Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
* 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
<Seminar>
シスコシステムズ合同会社
セキュリティ事業 コンサルティングシステムズエンジニア
豊島 かおり
シスコ スイッチが標的型攻撃を食い止める
~新しい内部対策...
セキュリティ侵害がビジネスに与える影響
情報漏洩により発生するコストの上昇
380万ドル
(2015年)
350万ドル
(2014年)
情報漏洩事故1件あたりの
対応コスト
漏洩もしくは失った機密
1レコードあたりのコスト
154ドル
(201...
情報侵害、漏洩の発見にかかる時間
参考: Cisco Annual Security Report, 2016
Less than
1 Day
100 VS.
日
業界平均 Cisco
参考:Verizon社 2015年度 データ漏洩/侵害調査...
過去5年間に見る情報漏洩の仕組み
ターゲットの下調べ
フィッシング メールの
リンクをクリック
バックドア確保・マルウェアの埋込
権限取得が出来るまで攻撃を続ける
アドミン権限取得
アドミン権限を使って情報を抽出
取得した情報の売買
新たに追加すべきセキュリティ対策
可視化、制御
(内部対策)
発見的防御
(出口対策)
予防的防御
(入口対策)
内部対策:NW機器をセンサーとし、トラフィックの可視化を行い、脅威を抑止する
6
ネットワーク監視機能の拡張
1.一般的なネットワーク監視 – SNMP/Syslog
2. 内部通信の見える化 – Network as a Sensor ステップ 1
4. ネットワーク隔離 – Network as an Enforce...
7
4. ネットワーク隔離 – Network as an Enforcer
ネットワーク監視機能の拡張
1.一般的なネットワーク監視 – SNMP/Syslog
ネットワーク セキュリティ
分野でのNetFlowの活用
2. 内部通信の見える...
8
• シスコシステムズが開発、1996年にパテント取得
• トラフィック情報収集のデファクト スタンダード
• ネットワーク トラフィック監視、セキュリティ監視、ネット
ワーク プランニング、トラフィック解析、IPレベルの課金な
どに利用され...
NetFlowを使ってこんな事ができます
• ネットワーク内の全ての通信の追跡
• スイッチ、ルータ、ファイアウォールなどネットワーク内
の至る所でのデータ採取可能
• ネットワーク使用状況の把握
• ユーザからユーザへの横の通信も可視化
• ...
NetFlowはネットワークの通話請求書
通話請求書
Flow Record
可視性を高めると見えてくる情報
一般的な可視化情報 NetFlowによる可視化情報
192.168.19.3
10.85.232.4
10.4.51.5
192.168.132.99
10.43.223.221
10.200.21.110
10...
Catalyst
3850
Catalyst 6500/6800
Catalyst
3650
Catalyst
4500-X
Catalyst 4500E
コア
ディストリ
ビューション
アクセス
Flexible NetFlow 対応スイッチ...
デバイス
Catalyst
3850/3650
Catalyst® 4500
Sup7E/LE/8E
Catalyst® 4500
Sup7E/LE/8E
Access Point
Access Point
アクセス ディストリビューション/コ...
Cisco StealthwatchによるNetFlow解析
端末、サービス
の検知
侵入、攻撃の
痕跡 (IOC)
の検知
侵入痕跡の
解析と脅威へ
の応答
ネットワーク内での
基幹系アプリや
サービスの明確化
ポリシーに基づく
セグメント化...
ネットワーク傾向監視
Network Dashboard
インバウンド/アウトバウンド
アプリケーション トラフィック
トップホスト、ピア
DDoS Dashboard
端末、サービス
の検知
セグメント間通信の監視
PCI ゾーンマップ
全体的なシステムのプロファイル
システム間の通信
重要サーバへの通信を監視
端末、サービス
の検知
脅威の振る舞い検知
振る舞い検知のアルゴリズムを基にしたセキュリティ イベント
セキュリティ イベント
(94以上のアルゴリズム)
アラーム カテゴリー 応答
Addr_Scan/tcp
Addr_Scan/udp
Bad_Flag_ACK**...
Indicator of Compromise(IoC)
ウイルス シグネチャ
ログ解析
URLs
外部通知
振る舞い解析
フロー解析
セキュリティ インシデントに繋がると想定される怪しい動きが観察される事
異常検知
ファイル ハッシュ
IPア...
