SlideShare a Scribd company logo

Bc threat intelligence_rev2.1

Download as PPTX, PDF
Takayoshi Takaoka
Takayoshi Takaoka

サイバーセキュリティ時代に求められる脅威インテリジェンスについて

Internet
1 of 44
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 1 未知の脅威への切り札: 脅威インテリジェンス最前線 THREAT INTELLIGENCE for CYBER SECURITY ブルーコートシステムズ合同会社 髙岡 隆佳 データセキュリティ・スペシャリスト
未知の脅威に対する現状 Buzz word “Threat Intelligence”
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 3 企業 SOHO/モバイル IoTデバイス #1 動的なインターネット環境に潜む脅威 70% = ダイナミック* ? 22% = 脅威 *24h以内に消滅するURL/ホスト 割合はブルーコートラボ調べ 既存の セキュリティ層 NGFW, UTM, IPS, Sandbox… etc. 感染ルートの 横展開
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 4 #2 高度化する標的型メール 企業 SOHO/モバイル ? 既存の メールフィルタ層 SEG, Anti-Spam, Sandbox, etc. Attacker アカウントハック BlueCoat Systems CSIRT Team Malware Analyst John Travis 仕事上関係のある既知の送信者 PDFを装ったマルウェア 信頼度を上げてしまう本物の署名 全く別の不正なサイトへ誘導するURL 標的のための 標的企業
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 5 #3 攻撃の温床となるクラウド ストレージサービス ターゲット 攻撃者 UPLOAD https://yabaibox.com/xkenas SSL 近年ファイル共有(オンラインストレージ)サービスを悪用した攻撃が多発  Dropbox.com, Box.com, Cubby.com, Copy.comなど  Amazon, Google, and MS clouds  これらはすべてHTTPS(SSL)通信!!!故に既存のセキュリティで防げない
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 6 S S L S S L S S L 企業 SOHO/モバイル IoTデバイス #4 増加するSSL通信に潜むリスク ? SaaS シャドーIT シャドーIT SSL = 20% ~ 70% 今後もHTTP/2やSaaSの普及により増加傾向 既存の セキュリティ層 NGFW, UTM, IPS, Sandbox… etc.
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 7 #5 SOC/CSIRTにおける運用負荷 企業 既存の セキュリティ層 NGFW, UTM, IPS, Sandbox… etc. SOC/CISRT 企業におけるIT/セキュリティ管理SNMP SIEM ! ! ! 正確性に欠くセキュリティレイヤーによる 誤検知 & 過検知 蓄積する大量の ログ分析 AD/File DB ! ! …その大抵は事後対応
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 8 企業のCISOやCSIRTに関する実態調査2016 2015年 IPA 「企業のCISOやCSIRTに関する実態調査2016」より出典 必要な「見える化」とは  ゼロデイ・標的型・水飲み場…  リスクとなるユーザの挙動 (ウェブ・メール・ファイルアクセス・BYOD)  感染端末のアクティビティ  IoC(Indicator of Compromise)  SSL通信(C&C・シャドーITなど) 目の前の課題しか見ていない現状  課題の見極め・設備投資のプライオリティ付 けが重要
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 9 企業への警鐘 目の前の被害に囚われすぎていませんか?  話題の攻撃手法・マルウェアに対応できればよいのですか?  同じ手法がいつまでも使われると思っていますか?(Emdivi?, PlugX?)  場当たり的な対応では未知の脅威に対応することはできません  大事なのは すべての攻撃ベクトルにおいて 未知の攻撃を検知・対処ができる仕組み のための投資を見極めることです Web 19% Email 78% Other 3%
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 10 ゼロデイ・標的型・ C&C通信に対応しうる リアルタイムの 脅威検知と防御 拠点/モバイル/IoTまで 網羅された セキュリティ対策 の施行と証跡管理 企業のセキュリティ網 が見逃すリスクの高い SSL通信可視化と 情報漏洩対策 今日の企業における課題のまとめ
未知の脅威を特定するために Identify dynamic malicious unknowns
12Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. From RSA Conference 2016 事実に基づく知見・前後関係・メカニ ズム・指針・影響や脅威に対する実施 可能なアドバイスなどから脅威に必要 な対処を可能にする情報を提供する 内部および外部の脅威についての意 図・目的・影響度の詳細、また脅威イ ンテリジェンスはそれらに対する戦 略・技術・対処を提供するべきもの 2016 RSA Conference Wade Baker “Bridging the Gap Between Threat Intelligence and Risk Management”より転載
13Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved.
14Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 迅速なサイバーセキュリティ対策に脅威インテリジェンスを活用 脅威インテリジェンス市場調査 (IANS) 脅威インテリジェンス:市場調査 IANS CUSTOM REPORT WRITTEN BY DAVE SHACKLEFORD MARCH 2015より転載
15Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 脅威インテリジェンスのサイクル 方向性 収集 処理分析 普及 インテリジェンスの利用目的と必要な要件の見極め 要件を満たすための知見収集 知見の集約された結果の配布 知見の評価、統合、読み取り 知見の加工と処理 Threat Intelligence (TI)
16Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. Risk Management Process (NIST 800-39) 枠組み 評価 対応監視 枠組み: リスクに基づく判断のために前後関 係を理解し実行可能な戦略を立てる 評価: 組織におけるリスクのレベルを決定し うるすべての分析対象を包含する 監視: 適切な実行方法の確認、効果の測定、 リスク値変更時の影響の確認など 対応: リスクの評価と決定がなされた場合に 組織が解決する手段
17Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. Risk Management Process (ISO 27005) 前後関係の把握 リスクの確認 リスクの分析 リスクの評価 リスクへの対応 リスクの容認 リスクの査定 リスクの判断1 査定は十分か? リスクの判断2 対応は十分か? リスクの共有と相談 リスクの監視と再調査 監視枠組み 評価 対応
18Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. RMPに基づくTIの適用イメージ システム設計&内部統制 リスクの確認 リスクの分析 リスクの評価 リスクへの対応 リスクの容認 脅威インテリジェンス リスクの判断1 査定は十分か? リスクの判断2 対応は十分か? SOC/CSIRT セキュリティ製品 監視枠組み 評価 対応
19Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 脅威情報の共有スキームの利用 「最新セキュリティ情報の分析と洞察」より抜粋 https://asmarterplanet.com/jp-security/blog/2015/07/80.html
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 20 ベンダー版脅威インテリジェンスの問題 統一化された分析基準がない 2 何を以って怪しいと判断したか公開されない 1 3 未知の脅威に対応しうるかどうか確証がない IP hostTAXII URL File Malware hash SSL TISTIX
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 21 主要ベンダー脅威インテリジェンスまとめ ベンダー名 分析・共有されるデータ 連携先 T社 自社サンドボックス分析による新規シグニチャお よびC&C IP情報 エンドポイント S社 自社製品から収集されたファイル情報、IP、ドメ イン、製品脆弱性情報、マルネット情報 SOAP経由で各製品へ配信 F社 自社サンドボックス分析によるマルウェア、ファイル 名、C&C IP情報 FaaS経由での対処(IoCに基づくSIEM/境界 線製品への反映) W社 URL/File/IP/アプリに基づく相関分析 他社境界線製品 C社 自社製品から収集されたURL/ファイル情報、及 びオープンソースデータ、侵入検知情報などに基 づく 自社製品内での活用 P社 自社製品から収集されたファイル情報に基づく 分析結果 自社コミュニティ経由での参照 自社製品およびマルウェア研究所 からのフルパスのURL,ファイル、 IP、C&C IPおよび数百のリスク 要因に基づく分析結果(リスク値) 自社製品全般(プロキシ、メール フィルタ、クラウド、SSL可視化、 フォレンジック、サンドボックス)
22Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 脅威に対する判断力: 脅威インテリジェンス 未知の脅威に対し自己判断力が乏しい製品は・・・ Critical!!! 誤検知・過検知アラートで運用負担 … 肝心の脅威に反応できず感染、事後対応の負担 もしくは;; 未知の脅威に対し自己判断力があれば…  一発屋ホスト  改ざんサイト  水飲み場攻撃  未知マルウェア  リスクの高いウェブ、 クラウドアプリ (シャドーIT)  ゼロデイ  産業スパイ  内部不正  SSL悪用マルウェア  DNSトンネリング  SQLインジェクション 脅威インテリジェンス このサイトの証明書はあやしい発行 元のものだから紐解いてみよう。過去 マルネットと通信した経歴のあるリンク 先だな、それに今もマルウェアをホスト しているな。これはブロックしよう!
脅威インテリジェンス最前線 How to recognize “unknown” threats?
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 24 何を以って脅威を判断するか 脅威インテリジェンスのゴール 「人」ではなく「コンピュータ」(すなわち 製品側)が脅威を判断できること しかし「コンピュータ」には「感覚」「意 思」「脈略」「文化」の処理が欠如 脅威インテリジェンスもデジタルの世界 で人間同様の判断能力が求められる 色質感 形 動き
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 25 神経言語学に基づくアプローチ 想定できるリスクは? 凶器 男性 高速道路 汚い 服装 朝方か 夕方
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 26 神経言語学に基づくアプローチ NLP(Neuro-Linguistic Programming) 心理セラピー的な要素で、正しい判断能力、思 考回路の形成に役立つ 「コンピュータ」が「様々な要素」から論理的思考 に基づき対象を分析 人間に変わりRisk Management Process (枠組みに従い評価・監視)を実行
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 27 結論 対象のあらゆる情報が可能な限り必要 IP, 通信先国, カテゴリ, ルートドメイン, ホス ティング元, 証明書発行元, 通信パターン, コン テンツ(言語, 文, リンク, 画像, ファイル等), 歴史, セキュリティ強度, などなど 送信元, ヘッダ, 文, 署名, リンク, 添付ファイル ウェブ メール インターネットにおいては数百のリスク要因(context)が存在する
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 28 いままでの機械的な分析 “X” “Not-X”
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 29 いままでの機械的な分析 “X” “Not-X” ゴール: すべてのXを捉える  低い「閾値」の設定 問題: 誤検知の多発
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 30 いままでの機械的な分析 “X” “Not-X” ゴール: 閾値の最適化  低い「閾値」の設定 問題: 誤検知の最小化  誤検知はまだある
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 31 これからのAIによる識別 リスクレベル (10段階) リスクグループ (数十グループ) リスク要因 (数百項目) ゴール: すべてのリスク要因 を捉える 問題: リスク要因の 収集と高速な分析
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 32 正確な判断のために AIに求められる正確性 より多くの要素と手段を用いること(正確な情 報もあるが、殆どの場合はあいまいなものとなる) 「識別」システムによる「うんさんくささ」の表現 インフラ(ネイバー、ホスティング元)にフォーカ スした分析(新規マルネットの発見) Big Dataを高速で回し瞬時に正しい回答を 導き出すリアルタイム性を「どこ」に適用するか どこが怪しいのか?
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 33 数百に及ぶリスク要因に応じたレベル分け 正規サイトでもリアルタイムの状態に対する正しいリスクレベルで対応可能 脅威リスクレベル5 リスクグループA “ドメイン名の怪しさ” リスクグループC “ネイバーの怪しさ” リスクグループG “トラフィックの怪しさ” リスク要因 12 TLD リスク要因 25 … リスク要因 7 GBスコア リスク要因 6 奇妙度 リスク要因 89 … リスク要因 45 … リスク要因 17 IP GEO リスク要因 173 IP範囲 リスク要因 111 … リスク要因 50 … リスク要因 52 妙なポート リスク要因 38 ハンター 7-10: 危険 5-6: 怪しい 1-4: 安全
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 34 URLの正確な分析 –フルパスでの評価 その他 IPアドレス クエリ ファイル名 ディレクトリ ホスト ドメイン a.com IP: x.x.x.1 IP: x.x.x.2 y.a.comx.a.com /bin /src 1.exe crush.exe SSL? TLS? SPDY? Index.html 通信先は ? クエリの 応答は? リンクは ? カテゴリは ? 言語は ?
