Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝

6,112 views

Published on

NTTコミュニケーションズ株式会社
NTTコムセキュリティ株式会社
竹内 文孝 ,CISSP

Published in: Technology
  • Be the first to comment

標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝

  1. 1. Copyright © NTT Communications Corporation. All rights reserved. 標的型攻撃にいかに立ち向かうか ~巧妙化する脅威に組織がとるべき対策とは~ NTTコミュニケーションズ株式会社 NTTコムセキュリティ株式会社 竹内 文孝 ,CISSP 2015年9月4日
  2. 2. Copyright © NTT Communications Corporation. All rights reserved. 目 次 2 1.プロフィール 2.ICT環境を取り巻くセキュリティ脅威の動向 3.インシデント対応ライフサイクルの強化について 4.WideAngleの紹介
  3. 3. Copyright © NTT Communications Corporation. All rights reserved. 1.プロフィール
  4. 4. Copyright © NTT Communications Corporation. All rights reserved. NTT Comグループのマネージドセキュリティビジネスの歩み 4 設立:1988年 (事業内容)フルレイヤーセキュリティサービスの構築・運用 (実績)欧米を中心に、業種を問わない豊富な実績 設立:1986年 (事業内容)セキュリティコンサル及び、MSSの提供 (実績)官公庁及び金融業を中心に豊富な実績 2009年 INTEGRALIS 買収 2010年 SECODE 買収 2003年 NTTコミュニケーションズ セキュリティオペレーションセンタ 設立 2011年 INTEGRALIS、SECODE会社統合 2012年 運用基盤統合 2013年 NTTコムセキュリティ設立 NTTセキュア プラットフォーム 研究所 協力 ■ マネージドセキュリティサービスの実績11,000台以上(Global全体) ■ コンサルティングサービスの25年に渡り8,000件以上の案件を実施
  5. 5. Copyright © NTT Communications Corporation. All rights reserved. セキュリティ分野における第三者評価・アワード IDC IT MarketScape APAC MSS 2015 日経BP社 クラウドランキング 【FireEye社】 Top Partner Performance Award 2014 ⇒ NTT Comは、APACで マネージドセキュリティ サービスプロバイダとして リーダポジションの評価 56 【Fortinet社】 FortiHero Top Global Partner Award 2014 【PaloAlto社】 Japan Theatre Managed Service Provider of the Year Award 2015
  6. 6. Copyright © NTT Communications Corporation. All rights reserved. 2.ICT環境を取り巻く セキュリティ脅威の動向
  7. 7. Copyright © NTT Communications Corporation. All rights reserved. サイバー攻撃の変遷 8 将来 主目的 手段 防御側に求められる対策 愉快犯 ・Mail添付ウイルス ・USB媒介ウイルス ・サーバ不正アクセス ・バックドア設置 入口対策 ・Internet GWの不正アクセス対策 (FW/IDS/IPS) ・Internet GW/サーバ/クライアントへのウイ ルス対策 ・DMZ内各種サーバの脆弱性診断、解消 金銭搾取 ・マルウェア配布サイト ・模倣サイト ・内部者による持ち出し + 出口対策 ・クライアントから有害サイトへのアクセス制 限(URLフィルタリング) ・企業内ネットワーク及び利用アプリ可視化 ・個人情報等のアクセス管理強化 テロ活動 軍事活動 示威活動 ・ゼロデイ攻撃 ・標的型/APT攻撃 ・Ransomware ・DDoS・BOTネット ・制御系NWへの侵入 +多層防 御・未知 のリスク への対応 ・企業内LANに潜む未知のマルウエア対策 ・機器の異常な振る舞い検知・防御 ・アクセスログなどの証跡保存 ・CSIRT設立 現在 ・サイバー攻撃の目的が変容し、その攻撃手段はより高度化、巧妙化、組織化している ・防御側の対策もより高度な技術が要求され、しかしながらその対策は後手に回っている のが実情 ・防御よりも、侵入を前提としたインシデンスレスポンス重視の傾向
