Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
* 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
<Seminar>
柴田 亮
シスコシステムズ合同会社
アドバンスドサービス シスコセキュリティソリューションズ
セキュリティコンサルティングエンジニア
2016年6月
Sh...
ShowNetで稼働しているCiscoセキュリティ機器
次世代FW/IPSを用いた
入口、出口対策
[特徴]
- アプリケーションの可視化
- シグニチャ自動チューニング
- 攻撃の影響度を表示
(インパクトフラグ)
- ハッシュを用いたマルウ...
インターネット
Sand
box
サーバ セグメント
Stealthwatch
次世代IPS (Firepower)
サンドボックス(ThreatGRID)
Firewall + vDP (Radware)
各ソリューションの防御実施箇所
次世...
Cisco Firepower による
境界セキュリティ対策
“You can’t protect what you can’t see”
“見えなければ、防御できない”
Malware
Client applications
Operating systems
Mobile devices
VoIP p...
Cisco Firepower シリーズによる高度なセキュリティ機能
次世代ファイア
ウォール機能
業界最高水準のIPS
エンジン
高度なマルウェア
防御(AMP)
イベント管理・
解析ツール
 アプリケーション制御
 ユーザ制御
 UR...
新しい統合ソフトウェア イメージ: Firepower Threat Defense (FTD)
• 全てのFirepower Services にプラスして、セレクトされたASA機能が含まれる
次世代ファイアウォール
• 1つのマネージャで管...
ネットワークとホストの可視化
ユーザ履歴
端末OS
サーバアプリケーション
Webアプリケーション
クライアントアプリケーション
該当脆弱性リスト
侵入の痕跡
例)アラートが発生したホストの情
報を確認したい
自動チューニングとインパクト解析
一般的な侵入検知機器(IPS)の
運用者が抱える問題
沢山のログが出るが、本当に重要
なものがわからない・・・
環境に合わせて設定を調整した
いが、運用が大変・・・
インパクト解析 攻撃と対象端末情報を解析し本...
Cisco Advanced Malware Protection (AMP)
既知、未知に対応した検知機能
ETHOS SPEROハッシュ エンジン サンドボックスDFC
ハッシュエンジン: 既知のマルウェアを検出
ETHOS / SPERO...
未知のファイルの振る舞い解析
通過するファイルが未知のものである場合、FirepowerはThreatGRIDと自動連携し、ファイルの解析依頼を実施
ファイアウォール
ルータ
IPS
インターネット
スイッチ
端末
サンドボックスと自動連
携し...
マルウェア トラッキング
ファイルをハッシュ値で特定
解析情報(サンドボックス等)と連携
一度判定したファイルも継続解析(レトロスペクティブ解析)
ネットワーク上での拡散状況を過去に遡ってトラッキング
Firepower 9300
高パフォーマンスと多彩な機能に対応したセキュリティ アプライアンス
スーパバイザ
 アプリケーションの導入とオーケストレーション
 ネットワーク接続(10/40/100GE)とトラフィック分散
 Cisco®...
Firepower 4100
1RUで高パフォーマンスを実現したセキュリティ アプライアンス
オンボード
インターフェイス
 トラフィック用 SFP+ インターフェイス X 8。管理用 SFP+ インターフェイス X 1
 Cisco® A...
Firepower 9300/4100 シャーシ マネージャ
ASA
FTD
vDP
ASA: ネットワーク ファイアウォール
FTD: Firepower Threat Defense
次世代FW
vDP: Radware virtual D...
Firepower Management Center (FMC) Live Demo
Cisco Stealthwatch による
内部セキュリティ対策
ネットワークの不正な振る舞いを検知
FW
IDS/IPS
Web
Security
Mail
Security
DNS
仮想
ブラウザ
Sandbox
Internet
ポートスキャン、辞書攻撃、DoS、
P2P等
hypervisor
大量の...
ネットワークのフロー情報による脅威の可視化
境界セキュリティ(Web Proxyなど)や
ログ情報からの脅威の活動状況の例
 従来の境界セキュリティ機器やSIEMでは、入り口・出口でのみ通信情報を把
握 (送信元、宛先アドレスのみ)しており、...