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 35 ブルーコートの脅威インテリジェンス・分析フロー DBにはマルウェア研究所の リサーチや、ステージ5の バックグラウンド調査、顧 客のフィードバックなどを通 じて反映されます。  怪しい通信 (Traffic Cops, etc.)  新規・信用できないグ ループ  怪しい名前(TLDs)  怪しいホスティング (DynDNS, FreeHost, etc.)  サーバDNA (Malnet Tracker, etc.)  怪しいネイバー (IP, Range, etc.)  怪しい応答  ネットワークエラー  うそ発見器検知  怪しいコンテンツ (EXE, JAR/ZIP, PDF, JScript, ...)  フィッシング検知  メタルール・モジュール  Yaraルール・モジュール リスク要因の積み上げで の評価もここで反映  マルネット追跡  サイトのプロファイル  IPプロファイル  ハッキングされたサイト  Chatter(司令・踏み 台)  過去の歴史・経緯(IP, サイト自体) DBはカテゴリとリスクレベルを 後の処理にて算出し、適宜 更新されます。 すべてはリクエストから始まり ます。 (この時点でフルパスのURLと HTTPヘッダ情報を持ちます) このステージでIPアドレスの 解決をします。 宛先サーバからのレスポンス を分析します。 (コンテンツがあれば併せて) より深い視点での分析を行 います。 多角的な情報を可能な限 り積み上げてサイト自体の ふるまいを評価します。
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 36 ブルーコートの脅威分析エンジン: GIN 世界8000万ユーザー / DCは世界34ヶ所 不正なサーバ検知に対する高い評価と実績 1日に10億件の未知サイト分析要求 99.9%の正確性 / 最大4カテゴリへ分類 世界的な言語対応(55ヶ国語) ウェブ(SSL通信、シャドーIT含む)・メールに適用 [評価] [正確性] [対応力] 深い知見を元に脅威を見抜く判断力をリアルタイムに提供 Global Intelligence Network
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 37 公開されない脅威インテリジェンスの質 … … … … … … … … … すべては無駄なアラート コンテンツスキャンを減らすため。 URL上のコンテンツ マイナーな国の言語 ホストの通信パターン 証明書の状態と中身 マルネット・ボットネット上の新規ホスト サーバの場所(国) 過去と現在のリスク 訪問者の傾向 ・・・など数百におよぶリスク要因から分析 P社 M社 C社 W社 Z社 C社 クラウドサービスブルーコートが特定した一発屋ホスト SOC/CSIRTなどで 事中・事後対応必要 (感染リスク) (漏洩リスク) (賠償リスク) (持ち込み感染 端末による二次 感染リスク) (漏洩リスク) (賠償リスク)
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 38 攻撃の始点を予測・捉えることができるものを選択すべし • 攻撃のソースはインターネットから(マルネット、ボットネット、改ざんサイト、水飲み場、クラウド・・・) リアルタイム性・正確性・適用性の高いものを選択すべし • 攻撃は世界規模、各国に散らばる攻撃サーバ(改ざんサイト含)のコンテンツをリアルタイムで分析 リスク(マルウェア等)を中に入れないためのポイントに適用すべし • マルウェアをダウンロードしてからでは遅いので、リスクをユーザから分離して分析できるセキュリティレイ ヤーにて脅威インテリジェンスを活用すべし 脅威インテリジェンスの押さえどころ
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 39 リスクに基づくURLアクセスの制御 リスク コンテンツスキャン 警告 コンテンツの制御 選択的なブロック 0 全バイナリファイル (安全なサイトであっても) なし なし なし 1 なし なし なし 2 なし なし なし 3 なし なし EXE, JARのブロック (安全なカテゴリは除く) 4 なし カテゴリに応じて必要なもの を選択 EXEs, JAR, アーカイブのブロック 5 なし JavaScript無効化 (カテゴリに応じて) 上記に加えFlashもブロック 6 警告ページ表示 上記に加え 動的コンテンツ無効化 上記に加えPDF, POSTのブロック 7 正規・非正規問わずリスクが高ければすべてブロック (従来のProxyでは90カテゴリ以上に渡るため複雑なポリシーになる傾向があるが、 リスクレベルに応じたポリシーは管理が容易になりつつもよりセキュアな設定が可能) 8 9 10 正規サイトにも リスクが埋め込ま れている可能性 (改ざん、水飲み場)、 ゼロデイ・ 標的型マルウェア等 のリスク http:// リアルタイム分析
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 40 インシデント レスポンス 未知の脅威への対応 ふるまい分析と迅速な事中対策 コンテンツのフィルタリング ダウンロードコンテンツの多層フィルタ リスクと運用の最小化実装 99.9% の脅威ある URLアクセスのブロック 27% のスキャン 回避 12% のAV検知 向上 37% のサンドボックス 処理の最適化 URLで判定 リアルタイムURL評価 残り1% の未知の脅威の分析と マルウェアの目的・影響度把握 未知の脅威だけを炙りだす多層防御により運用とリスクを最小化 ! ハッシュ 評価 二重AV 処理 静的コード 分析 サンド ボックス ふるまいの リスク分析 ・・・・・・ SOC/CSIRT Pin-Point Approach
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 41 従来のアプローチ インシデント レスポンス 未知の脅威への対応 ふるまい分析と迅速な事中対策 ?% の脅威ある URLアクセスのブロック URLで判定 一般的なURLカテゴリ評価 ほぼ50% の既知・未知の脅威の特定 (誤検知・過検知含む) ! サンド ボックス ・・・・・・ SOC/CSIRT Alert Syndrome… シグニチャ ベース 静的 コード分析 ! ! ! ! ! ! ! 取りこぼし分の精査によるリスクとCSIRT運用負荷増大 検知URL BLへ追加 (過剰分精査必要)
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 42 標的型のベクトルすべてを網羅し、リスクと運用を最小化 リアルタイムAIによるリスク排除の自動化  ユーザのリスクの高いウェブアクセス  C&C通信  標的型メール添付  埋め込みURLリンク  証明書発行元  マルネット・ボットネット  リスクの高いシャドーIT  コンプライアンス対応  BYOD端末/IoC  アノマリー通信 GIN 脅威インテリジェンス
43Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. RMPに基づくGINの適用イメージ システム設計&内部統制 リスクの確認 リスクの分析 リスクの評価 リスクへの対応 リスクの容認 脅威インテリジェンス リスクの判断1 査定は十分か? リスクの判断2 対応は十分か? SOC/CSIRT セキュリティ製品 監視枠組み 評価 対応 GIN 脅威インテリジェンス Web プロキシ SSL 可視化 メール フィルタ クラウド サービス フォレン ジック サンド ボックス MC 統合管理システム リスクと運用の最小化
Bc threat intelligence_rev2.1

