More Related Content
Similar to 【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
Similar to 【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル (20)
More from シスコシステムズ合同会社 (20)
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
- 2. Cisco Public 2© 2013-2014 Cisco and/or its affiliates. All rights reserved.
セキュリティにおけるチャレンジ
ビジネス モデルの変革 日々変わる脅威の様相 複雑さと断片化
- 9. Cisco Public 9© 2013-2014 Cisco and/or its affiliates. All rights reserved.
セキュリティ侵害のインパクト
侵害発生
START
- 10. Cisco Public 10© 2013-2014 Cisco and/or its affiliates. All rights reserved.
セキュリティ侵害のインパクト
HOURS
侵害発生 60% の情報漏洩
は数時間内に発
生
START
- 11. Cisco Public 11© 2013-2014 Cisco and/or its affiliates. All rights reserved.
MONTHS
セキュリティ侵害のインパクト
HOURS
侵害発生 60% の情報漏洩
は数時間内に発
生
66% のセキュリティ侵害は
数ヶ月間発覚しないまま
START
- 12. Cisco Public 12© 2013-2014 Cisco and/or its affiliates. All rights reserved.
YEARSMONTHS
セキュリティ侵害のインパクト
HOURS
侵害発生 60% の情報漏洩
は数時間内に発
生
66% のセキュリティ侵害は
数ヶ月間発覚しないまま
過去3年間に7億
5000万 以上の個人
情報がブラックマー
ケットに流出
START
- 16. Cisco Public 16© 2013-2014 Cisco and/or its affiliates. All rights reserved.
シスコが 1日で目にするものは…
- 17. シスコでの事例
130億/日
NetFlow レコード
22TB/日の
トラフィックを検査
40億 /日
DNS レコード
750GB/日 の
システムログを収集
20億イベント / 日
Splunkでの収集
600万/ 日のトラフィックを
WSAで処理
すべてのトランザクショ
ンの 1% にあたる
マルウェアをWSAが自
動的にブロック
400以上のアプリケーション
サービス プロバイダー
12重要なエンタープライズ
向け実環境データセンター
NetFlow
DLP
ディストリビューション
ゲートウェイ
ロードバランサー
ネットワーク
IDS
Advanced Malware
Detection
アクセスレイヤ
スイッチ
フルパケットキャプチャDNS コレクション
- 18. 標的型攻撃(APT) 検知技術の比較
サンド ボックス
NG SIEM
グラフ解析
良い点: 自動的で証明済のテクノロジー
悪い点: マルウェアは変化して回避する
良い点: テクノロジーの効果は証明済
悪い点: ログによる分析は限定的
良い点: APTを示唆する異常値を検知
悪い点: モデルを読み込ませるのに時間
がかかる
- 19. 脅威への防御にビッグデータ アプローチを採用する理由
巧妙化する攻撃者 – あからさまなセキュリティ脅威よりも、標的
型攻撃やステルス攻撃が大幅に増加
各種ソースからの変化の激しい多様なデータを詳細にわたり分析
フルパケット キャプチャのリアルタイム分析およびリアルタイム
データと過去データの相関関係
グローバルな脅威インテリジェンスを利用した既知の脅威や異常
に対する防御
- 20. データを Hadoop に
取り込むツール
脅威防御のためのビッグデータ アーキテクチャ
Flume
Kafka
Sqoop
Qpid
RabbitMQ
ストリーミング処
理
Storm
Akka
ログ データ
NetFlow
HTTP
ユーザ データ
履歴データ
CIF
SIO
その他の外部
テレメトリ
脆弱性データ
フル パケット
キャプチャ
ストリーム
Qosom
クラウド
インテリジェンス
HDFC
インタラクティブな
SQL 検索
Apache Drill
Impala
Hadapt
Stinger
ElasticSearch
グラフ処理
Titan
Neo4J
InfiniteGraph
SIRT
アプリケーション
人
プロセス
ツール
- 22. セキュリティ インテリジェンス オペレーション
Cisco Security Intelligence Operations(SIO)
500 人以上のセキュリティ専任エンジニア、調査
スタッフ、セキュリティ アナリスト
業界トップ クラスの分析システムとグローバルな連携
70 万個以上のグローバル センサー
20 ヵ所のグローバル セキュリティ センター
SIO
グローバル
インテリジェンス
- 24. Cisco Public 24© 2013-2014 Cisco and/or its affiliates. All rights reserved.