ネットワーク監視と可視化、自動隔離へのステップ
NetFlow の概要
20
10.2.2.2
ポート 1024
10.1.1.1
ポート 80
eth0/1
eth0/2
開始時間 インターフェイス 送信元 IP 送信元ポート 宛先 IP 宛先ポート プロトコル 送信パケッ
ト数
送信バイ...
NetFlow = 可視化
21
Router# show flow monitor CYBER-MONITOR cache
…
IPV4 SOURCE ADDRESS: 192.168.100.100
IPV4 DESTINATION ADD...
Cisco Stealthwatch System
動的 NetFlow 分析を使用したネットワーク調査
 ネットワークの標準の
状態を理解
 すべてのトラフィックに
ついてリアルタイムで
状況を認識
 ネットワーク動作の異
常検出および...
Cisco Stealthwatch: システム概要
NetFlow / NBAR / NSEL
ネットフロー対応
ネットワーク機器
Stealthwatch
フローコレクタ
• フローレコードの収集と解析
• 最高4,000の送信先
• 最高...
ShowNet におけるStealthwatch 構成
NetFlow 対応機器
Stealthwatch
フローコレクタ
Stealthwatch
管理コンソール
NetFrow 用 sflow 用
sFlow 対応機器
Flow Colle...
Stealthwatch Management Console (SMC) Live Demo
セキュリティ インテリジェンス
制御
シスコ
AnyConnect®
FirepowerCisco CWS
WWW
Cisco WSACisco ASACisco ESA
可視性
WWW
Web
エンドポイント
デバイス
ネットワーク
電子メール
IPS
セキュリティ インテ...
【Interop Tokyo 2016】 Seminar - EA-18 : 「Cisco の先進セキュリティ ソリューション」 Shownet 2016 を支えるセキュア テクノロジーを一挙紹介
Upcoming SlideShare
Loading in …5
×

【Interop Tokyo 2016】 Seminar - EA-18 : 「Cisco の先進セキュリティ ソリューション」 Shownet 2016 を支えるセキュア テクノロジーを一挙紹介

1,398 views

Published on

Interop Tokyo 2016 の展示会場内セミナーで行ったシスコのプレゼンをご紹介します。

Published in: Technology
  • Be the first to comment

【Interop Tokyo 2016】 Seminar - EA-18 : 「Cisco の先進セキュリティ ソリューション」 Shownet 2016 を支えるセキュア テクノロジーを一挙紹介

  1. 1. * 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。 <Seminar> 柴田 亮 シスコシステムズ合同会社 アドバンスドサービス シスコセキュリティソリューションズ セキュリティコンサルティングエンジニア 2016年6月 ShowNet 2016 を支えるセキュア テクノロジーを一挙紹介 Ciscoの先進セキュリティ ソリューション
  2. 2. ShowNetで稼働しているCiscoセキュリティ機器 次世代FW/IPSを用いた 入口、出口対策 [特徴] - アプリケーションの可視化 - シグニチャ自動チューニング - 攻撃の影響度を表示 (インパクトフラグ) - ハッシュを用いたマルウェアの 侵入痕跡確認 - サンドボックス連携 Firepower4100 Network as a Sensor/Enforcer ネットワークの振舞いを用いた 感染拡大、情報漏えい対策 [特徴] - 偵察行為、C&C通信、DDoS等 の怪しい通信を検出 - 自動で閾値を作成し、通信傾向 の異なる振舞いを検出 - 通信の可視化、フォレンジック 対応、端末の隔離 Radware vDP を用いた サービス停止攻撃対策 [特徴] - TCP/SYN、UDP等のネット ワーク フラッド攻撃の防御 - HTTP、DNS、SSLコネクション 等のアプリケーション フラッド攻 撃の防御 - 既知の攻撃ツールからの防御 - Firepower9300 にて実現 ThreatGRID 5000 Firepower9300 Catalyst SW Stealthwatch Firepower9300 + vDP 入口、出口対策 内部対策 DDoS対策
