを終了または中断できます。お客様が「IBM コンテンツ」をお客様の製品に取り込む場合、お客様は、エンド・ユーザー契約の作成および遂行に対して責任を負います。当該契約は、契約によってエンド・ユーザーに拘束力を持つものでなければなりません。さらに、当該契約は以下を実行するものでなければなりません。(a) 債務を相当額に制限する、(b) 第三者サプライヤーが、結果的損害およびその他の間接的損害ならびに黙示の保証 (商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任の保証を含みます。) に対するあらゆる債務を放棄していることを明確に示す、(c) お客様およびその第三者サプライヤーの連帯責任にはエンド・ユーザー契約における責任の制限が適用されることを言明する、(d) お客様のエンド・ユーザーがエンド・ユーザー契約に起因するすべての請求または損害に対して利用できる救済手段はいずれもお客様に対してのみであり、第三者サプライヤーに対するものではないという記述を含む、(e) お客様の製品またはサービスとは別の「コンテンツ」をエンド・ユーザーが使用するのを許可しない、および (f) お客様のエンド・ユーザーが「コンテンツ」を再使用許諾したり、その他の手段での再配布を許諾するものではない。

X-Force Exchange SDK バージョン (2017年9月20日時点) 互換性 Fedora Core 3 32/64-Bit 互換性 Windows (2000 and up) 32/64-Bit 互換性 CentOS Bit 互換性 Ubuntu /64-Bit 互換性 Ubuntu /64-Bit 互換性 Redhat Bit 互換性 SLES Bit 互換性 Debian 5 32-Bit サポートするコンパイラ Linux版 gcc, Windows版 Microsoft Visual Studio 2008 SP1 およびそれ以上その他、必要なサードパーティーライブラリありこのSDKは、OEMパートナーシップ形態であるASLライセンス契約を通じてのみ提供可能です。スモールスタートであれば、まずAPIの使用をお勧めいたします。 IBM Security Content Analysis Software Development Kit (別名X-Force Exchange SDK): 脅威の正確かつ最新の知見情報の3種類にアクセス可能です : (1) 250億超のwebページと画像のURL カテゴリー情報、 (2) 860,000超のIPレピュテーション情報、および (3) 3900のwebアプリケーション情報 APIと比較し、ローカルにDBを持たせるため、高速なアクセスが可能

お客様に提供される価値成功事例

X-Force Exchange 採用事例 (小売チェーン) 導入効果お客様の声 ①複数ツールの置き換え ②調査時間を削減
③効率的なコラボレーション『潜在的な脅威を発見したら直ぐに検証するために、信頼できるツールと施設が必要です。1分を争うような場面で、X-Force Exchange は、信頼性の高い実用的な脅威インテリジェンスを一箇所で提供してくれるという点でとても貴重なツールです。 6、7個あった、悪意のある活動を検証するツールをX-Force Exchange 1つに置き換えることができました。問題の調査時間を削減し、調査精度を向上させることができました。また、コレクション機能で、効率よくコラボレーションすることで、手書きメモやIP、 URLだらけのテキストファイルは過去のものになりました。』

IBM X-Force Exchangeは、オープンな標準を通じて、 SOC(セキュリティー・オペレーション・センター)のアナリストが行動することを可能とする脅威の知見の包括的なポートフォリオの一部となります。 X-Force Exchangeのユーザーは、例えばあるAPTに関連する特定の調査において観察した結果のコレクションを閲覧または作成できます。 Soltra Edge はX-Force Exchage から TAXII を通じて脅威の知見を取り込み、ある調査に関連する特定の情報を絞り込むことができます。 IBM QRadar SIEMは、ユーザーがSoltraから取り込んだ脅威の知見に基づきAPT攻撃を検知し、阻止するため、の行動をとることができます。

Mandatory Thank You Slide (available in English only).