Recommended

Symc solution overview_rev0.8
Symc solution overview_rev0.8Symc solution overview_rev0.8
Symc solution overview_rev0.8Takayoshi Takaoka
 
私がなぜZscalerに?
私がなぜZscalerに?私がなぜZscalerに?
私がなぜZscalerに?Takayoshi Takaoka
 
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】Tomoyoshi Amano
 
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】 フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】 Tomoyoshi Amano
 
ニューノーマルセキュリティ~進化するクラウド環境におけるデータセキュリティの勘所
ニューノーマルセキュリティ~進化するクラウド環境におけるデータセキュリティの勘所ニューノーマルセキュリティ~進化するクラウド環境におけるデータセキュリティの勘所
ニューノーマルセキュリティ~進化するクラウド環境におけるデータセキュリティの勘所Eiji Sasahara, Ph.D., MBA 笹原英司
 
「NISTIR 8320A ハードウェア対応セキュリティ:コンテナプラットフォームのセキュリティプロトタイプ」概説
「NISTIR 8320A ハードウェア対応セキュリティ:コンテナプラットフォームのセキュリティプロトタイプ」概説「NISTIR 8320A ハードウェア対応セキュリティ:コンテナプラットフォームのセキュリティプロトタイプ」概説
「NISTIR 8320A ハードウェア対応セキュリティ:コンテナプラットフォームのセキュリティプロトタイプ」概説Eiji Sasahara, Ph.D., MBA 笹原英司
 
CCSK (Certificate of Cloud Security Knowledgebase)概要
CCSK (Certificate of Cloud Security Knowledgebase)概要CCSK (Certificate of Cloud Security Knowledgebase)概要
CCSK (Certificate of Cloud Security Knowledgebase)概要Masahiro Morozumi
 
シンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust Networkシンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust NetworkRyuki Yoshimatsu
 

Recommended

Symc solution overview_rev0.8
Symc solution overview_rev0.8Symc solution overview_rev0.8
Symc solution overview_rev0.8Takayoshi Takaoka
 
私がなぜZscalerに?
私がなぜZscalerに?私がなぜZscalerに?
私がなぜZscalerに?Takayoshi Takaoka
 
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】Tomoyoshi Amano
 
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】 フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】 Tomoyoshi Amano
 
ニューノーマルセキュリティ~進化するクラウド環境におけるデータセキュリティの勘所
ニューノーマルセキュリティ~進化するクラウド環境におけるデータセキュリティの勘所ニューノーマルセキュリティ~進化するクラウド環境におけるデータセキュリティの勘所
ニューノーマルセキュリティ~進化するクラウド環境におけるデータセキュリティの勘所Eiji Sasahara, Ph.D., MBA 笹原英司
 
「NISTIR 8320A ハードウェア対応セキュリティ:コンテナプラットフォームのセキュリティプロトタイプ」概説
「NISTIR 8320A ハードウェア対応セキュリティ:コンテナプラットフォームのセキュリティプロトタイプ」概説「NISTIR 8320A ハードウェア対応セキュリティ:コンテナプラットフォームのセキュリティプロトタイプ」概説
「NISTIR 8320A ハードウェア対応セキュリティ:コンテナプラットフォームのセキュリティプロトタイプ」概説Eiji Sasahara, Ph.D., MBA 笹原英司
 
CCSK (Certificate of Cloud Security Knowledgebase)概要
CCSK (Certificate of Cloud Security Knowledgebase)概要CCSK (Certificate of Cloud Security Knowledgebase)概要
CCSK (Certificate of Cloud Security Knowledgebase)概要Masahiro Morozumi
 
シンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust Networkシンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust NetworkRyuki Yoshimatsu
 
Ccsk 160927
Ccsk 160927Ccsk 160927
Ccsk 160927Masahiro Morozumi
 
クラウド接続した医療機器のサイバーセキュリティ対策
クラウド接続した医療機器のサイバーセキュリティ対策クラウド接続した医療機器のサイバーセキュリティ対策
クラウド接続した医療機器のサイバーセキュリティ対策Eiji Sasahara, Ph.D., MBA 笹原英司
 
セキュアなサーバーレスアーキテクチャ設計手法の概説 (v0)
セキュアなサーバーレスアーキテクチャ設計手法の概説 (v0)セキュアなサーバーレスアーキテクチャ設計手法の概説 (v0)
セキュアなサーバーレスアーキテクチャ設計手法の概説 (v0)Eiji Sasahara, Ph.D., MBA 笹原英司
 
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...オラクルエンジニア通信
 
アプリケーションコンテナ/マイクロサービスのセキュリティ概説
アプリケーションコンテナ/マイクロサービスのセキュリティ概説アプリケーションコンテナ/マイクロサービスのセキュリティ概説
アプリケーションコンテナ/マイクロサービスのセキュリティ概説Eiji Sasahara, Ph.D., MBA 笹原英司
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデルシスコシステムズ合同会社
 
医療分野のドローンの利用事例
医療分野のドローンの利用事例医療分野のドローンの利用事例
医療分野のドローンの利用事例Eiji Sasahara, Ph.D., MBA 笹原英司
 
ヘルスケア・イノベーション公開勉強会 #1
ヘルスケア・イノベーション公開勉強会 #1ヘルスケア・イノベーション公開勉強会 #1
ヘルスケア・イノベーション公開勉強会 #1Eiji Sasahara, Ph.D., MBA 笹原英司
 
DXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティ
DXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティDXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティ
DXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティEiji Sasahara, Ph.D., MBA 笹原英司
 
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用Eiji Sasahara, Ph.D., MBA 笹原英司
 
マイクロサービスのセキュリティ概説
マイクロサービスのセキュリティ概説マイクロサービスのセキュリティ概説
マイクロサービスのセキュリティ概説Eiji Sasahara, Ph.D., MBA 笹原英司
 
クラウドにおける医療ビッグデータのプライバシー保護/セキュリティ管理
クラウドにおける医療ビッグデータのプライバシー保護/セキュリティ管理クラウドにおける医療ビッグデータのプライバシー保護/セキュリティ管理
クラウドにおける医療ビッグデータのプライバシー保護/セキュリティ管理Eiji Sasahara, Ph.D., MBA 笹原英司
 
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)Masanori KAMAYAMA
 
バラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューションバラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューションBarracudaJapan
 
医療分野のドローンの利用事例
医療分野のドローンの利用事例医療分野のドローンの利用事例
医療分野のドローンの利用事例Eiji Sasahara, Ph.D., MBA 笹原英司
 
コンテナ/マイクロサービス/サーバーレスのセキュリティと監査
コンテナ/マイクロサービス/サーバーレスのセキュリティと監査コンテナ/マイクロサービス/サーバーレスのセキュリティと監査
コンテナ/マイクロサービス/サーバーレスのセキュリティと監査Eiji Sasahara, Ph.D., MBA 笹原英司
 
NIST:クラウドコンピューティング参照アーキテクチャ(概説)
NIST:クラウドコンピューティング参照アーキテクチャ(概説)NIST:クラウドコンピューティング参照アーキテクチャ(概説)
NIST:クラウドコンピューティング参照アーキテクチャ(概説)hidekazuna
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021Riotaro OKADA
 
クラウドの汎用的な基礎知識に自信はありますか?
クラウドの汎用的な基礎知識に自信はありますか?クラウドの汎用的な基礎知識に自信はありますか?
クラウドの汎用的な基礎知識に自信はありますか?Masanori KAMAYAMA
 
医療分野のブロックチェーン利活用
医療分野のブロックチェーン利活用医療分野のブロックチェーン利活用
医療分野のブロックチェーン利活用Eiji Sasahara, Ph.D., MBA 笹原英司
 