  8. 8. Copyright © NTT Communications Corporation. All rights reserved. 標的型攻撃のパラダイムシフト 8 従来のアプローチ 新たなサイバーセキュリティ 考慮するスコープ • 自社および自社グループのみ • 相互接続されたグローバルビジネスエ コシステムの範囲 誰の責任下で 対応するのか • IT部門が主導し運営する • ビジネスの責任者:CEOおよび取締役 会の説明責任 攻撃者の特徴 • 偶発的(釣れるのを待つ) • 便乗型(バックドア再利用) • 戦略的(組織的な作戦、明確な標的) 情報資産の保護 • 総花的なアプローチ • 「資産価値の高い情報」を優先し、保 護する 防御体制 • 境界線防御:攻撃された際に受動 的に対応 • 攻撃を想定した事前計画、監視および 迅速な対応 セキュリティ 情報共有 • 自社限り • 官民の協力:業界のワーキンググルー プとの連携 • CSIRT間での連携 攻撃者は企業の古い防御(境界)を迂回し、標的を絞って検知しにくい攻撃を次々 に仕掛けている。企業は、従来のセキュリティに対する考え方を改め、次のような 新たなアプローチをとる必要がある。
  9. 9. Copyright © NTT Communications Corporation. All rights reserved. 標的型攻撃の典型的な手法とは・・・ 悪性サイトに誘導する メールやマルウェアを 添付したメールを送付 ターゲット 攻撃者 URLをクリックしたり、 添付ファイルを開封し、 マルウェアに感染 実在する人物・団体を装ったり、 いかにも開きたくなる文面で送付 社内システム 悪性サイト /C&Cサーバ ウイルス対策 ソフトでは検知されない 他端末への感染拡大 標的企業 マルウェアが攻撃者の C&Cサーバと通信 遠隔操作、情報窃取などが可能に マルウェア配布サイト 新たなマルウェアを 追加ダウンロード 管理者権限などで ほしい情報を 探索 情報漏えい 4,906件 356種類 代表的な AV/ASでは 検知できず 侵入! 10.1%10人に1人は 開いて しまう!? 【出典】内閣官房 平成23年度 標的 型不審メール攻撃訓練結果の概要 AV/AS IPS/Proxy/Sandbox39件 170億件 脅威の発見は 宝くじに 当たるくらい 難しい!! 9
  10. 10. Copyright © NTT Communications Corporation. All rights reserved. 企業に侵入する未知マルウェアの実態 ・企業のインターネットGWを通過したマルウェア添付メールをサンドボックスで検知 ・当該マルウェア検体をほぼ同時にウイルス対策製品で検査 平均月間メール通数:13,821,493通 平均月間添付ファイル数:422,413件 未知マルウェア添付の メール通数 (AVメーカ4社でチェッ ク) 既知マルウェア添付 の メール通数 :1社以上が検知 :4社とも未検知 Firewall Anti-Spam Anti-Virus 社内PC Sandbox 4社AVの 最新パターン で検査 10
  11. 11. Copyright © NTT Communications Corporation. All rights reserved. 現在の標的型攻撃は、狙った情報に対して臨機応変に絶え間なく攻撃を行い、 やがて防衛ラインを突破/侵入し攻撃を達成します。 以前の委託業者 わからない 委託業者 ハッカー 退職者 現行の従業員 27% 11% 18% 5% 8% 43%18% 18% 15% 24% 30% 35% (出典:PwC「相互につながった世界におけるサイバーリスクマネジメント グローバル情報セキュリティ調査2015」) 日本(n=206)グローバル(n=9,329) 日本企業の43%はインシデント発生要因が不明!? 11
  12. 12. Copyright © NTT Communications Corporation. All rights reserved. 様々な環境変化を踏まえた中期的な展望 12 環境変化 対策強化の中期的展望 サイバー空間とリアル空間 の融合/連動(グローバル 化=ボーダレス化) CSO体制の整備とそれを支えるインテリジェンス の整備⇒サイバー空間の出来事が国家テロや企業経 営に多大な影響を与える。火の粉が降りかかった時 の初動や統制が影響範囲のカギを握る。 社会インフラや制御システ ムのオープン化、IoTの進 展、及びその集中管理によ る効率化 個別システムのリスクシナリオを把握したインシデ ント管理体制の整備⇒社会インフラや制御系システ ムなどログ管理システムやCSIRT体制の導入の他、 物理セキュリティ等との連携も要求される。 また、投資対効果の評価も重要。 サイバーセキュリティに関 する各国の法整備 各国の法律や環境、慣習など配慮したリスクマネジ メントフレームワークの整備⇒グローバルに精通し た専門的な支援体制が要求される。 第2インターネットの具現 化?(物理的に?または論 理的に?) SDN/NFV等を駆使したセキュアなネットワーク環 境の導入⇒キャリアクラウドの活用など