付録

X-Force セキュリティー・チームはIPレピュテーション・データを特定の脅威カテゴリーに分類します
Web クローラー脅威の分類マルウェアのホストスパム発信源ダイナミック IP 匿名プロキシーボットネットのコマンド・アンド・コントロール・サーバースキャン元 IP 電子メールリスト異常なセキュリティー・イベントスパムトラップハニーポット監視されているエンドポイントダークネット

URLとIPアドレスの分類と点数付けは複数の分析の組み合わせの結果です。
キーワード検索とテキスト分類の知見がwebサイトのテキスト・コンテンツを分析するために使用されます。テキストの分類画像分析技術により画像中の皮膚の色調の集中部を検出し、また、顔認識技術が人物を検出することができます。視覚的ポルノ画像検知特定の構図・記号、禁止されている記号、そしてブランドの登録商標やロゴについて画像を分析することができます。視覚的オブジェクト検知画像文字認識 (OCR) により、画像中のテキストの分類を促進します。視覚的画像文字認識 Webサイトがお互いにどのようにリンクしているか、詳細に構造分析することで、関連するリンクの分類を促進します。構造およびリンク分析 Text Classification The keyword search determines which Category the words belong to, depending on the occurrence of certain words. キーワード検索により、ある単語の存在に依存しますが、どのカテゴリーにその検索単語が属しているかを決定します。 One disadvantage of this procedure is that many words have different meanings (e.g., “sex”) and therefore are difficult to categorize. この手順の難点の一つは、多くの単語が複数の異なる意味をもつことで (例 sex)、またそれゆえに分類が難しいことです。 The advantages of this procedure include high performance and easy configuration.この手順の利点はパフォーマンスが高いこと、設定が簡単なことです。 Also, this method operates well when only a few words are available, for example when classifying a URL.また、この方法は単語数が少ない場合にはよく機能します。例えば、URLを分類する場合です。 In addition to classifying on the basis of single words, intelligent text classification also classifies on the basis of frequency and word combination. 一単語を元に分類することに加え、知見に基づくテキストの分類は単語の頻度と組み合わせに基づいています。Text is classified using word heuristics and word combinations together with support vector machines for the final decision process.テキストの分類は、単語ヒューリスティックと単語の組み合わせを総合し、最終決定プロセスにはベクトルマシンの補助を受けて、行われます。 The X-Force text classification technology has a very high reliability; therefore, basically no errors occur if the number of words is large enough. X-Forceのテキスト分類技術は非常に高い信頼性を持ち、それ故に、単語数が十分多い場合には基本的にエラーは生じません。訳注 (英語についての記述です。) Both text analysis methods can be applied to different sources.テキスト分析手法は異なる情報源に適用できます。For sources with only a few words, the keyword classifier is preferred, e.g., OCR, URL, or filename. For longer text information, e.g., whole Web sites, text classification is chosen. 数単語しかない情報源、例えば OCR, URL, またはファイル名、については、キーワード分類がより好まれます。より長いテキスト情報に関しては、例えば web サイト全体、テキスト分類が選択されます。 Visual Porn Detection If a face is detected in an image, a color sample is taken from that area as reference for the skin color.もし、画像中で顔が検出された場合、肌の色についてのリファレンスとして、色のサンプルはそのエリアから取得します。This type of recognition is very reliable because the information about the skin tone is taken directly from the face.この種の認識は非常に信頼性が高いです。何故なら、肌の色調の情報を顔から直接取得しているからです。 This also decreases overblocking, since portrait images are not rated as pornographic.これはまた、肖像画像をポルノと判定しないため、過剰なブロックを減らします。 If a face is not present in an image, the algorithm uses a statistical representation of the skin tone as an approximation.顔が画像内に存在しない場合、このアルゴリズムは近似値として肌の色調の統計的表現を使用します。 Structure and Link Analysis 構造およびリンク分析 For example, if a Web site has 10 consecutive links to other Web sites, and 9 of those 10 are pornographic, then the probability that the 10th Web site is also pornographic is higher.例えば、あるWebサイトが、他の複数のwebサイトへの10個の連続するリンクを持っており、この10個のうちの9個がポルノであるばあい、10個目のwebサイトもポルノである可能性がより高いです。 Spyware Directly integrated into the crawling and analysis process, all binaries and installation packages are subject to spyware inspection.クローリングと分析のプロセスに直接統合されていますが、すべてのバイナリーおよびインストールパッケージはスパイウェア検査を受けます。 The X-Force filter database also contains the Internet hosts that known spyware programs use for communication (“phone home” sites). X-Force のフィルターデータベースはまた、スパイウェアプログラムが通信に使用するインターネット上のホスト (「phone home」サイト)を含みます。 Overall Classification This is a very important step in overall categorization.これは全体分類のなかで非常に重要なステップです。 The combination of multiple methods can resolve ambiguities: for example, when a Web site contains images showing nude content but the surrounding text contains medical or educational information.複数の手法の組み合わせが曖昧さを解決することができます: 例えば、ある Web サイトが複数のヌード画像を含んでおり、しかし、周りの文字列が医療または教育の情報を含む場合です。 In this situation, ratings from the other analysis methods become very important for the final classification.この状況では、最終的な分類には、他の分析手法による分類が非常に重要です。 Therefore, a combined weighted rating of multiple analysis methods is essential to achieve the highest quality in the categorization process.従って、複数の分析手法に組み合わせによる点数の重み付けは、分類処理中で最高品質を達成するための基幹要素です。 Multiple Languages 複数言語 Only a fraction of the analysis algorithms require language-specific tuning (text classification and visual optical character recognition).分析アルゴリズムのほんの一部のみが言語特有の調整(テキストの分類と視覚的文字認識)を必要とします。 For each Web page, language is determined automatically, and language-specific modules are used for text classification.各webページに対して、言語は自動的に決定され、また、言語特有のモジュールがテキストの分類に使用されます。 For the training of language-specific modules, X-Force has linguistic experts who currently cover the following languages: English, Spanish, French, German, Portuguese, Italian, Russian, Polish, Chinese, Japanese, Korean, Arabic and Hebrew.言語特有モジュールのトレーニングについては、X-Forceには言語の専門家らがおり、現在次の言語を網羅しています: English, Spanish, French, German, Portuguese, Italian, Russian, Polish, Chinese, Japanese, Korean, Arabic and Hebrew. スパイウェアシグネチャーの一致および振る舞い分析により、疑わしいファイルを検出し、発信元のURLはスパイウェアに分類されます。