Reversing blue coat proxysg - wa-
Reversing blue coat proxysg - wa-Reversing blue coat proxysg - wa-
Reversing blue coat proxysg - wa-idsecconf
 
Bluecoat Services
Bluecoat ServicesBluecoat Services
Bluecoat ServicesChessBall
 

More Related Content

What's hot

クラウド接続した医療機器のサイバーセキュリティ対策
クラウド接続した医療機器のサイバーセキュリティ対策クラウド接続した医療機器のサイバーセキュリティ対策
クラウド接続した医療機器のサイバーセキュリティ対策Eiji Sasahara, Ph.D., MBA 笹原英司
 
セキュアなサーバーレスアーキテクチャ設計手法の概説 (v0)
セキュアなサーバーレスアーキテクチャ設計手法の概説 (v0)セキュアなサーバーレスアーキテクチャ設計手法の概説 (v0)
セキュアなサーバーレスアーキテクチャ設計手法の概説 (v0)Eiji Sasahara, Ph.D., MBA 笹原英司
 
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...オラクルエンジニア通信
 
アプリケーションコンテナ/マイクロサービスのセキュリティ概説
アプリケーションコンテナ/マイクロサービスのセキュリティ概説アプリケーションコンテナ/マイクロサービスのセキュリティ概説
アプリケーションコンテナ/マイクロサービスのセキュリティ概説Eiji Sasahara, Ph.D., MBA 笹原英司
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデルシスコシステムズ合同会社
 
DXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティ
DXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティDXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティ
DXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティEiji Sasahara, Ph.D., MBA 笹原英司
 
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用Eiji Sasahara, Ph.D., MBA 笹原英司
 
クラウドにおける医療ビッグデータのプライバシー保護/セキュリティ管理
クラウドにおける医療ビッグデータのプライバシー保護/セキュリティ管理クラウドにおける医療ビッグデータのプライバシー保護/セキュリティ管理
クラウドにおける医療ビッグデータのプライバシー保護/セキュリティ管理Eiji Sasahara, Ph.D., MBA 笹原英司
 
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)Masanori KAMAYAMA
 
バラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューションバラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューションBarracudaJapan
 
コンテナ/マイクロサービス/サーバーレスのセキュリティと監査
コンテナ/マイクロサービス/サーバーレスのセキュリティと監査コンテナ/マイクロサービス/サーバーレスのセキュリティと監査
コンテナ/マイクロサービス/サーバーレスのセキュリティと監査Eiji Sasahara, Ph.D., MBA 笹原英司
 
NIST:クラウドコンピューティング参照アーキテクチャ(概説)
NIST:クラウドコンピューティング参照アーキテクチャ(概説)NIST:クラウドコンピューティング参照アーキテクチャ(概説)
NIST:クラウドコンピューティング参照アーキテクチャ(概説)hidekazuna
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021Riotaro OKADA
 
クラウドの汎用的な基礎知識に自信はありますか?
クラウドの汎用的な基礎知識に自信はありますか?クラウドの汎用的な基礎知識に自信はありますか?
クラウドの汎用的な基礎知識に自信はありますか?Masanori KAMAYAMA
 

What's hot (20)

Ccsk 160927
Ccsk 160927Ccsk 160927
Ccsk 160927
 
クラウド接続した医療機器のサイバーセキュリティ対策
クラウド接続した医療機器のサイバーセキュリティ対策クラウド接続した医療機器のサイバーセキュリティ対策
クラウド接続した医療機器のサイバーセキュリティ対策
 
セキュアなサーバーレスアーキテクチャ設計手法の概説 (v0)
セキュアなサーバーレスアーキテクチャ設計手法の概説 (v0)セキュアなサーバーレスアーキテクチャ設計手法の概説 (v0)
セキュアなサーバーレスアーキテクチャ設計手法の概説 (v0)
 
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
 
アプリケーションコンテナ/マイクロサービスのセキュリティ概説
アプリケーションコンテナ/マイクロサービスのセキュリティ概説アプリケーションコンテナ/マイクロサービスのセキュリティ概説
アプリケーションコンテナ/マイクロサービスのセキュリティ概説
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
 
医療分野のドローンの利用事例
医療分野のドローンの利用事例医療分野のドローンの利用事例
医療分野のドローンの利用事例
 
ヘルスケア・イノベーション公開勉強会 #1
ヘルスケア・イノベーション公開勉強会 #1ヘルスケア・イノベーション公開勉強会 #1
ヘルスケア・イノベーション公開勉強会 #1
 
DXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティ
DXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティDXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティ
DXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティ
 
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
ブロックチェーン/分散台帳の技術基盤とHealthTech/InsurTechへの適用
 
マイクロサービスのセキュリティ概説
マイクロサービスのセキュリティ概説マイクロサービスのセキュリティ概説
マイクロサービスのセキュリティ概説
 
クラウドにおける医療ビッグデータのプライバシー保護/セキュリティ管理
クラウドにおける医療ビッグデータのプライバシー保護/セキュリティ管理クラウドにおける医療ビッグデータのプライバシー保護/セキュリティ管理
クラウドにおける医療ビッグデータのプライバシー保護/セキュリティ管理
 
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
 
バラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューションバラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューション
 
医療分野のドローンの利用事例
医療分野のドローンの利用事例医療分野のドローンの利用事例
医療分野のドローンの利用事例
 
コンテナ/マイクロサービス/サーバーレスのセキュリティと監査
コンテナ/マイクロサービス/サーバーレスのセキュリティと監査コンテナ/マイクロサービス/サーバーレスのセキュリティと監査
コンテナ/マイクロサービス/サーバーレスのセキュリティと監査
 
NIST:クラウドコンピューティング参照アーキテクチャ(概説)
NIST:クラウドコンピューティング参照アーキテクチャ(概説)NIST:クラウドコンピューティング参照アーキテクチャ(概説)
NIST:クラウドコンピューティング参照アーキテクチャ(概説)
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
 
クラウドの汎用的な基礎知識に自信はありますか?
クラウドの汎用的な基礎知識に自信はありますか?クラウドの汎用的な基礎知識に自信はありますか?
クラウドの汎用的な基礎知識に自信はありますか?
 