  3. 3. インターネット Sand box サーバ セグメント Stealthwatch 次世代IPS (Firepower) サンドボックス(ThreatGRID) Firewall + vDP (Radware) 各ソリューションの防御実施箇所 次世代IPS (Firepower) 出展者 来場者 会議棟 NOC 入口、出口対策/DDoS対策 内部対策 入口、出口対策(モニタリング)
  4. 4. Cisco Firepower による 境界セキュリティ対策
  5. 5. “You can’t protect what you can’t see” “見えなければ、防御できない” Malware Client applications Operating systems Mobile devices VoIP phones Routers and switches Printers Command and control servers Network servers Users File transfers Web applications Application protocols Threats Typical IPS Typical NGFW Cisco Firepower™ NGFW シスコの次世代Firewall/IPS 可視性の強化
  6. 6. Cisco Firepower シリーズによる高度なセキュリティ機能 次世代ファイア ウォール機能 業界最高水準のIPS エンジン 高度なマルウェア 防御(AMP) イベント管理・ 解析ツール  アプリケーション制御  ユーザ制御  URLフィルター  マルウェア検知  ファイルトラッキング  レトロスペクティブ  サンドボックス 運用の自動化  自動チューニング  インパクト解析 ネットワークとホストの可 視化  インシデント相関分析  統合レポーティング  ネットワークディスカバリ Cisco Firepower
  7. 7. 新しい統合ソフトウェア イメージ: Firepower Threat Defense (FTD) • 全てのFirepower Services にプラスして、セレクトされたASA機能が含まれる 次世代ファイアウォール • 1つのマネージャで管理: Firepower Management Center (FMC) 統合ソフトウェア – Firepower Threat Defense Firepower ネットワークファイアウォール ルーティング ASA 信頼と実績の ファイアウォール技術 Firepower Threat Defense
  8. 8. ネットワークとホストの可視化 ユーザ履歴 端末OS サーバアプリケーション Webアプリケーション クライアントアプリケーション 該当脆弱性リスト 侵入の痕跡 例)アラートが発生したホストの情 報を確認したい
  9. 9. 自動チューニングとインパクト解析 一般的な侵入検知機器(IPS)の 運用者が抱える問題 沢山のログが出るが、本当に重要 なものがわからない・・・ 環境に合わせて設定を調整した いが、運用が大変・・・ インパクト解析 攻撃と対象端末情報を解析し本当に危険度の高いログを識別 自動チューニング ネットワーク環境を学習し、 最適な推奨設定を自動生成 攻撃の緊急度 “High”のアラート数: 1433 実インパクト “High(1)”のアラート数: 106 10分の1以下に減少
  10. 10. Cisco Advanced Malware Protection (AMP) 既知、未知に対応した検知機能 ETHOS SPEROハッシュ エンジン サンドボックスDFC ハッシュエンジン: 既知のマルウェアを検出 ETHOS / SPERO : 未知、亜種のマルウェアを検出 DFC: 通信先IPのレピュテーションをチェック サンドボックス: ThreatGRID (クラウド/アプライアンス)
  11. 11. 未知のファイルの振る舞い解析 通過するファイルが未知のものである場合、FirepowerはThreatGRIDと自動連携し、ファイルの解析依頼を実施 ファイアウォール ルータ IPS インターネット スイッチ 端末 サンドボックスと自動連 携し未知の被疑ファイル を解析。 動的分析 静的分析 脅威インテリジェンス AMP ThreatGRID マルウェア被疑ファイル 解析結果 クラウド、オンプレミスの 両導入パターンに対応
  12. 12. マルウェア トラッキング ファイルをハッシュ値で特定 解析情報(サンドボックス等)と連携 一度判定したファイルも継続解析(レトロスペクティブ解析) ネットワーク上での拡散状況を過去に遡ってトラッキング