長い時間の通信を検出:
Suspect Quiet Long Flow
Inside Host – Outside Host の通信が異常に長い時間行われている
32.4k 秒 = 9時間がここでの閾値設定
侵入、攻撃の痕跡
(IOC)の検知
データ流出の兆候:
Data Hoarding Suspect Data Hoarding:
• 異常な量のデータが複数のホスト
から1つのホストへ流れている
Target Data Hoarding:
• 異常な量のデータが1つのホストから複...
感染拡大を検知:
Worm Activity Worm Activity/Propagation
• Wormが 445/TCP を使って動いている事を検知
侵入、攻撃の痕跡
(IOC)の検知
感染拡大を検知:
Worm Propagation
Worm Activity/Propagation
• Wormの感染拡大が一目瞭然
侵入、攻撃の痕跡
(IOC)の検知
シグネチャ
アノーマリ 振る舞い
高度攻撃の検出方法の比較
シグネチャ = オブジェクトをブラックリストで定義
• IPS, アンチウイルス, コンテンツフィルタ
振る舞い = 被害者の振る舞いをブラックリストで定義
• マルウェアサンドボック...
対話型フロー レコード
• 大企業レベルのトラフィック フローをサポート
• 優れた圧縮技術によってログを長期間保管可能
いつ 誰が
Where
どのように
誰と
詳しいコンテキスト
情報
何を
侵入痕跡の解析と
脅威への応答
31
データ流出のアラートをドリルダウン
アラートのドリル ダウン:詳細の確認
内部からプエルトリコに13.38GB
のデータ量をP2Pで送信
侵入痕跡の解析と
脅威への応答
導入事例: 石油サービス企業
• Lancope Stealthwatch 導入から数週間で重要ファイルの大量ダウンロードを検知
• ISEとの連携により盗まれたログイン情報のユーザまで特定
• 情報漏洩先が中国であると特定
34
ネットワーク監視機能の拡張
1.一般的なネットワーク監視 – SNMP/Syslog
ネットワーク セキュリティ
分野でのNetFlowの活用
2. 内部通信の見える化 – Network as a Sensor ステップ1
3. 脅威の...
通信(タグ伝搬) 制御分類 分類
セキュリティ属性に基づく通信分離
専用ターミナル 基幹サーバ
医療機器 BYOD端末
感染PC 管理者PC
開発環境 本番環境
業務端末 怪しいサイト
多様なセグメンテーション オプション
アクセス層
バックボーン
音声
VLAN
音声
データ
VLAN
従業員
集約層
サプライヤ
ゲスト
VLAN
BYOD
BYOD
VLAN
不適格
隔離VLAN
VLAN
アドレス
DHCPプー
ル
冗長...
製品連携による迅速な端末隔離
Network as an Enforcer
NetFlow
次世代IPS
FireSight
ISE
脅威の検知
API
API
Web
Access
Policy
ASA Policy
SW
リモート アクセス...
まとめ
シスコ ネットワークに組み込まれたセキュリティ対策機能
エンフォーサとしての
ネットワーク
センサーとしてのネットワーク 封じ込めの迅速化
侵入範囲の拡大を抑え、動的でき
め細かいアクセス制御を実施し、
コンプライアンスを確保する
異常...