日々変化していく状況への対策
Cisco® Managed Threat Defense:
予見的分析と最新のセキュリティ インテリ
ジェンスにより既知・未知の脅威を特定
セキュリティ イベントのライフサイクルを運用
化
脅威管理 に特化した運用
アウトオブバウンド管理にてお客様オンプレ
ミスにすべての収集情報を保管
セキュリティ
イベント
Remediation
復旧
Detection
検出
Mitigation
軽減
Confirmation
確認
- 25. Cisco Public 25© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Managed Threat Defenseとは
Cisco® 次世代型分析運用プラットフォーム
Analytics Platform
セキュリティ インテリジェンス
情報の活用
SIO
GLOBAL
INTELLIGENCE
人工知能による
分析アルゴリズム
COSECOGNTIVESECURITY
24 時間の遠隔監視と
サポート
クラウドによる分析モデル
- 26. Cisco Public 26© 2013-2014 Cisco and/or its affiliates. All rights reserved.
エキスパートによる知見と機械学習の統合
Managed Security Services
(e.g. MSS) ・In-House SOC
現在一般的に企業に導入され
ているモデル(境界部中心)
セキュリティのイベントの監
視・管理を実施(ファイア
ウォール上の許可・禁止のイ
ベント、IPSでのイベント検知、
Sandbox上でのトラップ)
多くの脅威に効果あり
- 27. Cisco Public 27© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Managed Threat
Defense
Knowledge-Based
エキスパートによる知見と機械学習の統合
Managed Security Services
(e.g. MSS) ・In-House SOC
現在一般的に企業に導入され
ているモデル(境界部中心)
セキュリティのイベントの監
視・管理を実施(ファイア
ウォール上の許可・禁止のイ
ベント、IPSでのイベント検知、
Sandbox上でのトラップ)
多くの脅威に効果あり
高付加価値のアセットへの
セキュリティ にフォーカス
見つけ出したい既知の脅威
を見つけるのに効果的
シスコSIOやサード パーティ
が提供するインテリジェンス
を活用
Flumeによるログのストリー
ミングを利用し、リアル タイ
ムに近い処理を実施
- 28. Cisco Public 28© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Managed Threat
Defense
Machine-Learning
Managed Threat
Defense
Knowledge-Based
エキスパートによる知見と機械学習の統合
Managed Security Services
(e.g. MSS) ・In-House SOC
現在一般的に企業に導入され
ているモデル(境界部中心)
セキュリティのイベントの監
視・管理を実施(ファイア
ウォール上の許可・禁止のイ
ベント、IPSでのイベント検知、
Sandbox上でのトラップ)
多くの脅威に効果あり
高付加価値のアセットへの
セキュリティ にフォーカス
見つけ出したい既知の脅威
を見つけるのに効果的
シスコSIOやサード パーティ
が提供するインテリジェンス
を活用
Flumeによるログのストリー
ミングを利用し、リアル タイ
ムに近い処理を実施
高付加価値のアセットへの
セキュリティにフォーカス
機械学習した不正行動の分
析結果を元に、未知の脅威
を見つけるのに効果的
リアルタイム性はトラフィック
量に依存
MapReduceによるビッグ
データ解析技術を活用
- 29. Cisco Public 29© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Managed Threat Defense サービス
実践的なセキュリティアプローチ
アプローチのステップ
ネットワークプロファイルを作成し、プロファイルに基づいた監視を実施
フルパケットキャプチャおよびプロトコルメタデータを収
集分析
機械学習アルゴリズムとグラフ分析手法により不自然
な活動を検出
知見の高いAnalystにより脅威を確認・特定
Investigatorによるアタックベクタの調査を実施
取るべき対応策や軽減策を顧客向けに提供
フルパケットキャ
プチャとパケット
メタデータの収集
Cisco
Advanced
Threat
Detection
データの一元
化と標準化
侵入検知
Emailトラフィッ
クへの高度化
されたマルウェ
ア検出
Webトラ
フィックへの
高度化され
たマルウェ
ア検出
ON-PREMISE
SOLUTION
- 30. Cisco Public 30© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Managed Threat Defense (MTD)
IntelligentVisibilitySwitch
顧客環境へのオンプレミス
Sourcefire
Full Packet
Capture
Advanced
Analytics
Metadata
Extraction
Manage
- 31. Cisco Public 31© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Managed Threat Defense (MTD)
IntelligentVisibilitySwitch
顧客専用セグメント
管理者コンソール
ポータル
INTEL
チケッティング
脅威情報ナレッジベース
顧客専用ポータルサイト