  13. 13. Copyright © NTT Communications Corporation. All rights reserved. 3.インシデント対応ライフサイクルの 強化について
  14. 14. Copyright © NTT Communications Corporation. All rights reserved. インシデント対応ライフサイクルの強化について (標的型攻撃の実態) ■ウイルスはGWをすり抜ける ■感染端末は制御される ■攻撃は水面下で達成されている ・侵入/潜伏したウイルスを検知 ・インシデントを分析/把握 ・被害範囲を最小化 ・迅速的確な再発防止策の実行 *出典:NIST (National Institute of Standards and Technology)発行「Guide to Malware Incident Prevention and Handling」(マルウェアによるインシデントの防止と対応のためのガイド)の「Figure 4-1. Incident Response Life Cycle」 (インシデント対応のライフサイクル) 14 【準備】 ・プロセスの整備 ・人の体制化 ・技術の導入 【事故後の活動】 ・事故全容の把握 ・コストの把握 ・再発防止策の立案 【検知と分析】 ・前兆を知る ・兆候を掴む ・攻撃を把握する 【封込、根絶、復旧】 ・封じ込めの実行 ・感染源の識別と駆除 ・封じ込めの解除
  15. 15. Copyright © NTT Communications Corporation. All rights reserved. トータルセキュリティへの視点 8 ◆インシデントレスポンス対応 ・役割、体制、一元コントロール ・発生状況の把握~対処までの手 順書化、実施確認 平時のマネジメント 有事のマネジメント PDCAマネジメントサイクルを廻す ◆セキュリティポリシー策定 ◆セキュリティに対する文化の醸成 ◆推進・管理体制構築 ◆ポリシー遵守状況のモニタリング・是正 ◆内部監査 ◆第三者認証取得 ◆委託先管理 ◆グループ機関との連携 ◆外部機関との連携 ◆外部情報の収集・活用 ◆階層別役割別セキュリティ研修 ◆誓約書の取得による意識醸成 ◆社員区分ごとに応じた情報取扱 ◆罰則の規定による抑止 人的観点 ◆業務プロセスの見直し ◆情報アクセスの申請・承認制導入 ◆情報のライフサイクル管理 プロセス的観点 ◆インターネットGWセキュリティ FW、IDS、Mail/WWWフィルタリング等 ◆フィジカルセキュリティ 入退室管理、監視カメラ、エリア分け等 ◆エンドポイントセキュリティ PC検疫、書出し制御、持出抑制、シンクライアント化 脆弱性診断等 技術的観点 企業の機密情報を守りつつ、業務運営を行なうために 「情報を守る」⇔「情報を使う」 マネジメント的観点 マネジメント的観点を主に技術、人的、プロセスの観点の整合性が取れたセキュリティ導入を目指します。
  16. 16. Copyright © NTT Communications Corporation. All rights reserved. 標的型攻撃の被害を最小化する対応策 社会保険オンラインシステム そのうち55万件にはパスワードによる アクセス制限はされていなかった。 約125万件 ②5/8以前、第1弾受信 ⑦5/18、第2弾を複数受信 ⑧5/20、第3弾を複数受信 職員 攻撃者 ファイル共有サーバや 個人の端末にデータを保存 年金加入者 個人情報 厚生労働省などを装った メールが送信される 作業用に データを抽出 情報系システム 悪性サイト /C&Cサーバ ③URLクリック ④悪性サイトに アクセス ⑤ウイルス感染&バックドア ⑥機構内情報が流出 ⑨被害拡大 ⑩個人情報が流出 外部サーバに情報を保存。 一部は、東京都港区の海運事業者やア メリカのサーバに保存されていた。 ①個人情報を作業用にコピー メールの中から怪しい ファイルを検出し、イン ターネットGWをすり抜 けた未知のウイルスを 洗い出す WideAngle/RTMD RTMDにて、 悪性サイトやC&C サーバの評価情報に基 づき、そのサイト向け の通信を検知、自動的 に遮断 WideAngle/RTMD 未知のウイルスを検知後 15分以内に、当該メー ルの送付先ユーザーに注 意喚起メールを通知し、 クリック実行を抑制 WideAngle/RTMD 社内に接続されるPCや サーバの異常な振る舞い 情報を収集し、感染範囲 の確認やリモート隔離を 実行 WideAngle/EPTP RTMD : Real Time Malware Detection →WideAngleが提供するネットワーク型の標的型攻撃対策サービス EPTP : End Point Threat Protection →WideAngleが提供するエンドポイントの標的型攻撃対策サービス 23