【Interop Tokyo 2016】 Seminar - EA-14 : シスコ スイッチが標的型攻撃を食い止める ~新しい内部対策ソリューション「Cisco Network as a Sensor & Enforcer」~
Upcoming SlideShare
Loading in …5
×

【Interop Tokyo 2016】 Seminar - EA-14 : シスコ スイッチが標的型攻撃を食い止める ~新しい内部対策ソリューション「Cisco Network as a Sensor & Enforcer」~

1,300 views

Published on

Interop Tokyo 2016 の展示会場内セミナーで行ったシスコのプレゼンをご紹介します。

Published in: Technology
  • DOWNLOAD THI5 BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

【Interop Tokyo 2016】 Seminar - EA-14 : シスコ スイッチが標的型攻撃を食い止める ~新しい内部対策ソリューション「Cisco Network as a Sensor & Enforcer」~

  1. 1. * 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。 <Seminar> シスコシステムズ合同会社 セキュリティ事業 コンサルティングシステムズエンジニア 豊島 かおり シスコ スイッチが標的型攻撃を食い止める ~新しい内部対策ソリューション 「Cisco Network as a Sensor & Enforcer」~
  2. 2. セキュリティ侵害がビジネスに与える影響 情報漏洩により発生するコストの上昇 380万ドル (2015年) 350万ドル (2014年) 情報漏洩事故1件あたりの 対応コスト 漏洩もしくは失った機密 1レコードあたりのコスト 154ドル (2015年) 145ドル (2014年) $ ¥ € 内部犯/ハッカーによるセキュリティ侵害の増加 47%(日本は48%) (2015年) 42% (2014年) 情報漏洩事故の原因が、 内部犯/ハッカーである割合 170ドル (2015年) 159ドル (2014年) このタイプの情報漏洩 1レコード辺りのコスト 調査,被害者/株主/メディア対応, 体制発足/改善, 設備見直し、設備投資他 (+ ブランドイメージ低下、顧客損失、株価下落等) 内部犯による機密情報持ち出し, マルウェア感染, フィッシング, SQLインジェクション ソーシャル エンジニアリング他 参考:Ponemon Institute released its annual Cost of Data Breach Study: Global Analysis, sponsored by IBM
  3. 3. 情報侵害、漏洩の発見にかかる時間 参考: Cisco Annual Security Report, 2016 Less than 1 Day 100 VS. 日 業界平均 Cisco 参考:Verizon社 2015年度 データ漏洩/侵害調査報告書 侵害に要した時間(オレンジ)と発見に要した時間(青)が 数日以内だった事件が全体に占める割合
  4. 4. 過去5年間に見る情報漏洩の仕組み ターゲットの下調べ フィッシング メールの リンクをクリック バックドア確保・マルウェアの埋込 権限取得が出来るまで攻撃を続ける アドミン権限取得 アドミン権限を使って情報を抽出 取得した情報の売買
  5. 5. 新たに追加すべきセキュリティ対策 可視化、制御 (内部対策) 発見的防御 (出口対策) 予防的防御 (入口対策) 内部対策:NW機器をセンサーとし、トラフィックの可視化を行い、脅威を抑止する
  6. 6. 6 ネットワーク監視機能の拡張 1.一般的なネットワーク監視 – SNMP/Syslog 2. 内部通信の見える化 – Network as a Sensor ステップ 1 4. ネットワーク隔離 – Network as an Enforcer 3. 脅威の見える化 – Network as a Sensor ステップ 2 ネットワーク セキュリティ 分野でのNetFlowの活用
  7. 7. 7 4. ネットワーク隔離 – Network as an Enforcer ネットワーク監視機能の拡張 1.一般的なネットワーク監視 – SNMP/Syslog ネットワーク セキュリティ 分野でのNetFlowの活用 2. 内部通信の見える化 – Network as a Sensor ステップ 1 3. 脅威の見える化 – Network as a Sensor ステップ 2
  8. 8. 8 • シスコシステムズが開発、1996年にパテント取得 • トラフィック情報収集のデファクト スタンダード • ネットワーク トラフィック監視、セキュリティ監視、ネット ワーク プランニング、トラフィック解析、IPレベルの課金な どに利用される • 全フロー情報を出力する特性を活かして、セキュリティ用 途や、イベント ログとしての応用が注目されている What is NetFlow ?