医療分野のブロックチェーン利活用
医療分野のブロックチェーン利活用医療分野のブロックチェーン利活用
医療分野のブロックチェーン利活用
 

Viewers also liked

Reversing blue coat proxysg - wa-
Reversing blue coat proxysg - wa-Reversing blue coat proxysg - wa-
Reversing blue coat proxysg - wa-idsecconf
 
Bluecoat Services
Bluecoat ServicesBluecoat Services
Bluecoat ServicesChessBall
 
Empowering the Campus Network
Empowering the Campus NetworkEmpowering the Campus Network
Empowering the Campus NetworkBlue Coat
 
Symantec to-acquire-blue-coat-investor-presentation
Symantec to-acquire-blue-coat-investor-presentationSymantec to-acquire-blue-coat-investor-presentation
Symantec to-acquire-blue-coat-investor-presentationInvestorSymantec
 
Content Analysis System and Advanced Threat Protection
Content Analysis System and Advanced Threat ProtectionContent Analysis System and Advanced Threat Protection
Content Analysis System and Advanced Threat ProtectionBlue Coat
 
Symantec Investor Presentation November 2016
Symantec Investor Presentation November 2016Symantec Investor Presentation November 2016
Symantec Investor Presentation November 2016InvestorSymantec
 
What is Heartbleed?
What is Heartbleed?What is Heartbleed?
What is Heartbleed?Blue Coat
 
Vfm bluecoat proxy sg solution with web filter and reporter
Vfm bluecoat proxy sg solution with web filter and reporterVfm bluecoat proxy sg solution with web filter and reporter
Vfm bluecoat proxy sg solution with web filter and reportervfmindia
 
Education is the Key to Fighting Cyber Crime
Education is the Key to Fighting Cyber CrimeEducation is the Key to Fighting Cyber Crime
Education is the Key to Fighting Cyber CrimeBlue Coat
 
CAS MAA Infographic
CAS MAA InfographicCAS MAA Infographic
CAS MAA InfographicBlue Coat
 
Revolutionizing Advanced Threat Protection
Revolutionizing Advanced Threat ProtectionRevolutionizing Advanced Threat Protection
Revolutionizing Advanced Threat ProtectionBlue Coat
 

Viewers also liked (12)

Reversing blue coat proxysg - wa-
Reversing blue coat proxysg - wa-Reversing blue coat proxysg - wa-
Reversing blue coat proxysg - wa-
 
Bluecoat Services
Bluecoat ServicesBluecoat Services
Bluecoat Services
 
Empowering the Campus Network
Empowering the Campus NetworkEmpowering the Campus Network
Empowering the Campus Network
 
Symantec to-acquire-blue-coat-investor-presentation
Symantec to-acquire-blue-coat-investor-presentationSymantec to-acquire-blue-coat-investor-presentation
Symantec to-acquire-blue-coat-investor-presentation
 
Content Analysis System and Advanced Threat Protection
Content Analysis System and Advanced Threat ProtectionContent Analysis System and Advanced Threat Protection
Content Analysis System and Advanced Threat Protection
 
Symantec Investor Presentation November 2016
Symantec Investor Presentation November 2016Symantec Investor Presentation November 2016
Symantec Investor Presentation November 2016
 
What is Heartbleed?
What is Heartbleed?What is Heartbleed?
What is Heartbleed?
 
Vfm bluecoat proxy sg solution with web filter and reporter
Vfm bluecoat proxy sg solution with web filter and reporterVfm bluecoat proxy sg solution with web filter and reporter
Vfm bluecoat proxy sg solution with web filter and reporter
 
How to master Blue Coat Proxy SG
How to master Blue Coat Proxy SGHow to master Blue Coat Proxy SG
How to master Blue Coat Proxy SG
 
Education is the Key to Fighting Cyber Crime
Education is the Key to Fighting Cyber CrimeEducation is the Key to Fighting Cyber Crime
Education is the Key to Fighting Cyber Crime
 
CAS MAA Infographic
CAS MAA InfographicCAS MAA Infographic
CAS MAA Infographic
 
Revolutionizing Advanced Threat Protection
Revolutionizing Advanced Threat ProtectionRevolutionizing Advanced Threat Protection
Revolutionizing Advanced Threat Protection
 

Similar to Bc threat intelligence_rev2.1

細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威Noriaki Hayashi
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenterMasakazu Kishima
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会Hayato Kiriyama
 
サイバーセキュリティ対策の自動化に向けた機械学習技術の活用 [TTCセミナー, 2017/9/12]
サイバーセキュリティ対策の自動化に向けた機械学習技術の活用 [TTCセミナー, 2017/9/12]サイバーセキュリティ対策の自動化に向けた機械学習技術の活用 [TTCセミナー, 2017/9/12]
サイバーセキュリティ対策の自動化に向けた機械学習技術の活用 [TTCセミナー, 2017/9/12]Takeshi Takahashi
 
Signature & Model Hybrid Platform
Signature & Model Hybrid PlatformSignature & Model Hybrid Platform
Signature & Model Hybrid PlatformYOJI WATANABE
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...Amazon Web Services Japan
 
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動シスコシステムズ合同会社
 
【日商USA】webinar 2023.5.12 RSAカンファレンス2023 フィードバック
【日商USA】webinar 2023.5.12 RSAカンファレンス2023 フィードバック【日商USA】webinar 2023.5.12 RSAカンファレンス2023 フィードバック
【日商USA】webinar 2023.5.12 RSAカンファレンス2023 フィードバックNISSHO USA
 
最新事例に学ぶクラウドネイティブな医療AIのセキュリティ
最新事例に学ぶクラウドネイティブな医療AIのセキュリティ最新事例に学ぶクラウドネイティブな医療AIのセキュリティ
最新事例に学ぶクラウドネイティブな医療AIのセキュリティEiji Sasahara, Ph.D., MBA 笹原英司
 
論文紹介: Machine Learning for Encrypted Malware Traffic Classification: Accounti...
論文紹介: Machine Learning for Encrypted Malware Traffic Classification: Accounti...論文紹介: Machine Learning for Encrypted Malware Traffic Classification: Accounti...
論文紹介: Machine Learning for Encrypted Malware Traffic Classification: Accounti...Daisuke Kotani
 
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題Ruo Ando
 
2017年度 人工知能学会全国大会: 人工知能/機械学習を用いたサイバーセキュリティ
2017年度 人工知能学会全国大会: 人工知能/機械学習を用いたサイバーセキュリティ2017年度 人工知能学会全国大会: 人工知能/機械学習を用いたサイバーセキュリティ
2017年度 人工知能学会全国大会: 人工知能/機械学習を用いたサイバーセキュリティTakeshi Takahashi
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introductioncsig-info
 
医療機関へのサイバー攻撃の現状と危機管理対応、将来構想(提言)について
医療機関へのサイバー攻撃の現状と危機管理対応、将来構想(提言)について医療機関へのサイバー攻撃の現状と危機管理対応、将来構想(提言)について
医療機関へのサイバー攻撃の現状と危機管理対応、将来構想(提言)についてHealthcareBitStation
 