アラート・チケットシステム
アナリストポータル
認証サービス
顧客環境へのオンプレミス シスコ
データセンター
FIREWALL
FIREWALL
Sourcefire
Full Packet
Capture
Advanced
Analytics
Metadata
Extraction
Manage
- 32. Cisco Public 32© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Managed Threat Defense (MTD)
1
2
3
4
5
6
IntelligentVisibilitySwitch
顧客専用セグメント
管理者コンソール
ポータル
INTEL
チケッティング
Netflow
Syslogs
脅威情報ナレッジベース
顧客専用ポータルサイト
アラート・チケットシステム
アナリストポータル
認証サービス
24/7
ACCESS
顧客
SOC
Passive
Network Tap
Secure Connection
(HTTPS/SSH/IPSec)
VPN
INTERNET
VPNVendor
Agnostic
Telemetry
顧客環境へのオンプレミス シスコ
データセンター
FIREWALL
FIREWALL
Sourcefire
Full Packet
Capture
Advanced
Analytics
Metadata
Extraction
Manage
- 33. Cisco Public 33© 2013-2014 Cisco and/or its affiliates. All rights reserved.
MTD 分析エンジン コンポーネント
6
1
2
3
5
4
AccessControl
NetFlow / HTTP1
DirectConnection
PassiveTap/Intelligent
VisibilitySwitch
Kvasir
① Context database
② NetFlow / HTTP anomaly detection
③ Log aggregation / analytics
④ Metadata aggregation / analytics
⑤ Full packet capture
⑥ IDS / AMP (5.3)
⑦ Threat intelligence
Component
Flume
Qosmos
SIRTApplication
Defense
Center
Log Telemetry2
Vulnerability Data
Elasticsearch
REST
HDFS
Flume
FlumeFlume
FlumeFlume
FlumeFlume
FlumeFlume
Kafka
Storm
Kafka
Stinger
JDBC
Flume CIF7
IDS
AMP
CTA
(Cisco Cloud)
AMP
(Cisco Cloud)
MR
- 34. Cisco Public 34© 2013-2014 Cisco and/or its affiliates. All rights reserved.
インシデント ポータル サイト
- 35. Cisco Public 35© 2013-2014 Cisco and/or its affiliates. All rights reserved.
- 36. Cisco Public 36© 2013-2014 Cisco and/or its affiliates. All rights reserved.
- 37. Cisco Public 37© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Heartbleed: Day1
4/10/14 19:20 X.X.X.X United StatesUSA A.A.A.A United StatesUSA
443 (https) / tcp 49826 / tcp SERVER-OTHER TLSv1.1 large heartbeat
response - possible ssl heartbleed attempt (1:30516)
4/10/14 19:22 Y.Y.Y.Y United StatesUSA B.B.B.B SwitzerlandCHE 443
(https) / tcp 43126 / tcp SERVER-OTHER TLSv1.1 large heartbeat
response - possible ssl heartbleed attempt (1:30516)
4/10/14 19:28 Z.Z.Z.Z United StatesUSA B.B.B.B SwitzerlandCHE 443
(https) / tcp 43126 / tcp SERVER-OTHER TLSv1.1 large heartbeat
response - possible ssl heartbleed attempt (1:30516)
- 38. Cisco Public 38© 2013-2014 Cisco and/or its affiliates. All rights reserved.
シスコにおけるサイバー セキュリティ へのアプローチ
お客様
SIO
セキュリティ
R&D
Cisco-on-
Cisco
(CSIRT)
セキュリティ
サービス
セキュリティ
ソリューション
&プロダクト
- 39. Cisco Public 39© 2013-2014 Cisco and/or its affiliates. All rights reserved.
シスコにおけるサイバー セキュリティ へのアプローチ
お客様
SIO
セキュリティ
R&D
Cisco-on-
Cisco
(CSIRT)
セキュリティ
サービス
セキュリティ
ソリューション
&プロダクト
お客様ネットワーク
MTD
シスコ
テクノロジ
Cisco CSIRT
モデル
Security
Intelligence
Operation
(SIO)