Webアプリケーションはいくつかのリスク要因に基づき点数付けされます。
暗号化されていない接続で提供されるコンテンツの量の比率で点数付けセキュアでない通信路そのアプリケーションがファイルのアップロードをサポートしている場合にはより高い(危険な)スコアとなる。これは情報漏えいのリスクが増えるため。アップロードの可否ホスティングしているIPのレピュテーション情報悪いレピューテンション情報を持つIPアドレスの数の比率で点数付けリンク先のカテゴリー情報疑わしいコンテンツを含む外部リンクの数の比率で点数付け Unsecure Communication (安全でない通信路) – a higher score for more content provided over unencrypted connections. 暗号化されていない接続で提供されるコンテンツの量の比率でより高い点数 Upload Possible (アップロードの可否) – a higher score if the application supports file uploads, which bears the risk of data leakage. そのアプリケーションがファイルのアップロードをサポートしている場合にはより高い(危険な)スコアとなる。これは情報漏えいのリスクが増えるため。 Host IPR (ホスティングしているIPのレピュテーション情報) – a higher score in proportion to the amount of IPs with bad reputation. 悪いレピューテンション情報を持つIPアドレスの数の比率でより高い点数 Link Categorizations (リンク先のカテゴリー情報) – a higher score in proportion to the amount of external links with suspicious content.疑わしいコンテンツを含む外部リンクの数の比率でより高い点数 Malware (マルウェア) – a higher score in proportion to the number of associated URLs hosting malware.マルウェアをホスティングしている関連URLの数の比率でより高い点数マルウェア・ホストの情報マルウェアをホスティングしている関連URLの数の比率で点数付け

協力可能な脅威の知見と迅速な対応を可能とする統合環境

Similar presentations

Presentation on theme: "協力可能な脅威の知見と迅速な対応を可能とする統合環境"— Presentation transcript:

Similar presentations

About project

フィードバック

ログインする

Auth with social network:

協力可能な脅威の知見と迅速な対応を可能とする統合環境

Similar presentations

Presentation on theme: "協力可能な脅威の知見と迅速な対応を可能とする統合環境"— Presentation transcript:

Similar presentations

About project

フィードバック