  9. 9. NetFlowを使ってこんな事ができます • ネットワーク内の全ての通信の追跡 • スイッチ、ルータ、ファイアウォールなどネットワーク内 の至る所でのデータ採取可能 • ネットワーク使用状況の把握 • ユーザからユーザへの横の通信も可視化 • SPANベースの大量データからの解析より少ないデー タ量でトラフィック解析が可能 NetFlowをセキュリティ監視に活用する 10.1.8.3 172.168.134.2 インターネット Flow 情報 パケット 送信元アドレス 10.1.8.3 宛先アドレス 172.168.134.2 送信元ポート 47321 宛先ポート 443 インターフェイス情報 Gi0/0/0 IP TOS情報 0x00 IPプロトコル情報 6 NEXT HOP 172.168.25.1 TCP FLAGS 0x1A SOURCE SGT 100 : : アプリケーション名 NBAR SECURE- HTTP ルータスイッチ クライアント サーバ
  10. 10. NetFlowはネットワークの通話請求書 通話請求書 Flow Record
  11. 11. 可視性を高めると見えてくる情報 一般的な可視化情報 NetFlowによる可視化情報 192.168.19.3 10.85.232.4 10.4.51.5 192.168.132.99 10.43.223.221 10.200.21.110 10.51.51.0/24 10.51.52.0/24 10.51.53.0/24 インターネット インターネット 社員 社員 派遣社員 検疫 共有サーバ サーバ ハイリスク セグメント インターネット 192.168.19.3 10.85.232.4 10.4.51.5 192.168.132.99 10.43.223.221 10.200.21.110 10.51.51.0/24 10.51.52.0/24 10.51.53.0/24
  12. 12. Catalyst 3850 Catalyst 6500/6800 Catalyst 3650 Catalyst 4500-X Catalyst 4500E コア ディストリ ビューション アクセス Flexible NetFlow 対応スイッチ 強力な情報源 ネットワークの全トラフィック 連続した期間のネットワークの全トラフィック 全てのトラフィックの1つ情報源: 有線、無線、ユーザ、端末、物理、仮想 ユニークなコンテキスト: 送信元、宛先IPアドレス、ポート番号、ユーザ名、 時間、データ量など 重要なツール セキュリティ事件の検知と防御 ネットワーク活動の監視 異常な行動を識別 ポリシー遵守の確認とポリシー違反の検知 ※ IP Base、または、IP Service の IOS Future が必要です
  13. 13. デバイス Catalyst 3850/3650 Catalyst® 4500 Sup7E/LE/8E Catalyst® 4500 Sup7E/LE/8E Access Point Access Point アクセス ディストリビューション/コア Catalyst 4500-X Nexus 7K M-Series Catalyst® 6800/6500 Sup2T エッジ Site-to- Site VPN Remote Access ASA With FirePOWER ESA StealthWatch FlowSensor WSA with CWS redirect WCCP FirePOWER ブランチキャンパス ISR- G2/ISR40 00/ ASR1K Catalyst 3850/3650 監視製品:フロー コレクター StealthWatch Management Console StealthWatch FlowCollector NetFlow Capable Netflowレコードの収集・ 保存・解析を行う NetFlow取得と監視のポイント リアルタイムのデータ相関、 トラフィック可視化、レポー ティングを行う Netflow Exporters
  14. 14. Cisco StealthwatchによるNetFlow解析 端末、サービス の検知 侵入、攻撃の 痕跡 (IOC) の検知 侵入痕跡の 解析と脅威へ の応答 ネットワーク内での 基幹系アプリや サービスの明確化 ポリシーに基づく セグメント化 振る舞いベースの 異常検出 全てのホスト間通信 の痕跡を記録
  15. 15. ネットワーク傾向監視 Network Dashboard インバウンド/アウトバウンド アプリケーション トラフィック トップホスト、ピア DDoS Dashboard 端末、サービス の検知
  16. 16. セグメント間通信の監視 PCI ゾーンマップ 全体的なシステムのプロファイル システム間の通信 重要サーバへの通信を監視 端末、サービス の検知
  17. 17. 脅威の振る舞い検知 振る舞い検知のアルゴリズムを基にしたセキュリティ イベント セキュリティ イベント (94以上のアルゴリズム) アラーム カテゴリー 応答 Addr_Scan/tcp Addr_Scan/udp Bad_Flag_ACK** Beaconing Host Bot Command Control Server Bot Infected Host - Attempted Bot Infected Host - Successful Flow_Denied . . Mail Reject Mail Relay High Volume Email . . ICMP Flood Max Flows Initiated Max Flows Served . Suspect Long Flow Suspect UDP Activity SYN Flood . 異常度 外部へ情報漏洩 C&C 偵察行為 内部の情報漏洩 マルウェア拡散 DDoS 標的 警告テーブル ホスト状態の保存 メール Syslog / SIEM 隔離、防御 フローの採取と分析 フロー 侵入、攻撃の痕跡 (IOC)の検知