Similar to Bc threat intelligence_rev2.1 (20)

細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenter
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
 
サイバーセキュリティ対策の自動化に向けた機械学習技術の活用 [TTCセミナー, 2017/9/12]
サイバーセキュリティ対策の自動化に向けた機械学習技術の活用 [TTCセミナー, 2017/9/12]サイバーセキュリティ対策の自動化に向けた機械学習技術の活用 [TTCセミナー, 2017/9/12]
サイバーセキュリティ対策の自動化に向けた機械学習技術の活用 [TTCセミナー, 2017/9/12]
 
20160717 csc sec_bd
20160717 csc sec_bd20160717 csc sec_bd
20160717 csc sec_bd
 
Signature & Model Hybrid Platform
Signature & Model Hybrid PlatformSignature & Model Hybrid Platform
Signature & Model Hybrid Platform
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
 
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
 
【日商USA】webinar 2023.5.12 RSAカンファレンス2023 フィードバック
【日商USA】webinar 2023.5.12 RSAカンファレンス2023 フィードバック【日商USA】webinar 2023.5.12 RSAカンファレンス2023 フィードバック
【日商USA】webinar 2023.5.12 RSAカンファレンス2023 フィードバック
 
最新事例に学ぶクラウドネイティブな医療AIのセキュリティ
最新事例に学ぶクラウドネイティブな医療AIのセキュリティ最新事例に学ぶクラウドネイティブな医療AIのセキュリティ
最新事例に学ぶクラウドネイティブな医療AIのセキュリティ
 
論文紹介: Machine Learning for Encrypted Malware Traffic Classification: Accounti...
論文紹介: Machine Learning for Encrypted Malware Traffic Classification: Accounti...論文紹介: Machine Learning for Encrypted Malware Traffic Classification: Accounti...
論文紹介: Machine Learning for Encrypted Malware Traffic Classification: Accounti...
 
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
 
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題
 
2017年度 人工知能学会全国大会: 人工知能/機械学習を用いたサイバーセキュリティ
2017年度 人工知能学会全国大会: 人工知能/機械学習を用いたサイバーセキュリティ2017年度 人工知能学会全国大会: 人工知能/機械学習を用いたサイバーセキュリティ
2017年度 人工知能学会全国大会: 人工知能/機械学習を用いたサイバーセキュリティ
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introduction
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
Vectra Networks Love
Vectra Networks LoveVectra Networks Love
Vectra Networks Love
 
P41 Thompson Jp[1]
P41 Thompson Jp[1]P41 Thompson Jp[1]
P41 Thompson Jp[1]
 
医療機関へのサイバー攻撃の現状と危機管理対応、将来構想(提言)について
医療機関へのサイバー攻撃の現状と危機管理対応、将来構想(提言)について医療機関へのサイバー攻撃の現状と危機管理対応、将来構想(提言)について
医療機関へのサイバー攻撃の現状と危機管理対応、将来構想(提言)について
 

Recently uploaded

あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]Taka Narita
 
動的 & 非同期コンポーネント / Dynamic & Async Components
動的 & 非同期コンポーネント / Dynamic & Async Components動的 & 非同期コンポーネント / Dynamic & Async Components
動的 & 非同期コンポーネント / Dynamic & Async Componentsokitamasashi
 
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docxWindows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docxivanwang53
 
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法ivanwang53
 
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーンWindowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーンivanwang53
 
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元ivanwang53
 

Recently uploaded (6)

あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
 
動的 & 非同期コンポーネント / Dynamic & Async Components
動的 & 非同期コンポーネント / Dynamic & Async Components動的 & 非同期コンポーネント / Dynamic & Async Components
動的 & 非同期コンポーネント / Dynamic & Async Components
 
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docxWindows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
 
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
 
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーンWindowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
 