  17. 17. Copyright © NTT Communications Corporation. All rights reserved. 4.WideAngleの紹介
  18. 18. Copyright © NTT Communications Corporation. All rights reserved. プロフェッショナルサービス セキュリティ対策機器/ソフトウェアの 導入サービス マネージドセキュリティサービス NTTコムの総合リスクマネジメントサービスメニュー 18
  19. 19. Copyright © NTT Communications Corporation. All rights reserved. ◆ 25年にわたる豊富な経験と実績(8000件以上) プロフェッショナルサービスのメニュー 19 メニュー 対策概要 コンサルティング 総合 コンサルティング グローバル コンサルティング Global Enterprise Methodology (GEM)に基づくグローバル企業向けコンサルティング システムリスク アセスメント ITシステムセキュリティのベストプラクティスとのギャップ分析によるリスク評価 CSIRT構築支援 インシデントレスポンス体制整備支援 エントリー モデル バーチャルCSO 時間契約(前払い/80h)で、セキュリティに関する戦略的・実践的な助言を提供 非常勤 エキスパート 時間契約(半年分前払い/9日)で、特定の技術分野における専門家による技術的な助言を 提供 ワークショップ 個別テーマに関する教育セッション(1回半日) レスキュー サービス 総合インシデントレスポンス 緊急事態にプロフェッショナルエンジニアが 調査・分析を実施初動対応、調査分析、改善提案まで提供 インシデント初動対応パック 情報の整理、事象の把握と調査、被害の拡大防止までを実施 脆弱性診断 プラットフォーム脆弱性診断 OSやミドルウェアなどの脆弱性を検出、リスクを可視化 Webアプリケーション脆弱性診断 Webアプリケーションの脆弱性を検出、リスクを可視化 脆弱性マネジメン ト セルフ脆弱性診断 脆弱性診断~対策管理までを定期的・継続的にお客さま自身で行う環境を提供 総合脆弱性マネジメント CSIRT向け管理/統制支援 (システム情報管理、脆弱性検出/通知、対策/リスク管理機能をお客様専用基盤として 提供)
  20. 20. Copyright © NTT Communications Corporation. All rights reserved. 20 インフラストラクチャ プロテクション リスク マネジメント 日本個別メニュー(MDM 、PCウイルス対策等) <セキュリティ対策メニュー>  様々なセキュリティ機器からのアラートやサーバ等のログを精査、相関分析することで、 真の脅威を検出すると共に、感染端末の特定、攻撃の進展度合いを分析  入口対策で検出した脅威を内部対策や出口対策に連携し、被害を防止又は極小化 NWセキュリティ Firewall/IPS&IDS コンテンツセキュリティ Email/Web-Anti-Virus URL Filtering WAF (Web Application Firewall) VMセキュリティ VM-Anti-Virus/Firewall プロファイリング Application Profiling Network Profiling リアルタイムマルウエア 検知 RTMD Web/email (On site) Cloud base RTMD エンドポイントスレットプロテクション (End Point Threat Protection) CLA (非セキュリティ設備との総合ログ相関分析) インフラストラクチャ プロテクション リスクマネージメント& スレットプロテクション A 突発的な脆弱性出現に緊急対応する カスタムシグニチャの運用 侵入/潜伏した未知の脅威や、内部の異常な振舞 を検知・分析する GROC+独自SIEMの総合ロ グ相関分析と重篤度判定、防御のための制御実施 B F D E C C *1 グローバルリスクオペレーションセンタ *2 セキュリティインフォメーションアンドイベントマネジメント *3 モバイルデバイスマネジメント *3 *1 *2 マルウェアの検知~分析~感染端末の特定~隔離 と被害拡大を一連制御するトータルマネジメント Windows環境に潜伏したマルウェアの振舞を 検知~分析~拡散防止する国内初の独自対策 マルウェアの検知~分析~防御(拡散防止)~駆 除までをクラウド型サービスで一元的に提供 D 1 2 1 2 サイバー攻撃に対する多層防御ソリューション