  18. 18. Indicator of Compromise(IoC) ウイルス シグネチャ ログ解析 URLs 外部通知 振る舞い解析 フロー解析 セキュリティ インシデントに繋がると想定される怪しい動きが観察される事 異常検知 ファイル ハッシュ IPアドレス 侵入、攻撃の痕跡 (IOC)の検知
  19. 19. 長い時間の通信を検出: Suspect Quiet Long Flow Inside Host – Outside Host の通信が異常に長い時間行われている 32.4k 秒 = 9時間がここでの閾値設定 侵入、攻撃の痕跡 (IOC)の検知
  20. 20. データ流出の兆候: Data Hoarding Suspect Data Hoarding: • 異常な量のデータが複数のホスト から1つのホストへ流れている Target Data Hoarding: • 異常な量のデータが1つのホストから複数のホスト へ流れている 侵入、攻撃の痕跡 (IOC)の検知
  21. 21. 感染拡大を検知: Worm Activity Worm Activity/Propagation • Wormが 445/TCP を使って動いている事を検知 侵入、攻撃の痕跡 (IOC)の検知
  22. 22. 感染拡大を検知: Worm Propagation Worm Activity/Propagation • Wormの感染拡大が一目瞭然 侵入、攻撃の痕跡 (IOC)の検知
  23. 23. シグネチャ アノーマリ 振る舞い 高度攻撃の検出方法の比較 シグネチャ = オブジェクトをブラックリストで定義 • IPS, アンチウイルス, コンテンツフィルタ 振る舞い = 被害者の振る舞いをブラックリストで定義 • マルウェアサンドボックス, NBAD*, ホストIPS, SEIM アノーマリ = 被害者の振る舞いをホワイトリストで定義 • NBAD* *Network Based Anomaly Detection シグネチャ 振る舞い アノーマリ 既知の脅威 BEST Good Limited ゼロデイの脅威 LimIted BEST Good 内部犯行 Limited Limited BEST 侵入、攻撃の痕跡 (IOC)の検知
  24. 24. 対話型フロー レコード • 大企業レベルのトラフィック フローをサポート • 優れた圧縮技術によってログを長期間保管可能 いつ 誰が Where どのように 誰と 詳しいコンテキスト 情報 何を 侵入痕跡の解析と 脅威への応答
  25. 25. 31 データ流出のアラートをドリルダウン アラートのドリル ダウン:詳細の確認 内部からプエルトリコに13.38GB のデータ量をP2Pで送信 侵入痕跡の解析と 脅威への応答
  26. 26. 導入事例: 石油サービス企業 • Lancope Stealthwatch 導入から数週間で重要ファイルの大量ダウンロードを検知 • ISEとの連携により盗まれたログイン情報のユーザまで特定 • 情報漏洩先が中国であると特定
  27. 27. 34 ネットワーク監視機能の拡張 1.一般的なネットワーク監視 – SNMP/Syslog ネットワーク セキュリティ 分野でのNetFlowの活用 2. 内部通信の見える化 – Network as a Sensor ステップ1 3. 脅威の見える化 – Network as a Sensor ステップ2 4. ネットワーク隔離 – Network as an Enforcer
  28. 28. 通信(タグ伝搬) 制御分類 分類 セキュリティ属性に基づく通信分離 専用ターミナル 基幹サーバ 医療機器 BYOD端末 感染PC 管理者PC 開発環境 本番環境 業務端末 怪しいサイト
  29. 29. 多様なセグメンテーション オプション アクセス層 バックボーン 音声 VLAN 音声 データ VLAN 従業員 集約層 サプライヤ ゲスト VLAN BYOD BYOD VLAN 不適格 隔離VLAN VLAN アドレス DHCPプー ル 冗長化 ルーティング 静的なACL VACL トポロジーに基づくセキュリティ ポリシー コストが高く、メンテナンスが複雑 音声 VLAN 音声 データVLAN 従業員 サプライヤ BYOD不適格 トポロジー変更を変更せずにポリシーを一括管理、 適用できるため、運用費用を大幅に削減 ISE VLAN変更不要 トポロジー変更不要 集中ポリシー管理 マイクロ/マクロ セグメンテーション 従業員タグ サプライヤー タグ 不適格タグ アクセス層 バックボーン DC FW, スイッチ DC サーバ ポリシー Cisco TrustSec従来のセグメンテーション
  30. 30. 製品連携による迅速な端末隔離 Network as an Enforcer NetFlow 次世代IPS FireSight ISE 脅威の検知 API API Web Access Policy ASA Policy SW リモート アクセス 無線 有線 TrustSec インターネット WSA キャンパス/DC スイッチ シスコルータ エコ パートナー製品 ASA ファイア ウォール ソフトウェア ベース セグメンテーション
  31. 31. まとめ シスコ ネットワークに組み込まれたセキュリティ対策機能 エンフォーサとしての ネットワーク センサーとしてのネットワーク 封じ込めの迅速化 侵入範囲の拡大を抑え、動的でき め細かいアクセス制御を実施し、 コンプライアンスを確保する 異常なトラフィック フロー、不正な デバイス/アプリケーション、ユーザ アクセス ポリシー違反を検出する 隔離、トラフィックのリダイレクト、 ACL のリアルタイム アプリケーショ ンを自動化する

×