  13. 13. Firepower 9300 高パフォーマンスと多彩な機能に対応したセキュリティ アプライアンス スーパバイザ  アプリケーションの導入とオーケストレーション  ネットワーク接続(10/40/100GE)とトラフィック分散  Cisco® ASA、NGFW、NGIPS のクラスタリング機能 1 3 2 セキュリティ モジュール  組み込みパケット/フロー分類機能と暗号化ハードウェア  シスコ(ASA、NGFW/NGIPS)とサードパーティ(DDoS)のアプリケーション  スタンドアロン、またはシャーシ内(最大 240 Gbps)およびシャーシ全体(1 Tbps 以上)でクラスタ化
  14. 14. Firepower 4100 1RUで高パフォーマンスを実現したセキュリティ アプライアンス オンボード インターフェイス  トラフィック用 SFP+ インターフェイス X 8。管理用 SFP+ インターフェイス X 1  Cisco® ASA、NGFW、NGIPS のクラスタリング機能 ネットワーク モジュール  組み込みパケット/フロー分類機能と暗号化ハードウェア  シスコ(ASA、NGFW/NGIPS)とサードパーティのアプリケーション  Firepower 9300(10GE および 40GE)と同じネットワーク モジュールを使用  スタンドアロン(最大 30 Gbps)またはシャーシ全体(400 Gbps 以上)でクラスタ化
  15. 15. Firepower 9300/4100 シャーシ マネージャ ASA FTD vDP ASA: ネットワーク ファイアウォール FTD: Firepower Threat Defense 次世代FW vDP: Radware virtual Defense Pro シャーシ全体を管理するウェブベースのGUI ツール (Firepower9300) セキュリティサービスのデプロイ (Firepower9300)
  16. 16. Firepower Management Center (FMC) Live Demo
  17. 17. Cisco Stealthwatch による 内部セキュリティ対策
  18. 18. ネットワークの不正な振る舞いを検知 FW IDS/IPS Web Security Mail Security DNS 仮想 ブラウザ Sandbox Internet ポートスキャン、辞書攻撃、DoS、 P2P等 hypervisor 大量のファイルダウンロード ブラックリストへの通信 ポートスキャン、辞書攻撃、DoS、 P2P等 NetFlowによる可視性で 内部ネットワークで起こるインシデントに も即座に対応可能! 境界セキュリティでは検知できない内部侵害の例 境界セキュリティ マルウェアの侵入、ユーザの多量データダウンロード等の振る舞いは境界(FWやIPS)では検知しきれない フロー情報を利用した脅威の検知 x FW、IPSを通過しない内部の不正通信 x 新種のマルウェアの検知失敗 (ウィルス対策ソフト取りこぼし) x 内部でのマルウェア偵察行為・拡散 x 悪意のある内部ユーザの不正通信
  19. 19. ネットワークのフロー情報による脅威の可視化 境界セキュリティ(Web Proxyなど)や ログ情報からの脅威の活動状況の例  従来の境界セキュリティ機器やSIEMでは、入り口・出口でのみ通信情報を把 握 (送信元、宛先アドレスのみ)しており、ネットワーク全体での脅威の活動 状況の把握が困難 192.168.19.3 10.85.232.4 10.4.51.5 192.168.132.99 10.43.223.221 10.200.21.110 10.51.51.0/24 10.51.52.0/24 10.51.53.0/24 インターネット ネットワークフローを活用した 脅威の活動状況の例 192.168.19.3 10.85.232.4 10.4.51.5 192.168.132.99 10.43.223.221 10.200.21.110 10.51.51.0/24 10.51.52.0/24 10.51.53.0/24 インターネット ① フィッシングを きっかけとして感染 (ゼロデイ) ② 内部感染拡大 ③ 内部感染拡大(管理職端末への感染) ④ ファイル(DB)サーバからの 情報ダウンロード ⑤ 外部への情報持ち出し (暗号化・独自プロトコル) 社員 社員 サーバー ハイリスク セグメント  ネットワークフロー情報を活用した場合、脅威の全体の活動状況を可視 化可能  さらに、認証情報(端末認証)と連携することで、ユーザ名の特定も可能 であり、「誰の端末で」マルウェアの活動が行われているかを容易に把 握可能
  20. 20. ネットワーク監視と可視化、自動隔離へのステップ