  21. 21. Copyright © NTT Communications Corporation. All rights reserved. 21 パソコン 既知ウイルス対策ソフト 攻撃サイト Sandbox (未知ウイルス検知) スパムメールを隔離 既知ウイルス付メール排斥 入口 対策 入口 対策 内部 対策 マルウェア振舞検知・防御 攻撃証跡収集・ネットワークから隔離 内部 対策 内部 対策 マルウェアと攻撃者間 の通信を即時に遮断 Sandbox(仮想環境)でファ イル実行→感染可能性検知 メール サーバ アンチウイルス スパムメール 感染による活動 公開Web サーバ Webアプリケーション ファイアウォール 専門分析官 (24時間365日) 脆弱性攻撃・ID/Pass総当 たり攻撃等を検知・遮断 独自開発ログ総合相関分析システムと高度な 分析官による即時検知・防御のための制御 USBメモリ Sandbox(仮想環境)で分析した 未知ウイルスから、悪性サイトを 検出し、攻撃者との通信を検知 Sandbox(未知ウイル ス による悪性通信検知) 出口 対策 NTT Com グローバルリスクオペレーションセンター 入口対策:Webサイトへの攻撃、ウイルスの 社内流入を検知・防御 内部対策:ウイルスがPCの脆弱性を突いた感 染を防止、感染後の行動を検知。感染PCの隔 離、被害範囲確定 出口対策:ウイルス感染しても攻撃が成立し ないよう攻撃者との通信遮断 お客さま ICT環境 Webアクセス フィルタリング 出口 対策 プロキシ サーバ C B D E ログ/アラート 制御  NTT Com の WideAngle は多層防御のコンセプトにて、入口/内部/出口の各ステージで対策を実施  グローバルリスクオペレーションセンターで高度分析を行い、各ステージ間を連携、被害防止・極小化 ファイアウォール/IDS(侵入検知装置)/IPS(侵入防御装置)/アンチウィルスA 連携/制御 F C サイバー攻撃に対する多層防御ソリューション
  22. 22. Copyright © NTT Communications Corporation. All rights reserved. ・独自開発の新セキュリティ運用基盤と専門アナリストによる運用監視 体制により、サイバー攻撃などのリスクを最小化 ・お客様はロケーション(クラウド/コロケーション/お客様拠点)に 関わらずサービスをご利用可能 * SIEM:Security Information and Event Management グローバルリスク オペレーションセンター 新セキュリティ運用基盤 運用監視/ログ収集 お客さま レポート イベント通知 改善提案 * Engine 等 ※Bizホスティングエンタープライズクラウドではオプションとしてご提供 お客さま拠点コロケーションクラウド マネージドセキュリティサービスの提供体制 22
  23. 23. Copyright © NTT Communications Corporation. All rights reserved. “ShellShock” 0:00 ①脆弱性公開 パッチ提供 0-day 20時間 IPS A製品 B製品 WAF C製品 D製品 9/25 13:00 作成 9/26 17:30 公式提供 9/29 10:00 公式提供 9/27 10:30 公式提供45.5 時間 87.5 時間 28.5 時間 9/25(木) 26(金) 27(土) 28(日) 29(月) 15:00 ②脆弱性公開 (修正もれ) 11:00 ②パッチ提供 ▲ ▲ ▲ ● ● 9/25 13:00 作成 ● ● 9/25 18:30 作成 ● ● 9/25 22:00 作成 ● 9/2? ??:00 公式提供 ● ?? 時間 GROCのカスタムシグニチャ緊急対応サービス 23 A B
  24. 24. Copyright © NTT Communications Corporation. All rights reserved. 「RTMD」&「EPTP Validation & Isolation」連携 24 エンドポイント 管理機能 RTMDで検知した ウイルスの振る舞い情報 社内PC管理社内サーバ管理 ・感染範囲・端末の特定 など実態の把握が可能 ・感染端末の隔離が可能 リアルタイムマルウェア検知 (RTMD Web/email (On site) ) RTMD Mail RTMD管理機能 RTMD Web (仮想実行環境による メールの解析) (仮想実行環境による ウェブトラフィックの解析) FW EPTP Validation & Isolation グローバルリスクオペレーションセンター ・リアルタイム解析 ・攻撃内容、重篤度通知 ・インシデントレスポンス ・フォレンジック対応 FireEye サイバー デフェンス センター Internet Agent AnywhereTM ウイルスの振る舞い情報を もとにスキャンの実施 ・送受ファイルの感染有無確認(RTMDによる振る舞いでの未知のウィルス検知)情報を活用した網内 全PC/サーバに対する総スキャンでの感染範囲の確認(インシデントレスポンス機能) ・サーバ/PCの感染範囲証跡記録、漏洩情報等攻撃の活動範囲、内容の確認(フォレンジック機能) ・エンドポイント管理機能を活用したリモートによる迅速な感染端末のLANからの隔離、以降の拡散防 止(インシデントレスポンス) 考えうる既知の攻撃防御→未知(APT等標的型攻撃、社内からの漏洩)の攻撃検知 ⇒ 検知のみならず以降の攻撃からの防御 ⇒ 攻撃の証跡、影響範囲の把握 ⇒ 全般的な影響範囲把握、以降の情報漏洩事故等の阻止 ⇒ 法的対応を可能とする証拠収集 顧客ニーズの変遷 サービス拡大範囲 (EPTP Validation & Isolation) お客さまICT 環境 C D 1 1
  25. 25. Copyright © NTT Communications Corporation. All rights reserved. Sandbox運用(RTMD)における真の脅威の絞り込み 25 C 機器でマルウェアの可能性があると検知されたイベント/アラート のうち真に対応が必要となるものは約30%であり オペレーションの中で仕分けることが必要です 機器で 実施する範囲 NTT Comが 独自ノウハウで 実施する範囲 既存セキュリティ対策を突破したファイル/通信 Sandbox機器で検知したファイル/通信 検知したファイル/通信を分析し、 分析エンジンとアナリストで仕分けを実施 対処すべき 未知のマルウェア ? ? ? 約30%に 絞り込まれる 独自開発した マルウェア判定エンジンで、 効率的&高精度な検知を実現 数百万台のクライアントウイル ス対策と約6,000台のセキュリ ティ機器の運用ノウハウで、更 なる仕分け! * 1
  26. 26. Copyright © NTT Communications Corporation. All rights reserved. RTMDで検出した侵害の兆候を既存セキュリティ機器に連動させて防御する 悪性サイトに誘導する メールやマルウェアを 添付したメールを送付 ターゲット 攻撃者 URLをクリックしたり、 添付ファイルを開封し、 マルウェアに感染 実在する人物・団体を装ったり、 いかにも開きたくなる文面で送付 社内システム マルウェア配布サイト /C&Cサーバ ウイルス対策 ソフトでは検知されない 標的企業 マルウェアが攻撃者の C&Cサーバと通信し、 遠隔操作や情報窃取などが可能に。 または、新たなマルウェアを 追加ダウンロード 管理者権限などで ほしい情報を探索 AV/AS FW/IPS /Proxy RTMDにより検知した未知の脅威(マルウェア・エクスプロイト・悪意あるWEBサイト通信等)情報を検証する複数ベンダのマルウェ ア検知機能(BeatWash)により、疑わしいURL情報を抽出 危険と判定されたURLについて、機器のURLフィルタリング機能を利用して、危険サイトへの接続を準リアルタイムに暫定的に遮断 アナリストによる詳細分析により危険サイトの真偽判定、恒久遮断・許可判定反映 オンプレミス型RTMDの付加サービスとして、攻撃者との通信を遮断することにより攻撃を防御 Sandbox ①ファイル をコピー NTT Com グローバルリスクオペレーションセンター Reputation DB リスクアナリスト ③疑わしいURL 情報を抽出 ②ファイルの解 析結果を送信 ④危険と判定された URL情報を自動連携 BeatWash⑤Reputation DBの ブラックリスト情報 により情報精査 (2時間以内) お客さま 運用担当者 URL情報に関するお 問い合わせへの対応 □次世代ファイアウォール パロアルトネットワークス社 □プロキシサーバ ブルーコートシステムズ社 Squid(オープンソース) □Webフィルタリング製品 デジタルアーツ社(NEW!) 通常の 安全なサイト ②~④平均10分以内 (最大20分以内) 1 2 3 F 26