  21. 21. NetFlow の概要 20 10.2.2.2 ポート 1024 10.1.1.1 ポート 80 eth0/1 eth0/2 開始時間 インターフェイス 送信元 IP 送信元ポート 宛先 IP 宛先ポート プロトコル 送信パケッ ト数 送信バイト数 TCP フラグ 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 SYN、ACK、PSH 10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 SYN、ACK、FIN 開始時間 インターフェイス 送信元 IP 送信元ポート 宛先 IP 宛先 ポート プロト コル 送信パケッ ト数 送信バイト数 TCP フラグ 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 SYN、ACK、PSH
  22. 22. NetFlow = 可視化 21 Router# show flow monitor CYBER-MONITOR cache … IPV4 SOURCE ADDRESS: 192.168.100.100 IPV4 DESTINATION ADDRESS: 192.168.20.6 TRNS SOURCE PORT: 47321 TRNS DESTINATION PORT: 443 INTERFACE INPUT: Gi0/0/0 IP TOS: 0x00 IP PROTOCOL: 6 ipv4 next hop address: 192.168.20.6 tcp flags: 0x1A interface output: Gi0/1.20 counter bytes: 1482 counter packets: 23 timestamp first: 12:33:53.358 timestamp last: 12:33:53.370 ip dscp: 0x00 ip ttl min: 127 ip ttl max: 127 application name: nbar secure-http … 1 つの NetFlow レコードにはさまざまな情報が含まれている
  23. 23. Cisco Stealthwatch System 動的 NetFlow 分析を使用したネットワーク調査  ネットワークの標準の 状態を理解  すべてのトラフィックに ついてリアルタイムで 状況を認識  ネットワーク動作の異 常検出および分析を 活用  APT、インサイダー脅 威、DDoS、マルウェア に関連する動作を検 出  ネットワーク全体の監査 証跡を収集および分析  迅速な根本原因分析に より完全な調査を実施  ネットワークのトラブル シューティングと脅威の 緩和を高速化  Cisco ISE で脅威を隔 離し、迅速に対応 監視 検出 分析 応答
  24. 24. Cisco Stealthwatch: システム概要 NetFlow / NBAR / NSEL ネットフロー対応 ネットワーク機器 Stealthwatch フローコレクタ • フローレコードの収集と解析 • 最高4,000の送信先 • 最高24万 フロー/秒 SPAN Stealthwatch フローセンサ NetFlowの生成 NetFlow未対応機器 • 管理とレポート • 最高 25 フローコレクターまでサポート • 全体で最高600万 フロー/秒サポート Stealthwatch 管理コンソール StealthWatchラボ インテリジェンス・セ ンター (SLIC) * *https://www.lancope.com/stealthwatch-labs
  25. 25. ShowNet におけるStealthwatch 構成 NetFlow 対応機器 Stealthwatch フローコレクタ Stealthwatch 管理コンソール NetFrow 用 sflow 用 sFlow 対応機器 Flow Collector (VA) Flow Collector (VA) Stealthwatch Management Console (VA) Cisco UCS C240 M4 サーバ
  26. 26. Stealthwatch Management Console (SMC) Live Demo
  27. 27. セキュリティ インテリジェンス
  28. 28. 制御 シスコ AnyConnect® FirepowerCisco CWS WWW Cisco WSACisco ASACisco ESA 可視性 WWW Web エンドポイント デバイス ネットワーク 電子メール IPS セキュリティ インテリジェンス: Talos 24 時間 365 日 体制 40 以上の言語 1 億米ドル以上を 活発な研究開発に向けて投資 情報 アクション Cisco® Collective セキュリティ イン テリジェンス ポートフォリオ全体に拡大 160 万台のデバイ スがデータを提供 120 TB の受信データ (1 日あたり) 全世界の電子メー ルトラフィックの 35 % 130 億件 の Web 要求 1 日あたりのユ ニークなマルウェ ア サンプル数は 110 万 1 秒あたり 250 万 件の脅威をブ ロック 200 以上 のパラメータ を追跡 70 以上 のパブリケー ションを作成

×