  27. 27. Copyright © NTT Communications Corporation. All rights reserved. Cloud base RTMD(リアルタイムマルウェア検知)サービス Internet トレンドマイクロ社 アンチウィルス ゲートウェイ メールサーバーなど <攻撃者> お客さまICT環境 Arcstar Universal One *本サービスには監視回線が含 まれておりませんので別途契約 が必要です。L3接続、Cloud- GW接続オプションが必要です。 TrendLabs NTTコムSOC Deep Discovery Analyzer (Sandbox) 本サービスでの提供範囲お客様にご準備いただく範囲 パターンファイル 配信サーバ 既知ウィルスは パターンファイルで検知 ※2トレンドマイクロ社のGW製品で、未知ウイルスの可能性があると判定されたファイル ② Sandbox技術による 未知のウィルス検知 ③ トレンドマイクロ社と提携し パターンファイルの開発 ④ パターンファイル の配信 ⑤ パターンファイルの更新 既知ウイルスとして検知・防御 ※1 C&Cサーバリストダウンロード機能 サービス提供基盤 ①パターンファイルをすり抜けた 未知ウイルスは転送※2 ・未知のウイルスの検知、分析、防御の一連のサイクルを自動で行うクラウド型Sandboxサービス ・お客様のアンチウイルスGWと連携し、NW経由で容易にSandbox解析機能を利用可能 ・トレンドマイクロ社と協業し、未知ウイルスのパターンファイルを自動生成し、GWへ配信 C 27 2
  28. 28. Copyright © NTT Communications Corporation. All rights reserved. EPTP Analysis & Blocking FFR yarai Windows Error Reporting EPTPエンジン(MTDS連携・ブロック機能) MTDS Analyzer 企業LAN ※必要に応じて エスカレーション NTTコム 分析センタ ・攻撃元URL ・攻撃コード ・分析レポート MSS FFR yarai ヘルプデスク (お客様CSIRT/SOC連携可能) セキュリティ監視 yarai管理 MTDSMTDS アナリスト@US ・攻撃元URL ・攻撃コード 2 3FFR EMC お客様環境 Mail MTDS Collector クラッシュ& 攻撃発生時の メモリダンプ 1 MTDS アナリスト (SOCメンバー) FFR yaraiの管理サーバ ・yaraiの検知情報集積 ・検知ルールの配布 ・FFR yaraiの攻撃検知やWindows異常検知のログを一元的に収集/管理 ・Microsoftと連携したログ分析技術により攻撃元URLや攻撃コード等の情報を抽出しブラックリスト化 ・ブラックリストをFFR yaraiに反映し、当該攻撃の再発や同手法による未知の攻撃をブロック D 28 2
  29. 29. Copyright © NTT Communications Corporation. All rights reserved. SIEM (Security Information and Event Management) セキュリティ機器 非セキュリティ機器 Firewall Proxy Windows Linux Apache IIS IDS IPS Sandbox Anti Virus UTM NGFW 総合分析・脅威通知サービス は, さまざまな機器のログを収集し, お客さま 環境に潜在するセキュリティリスクを発見するログ相関分析サービス ログ収集 (ビッグデータ) 分析エンジン L3アナリスト E 侵入/潜伏した未知のリスクも可視化する独自SIEM+GROCの総合ログ相関分析 29
  30. 30. Copyright © NTT Communications Corporation. All rights reserved. CLAサービスの検知性能について *1 2014年7月7日~8月28日 *2 Real Time Malware Detection NTT Com グループ独自のSIEMエンジンやブラックリストなどにより、従前の 対策で検知困難な未知の重篤なセキュリティ脅威を発見 <未知の重篤なセキュリティ脅威検知事例> 53日間*1の重篤な脅威検知数導入内容(A社様) 従前の対策による既知の脅威検知に比べ 約10倍 のセキュリティ脅威を検知 4件 IPS/IDSによる検知 NTT Comグループ独自セキュリティ 運用基盤による未知の脅威検知 SIEMエンジンによる検知:11件 独自ブラックリストによる検知:2件 従前の対策による既知の脅威検知 Sandbox技術を活用したRTMD*2 による検知 35件 (内訳) 22件 (内訳) 13件 170億件/53日のログを抽出 監視対象:PC約8万台 (ログソース:IPS/IDS, Sandbox, PROXY) セキュリティ運用基盤による分析 22万件の疑わしい ログに絞り込み リスクアナリストによる重篤度判定 39件の重篤な セキュリティ脅威を検知 30 E
  31. 31. Copyright © NTT Communications Corporation. All rights reserved. ご清聴ありがとうございました。 総合リスクマネジメントサービス「WideAngle」 http://www.ntt.com/wideangle_security/

×