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
 

Bc threat intelligence_rev2.1

  • 1. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 1 未知の脅威への切り札: 脅威インテリジェンス最前線 THREAT INTELLIGENCE for CYBER SECURITY ブルーコートシステムズ合同会社 髙岡 隆佳 データセキュリティ・スペシャリスト
  • 3. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 3 企業 SOHO/モバイル IoTデバイス #1 動的なインターネット環境に潜む脅威 70% = ダイナミック* ? 22% = 脅威 *24h以内に消滅するURL/ホスト 割合はブルーコートラボ調べ 既存の セキュリティ層 NGFW, UTM, IPS, Sandbox… etc. 感染ルートの 横展開
  • 4. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 4 #2 高度化する標的型メール 企業 SOHO/モバイル ? 既存の メールフィルタ層 SEG, Anti-Spam, Sandbox, etc. Attacker アカウントハック BlueCoat Systems CSIRT Team Malware Analyst John Travis 仕事上関係のある既知の送信者 PDFを装ったマルウェア 信頼度を上げてしまう本物の署名 全く別の不正なサイトへ誘導するURL 標的のための 標的企業
  • 5. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 5 #3 攻撃の温床となるクラウド ストレージサービス ターゲット 攻撃者 UPLOAD https://yabaibox.com/xkenas SSL 近年ファイル共有(オンラインストレージ)サービスを悪用した攻撃が多発  Dropbox.com, Box.com, Cubby.com, Copy.comなど  Amazon, Google, and MS clouds  これらはすべてHTTPS(SSL)通信!!!故に既存のセキュリティで防げない
  • 6. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 6 S S L S S L S S L 企業 SOHO/モバイル IoTデバイス #4 増加するSSL通信に潜むリスク ? SaaS シャドーIT シャドーIT SSL = 20% ~ 70% 今後もHTTP/2やSaaSの普及により増加傾向 既存の セキュリティ層 NGFW, UTM, IPS, Sandbox… etc.
  • 7. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 7 #5 SOC/CSIRTにおける運用負荷 企業 既存の セキュリティ層 NGFW, UTM, IPS, Sandbox… etc. SOC/CISRT 企業におけるIT/セキュリティ管理SNMP SIEM ! ! ! 正確性に欠くセキュリティレイヤーによる 誤検知 & 過検知 蓄積する大量の ログ分析 AD/File DB ! ! …その大抵は事後対応
  • 8. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 8 企業のCISOやCSIRTに関する実態調査2016 2015年 IPA 「企業のCISOやCSIRTに関する実態調査2016」より出典 必要な「見える化」とは  ゼロデイ・標的型・水飲み場…  リスクとなるユーザの挙動 (ウェブ・メール・ファイルアクセス・BYOD)  感染端末のアクティビティ  IoC(Indicator of Compromise)  SSL通信(C&C・シャドーITなど) 目の前の課題しか見ていない現状  課題の見極め・設備投資のプライオリティ付 けが重要
  • 9. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 9 企業への警鐘 目の前の被害に囚われすぎていませんか?  話題の攻撃手法・マルウェアに対応できればよいのですか?  同じ手法がいつまでも使われると思っていますか?(Emdivi?, PlugX?)  場当たり的な対応では未知の脅威に対応することはできません  大事なのは すべての攻撃ベクトルにおいて 未知の攻撃を検知・対処ができる仕組み のための投資を見極めることです Web 19% Email 78% Other 3%
  • 10. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 10 ゼロデイ・標的型・ C&C通信に対応しうる リアルタイムの 脅威検知と防御 拠点/モバイル/IoTまで 網羅された セキュリティ対策 の施行と証跡管理 企業のセキュリティ網 が見逃すリスクの高い SSL通信可視化と 情報漏洩対策 今日の企業における課題のまとめ
  • 12. 12Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. From RSA Conference 2016 事実に基づく知見・前後関係・メカニ ズム・指針・影響や脅威に対する実施 可能なアドバイスなどから脅威に必要 な対処を可能にする情報を提供する 内部および外部の脅威についての意 図・目的・影響度の詳細、また脅威イ ンテリジェンスはそれらに対する戦 略・技術・対処を提供するべきもの 2016 RSA Conference Wade Baker “Bridging the Gap Between Threat Intelligence and Risk Management”より転載
  • 13. 13Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved.
  • 14. 14Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 迅速なサイバーセキュリティ対策に脅威インテリジェンスを活用 脅威インテリジェンス市場調査 (IANS) 脅威インテリジェンス:市場調査 IANS CUSTOM REPORT WRITTEN BY DAVE SHACKLEFORD MARCH 2015より転載
  • 15. 15Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 脅威インテリジェンスのサイクル 方向性 収集 処理分析 普及 インテリジェンスの利用目的と必要な要件の見極め 要件を満たすための知見収集 知見の集約された結果の配布 知見の評価、統合、読み取り 知見の加工と処理 Threat Intelligence (TI)
  • 16. 16Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. Risk Management Process (NIST 800-39) 枠組み 評価 対応監視 枠組み: リスクに基づく判断のために前後関 係を理解し実行可能な戦略を立てる 評価: 組織におけるリスクのレベルを決定し うるすべての分析対象を包含する 監視: 適切な実行方法の確認、効果の測定、 リスク値変更時の影響の確認など 対応: リスクの評価と決定がなされた場合に 組織が解決する手段
  • 17. 17Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. Risk Management Process (ISO 27005) 前後関係の把握 リスクの確認 リスクの分析 リスクの評価 リスクへの対応 リスクの容認 リスクの査定 リスクの判断1 査定は十分か? リスクの判断2 対応は十分か? リスクの共有と相談 リスクの監視と再調査 監視枠組み 評価 対応
  • 18. 18Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. RMPに基づくTIの適用イメージ システム設計&内部統制 リスクの確認 リスクの分析 リスクの評価 リスクへの対応 リスクの容認 脅威インテリジェンス リスクの判断1 査定は十分か? リスクの判断2 対応は十分か? SOC/CSIRT セキュリティ製品 監視枠組み 評価 対応
  • 19. 19Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 脅威情報の共有スキームの利用 「最新セキュリティ情報の分析と洞察」より抜粋 https://asmarterplanet.com/jp-security/blog/2015/07/80.html
  • 20. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 20 ベンダー版脅威インテリジェンスの問題 統一化された分析基準がない 2 何を以って怪しいと判断したか公開されない 1 3 未知の脅威に対応しうるかどうか確証がない IP hostTAXII URL File Malware hash SSL TISTIX
  • 21. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 21 主要ベンダー脅威インテリジェンスまとめ ベンダー名 分析・共有されるデータ 連携先 T社 自社サンドボックス分析による新規シグニチャお よびC&C IP情報 エンドポイント S社 自社製品から収集されたファイル情報、IP、ドメ イン、製品脆弱性情報、マルネット情報 SOAP経由で各製品へ配信 F社 自社サンドボックス分析によるマルウェア、ファイル 名、C&C IP情報 FaaS経由での対処(IoCに基づくSIEM/境界 線製品への反映) W社 URL/File/IP/アプリに基づく相関分析 他社境界線製品 C社 自社製品から収集されたURL/ファイル情報、及 びオープンソースデータ、侵入検知情報などに基 づく 自社製品内での活用 P社 自社製品から収集されたファイル情報に基づく 分析結果 自社コミュニティ経由での参照 自社製品およびマルウェア研究所 からのフルパスのURL,ファイル、 IP、C&C IPおよび数百のリスク 要因に基づく分析結果(リスク値) 自社製品全般(プロキシ、メール フィルタ、クラウド、SSL可視化、 フォレンジック、サンドボックス)
  • 22. 22Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 脅威に対する判断力: 脅威インテリジェンス 未知の脅威に対し自己判断力が乏しい製品は・・・ Critical!!! 誤検知・過検知アラートで運用負担 … 肝心の脅威に反応できず感染、事後対応の負担 もしくは;; 未知の脅威に対し自己判断力があれば…  一発屋ホスト  改ざんサイト  水飲み場攻撃  未知マルウェア  リスクの高いウェブ、 クラウドアプリ (シャドーIT)  ゼロデイ  産業スパイ  内部不正  SSL悪用マルウェア  DNSトンネリング  SQLインジェクション 脅威インテリジェンス このサイトの証明書はあやしい発行 元のものだから紐解いてみよう。過去 マルネットと通信した経歴のあるリンク 先だな、それに今もマルウェアをホスト しているな。これはブロックしよう!
  • 24. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 24 何を以って脅威を判断するか 脅威インテリジェンスのゴール 「人」ではなく「コンピュータ」(すなわち 製品側)が脅威を判断できること しかし「コンピュータ」には「感覚」「意 思」「脈略」「文化」の処理が欠如 脅威インテリジェンスもデジタルの世界 で人間同様の判断能力が求められる 色質感 形 動き
  • 25. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 25 神経言語学に基づくアプローチ 想定できるリスクは? 凶器 男性 高速道路 汚い 服装 朝方か 夕方
  • 26. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 26 神経言語学に基づくアプローチ NLP(Neuro-Linguistic Programming) 心理セラピー的な要素で、正しい判断能力、思 考回路の形成に役立つ 「コンピュータ」が「様々な要素」から論理的思考 に基づき対象を分析 人間に変わりRisk Management Process (枠組みに従い評価・監視)を実行
  • 27. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 27 結論 対象のあらゆる情報が可能な限り必要 IP, 通信先国, カテゴリ, ルートドメイン, ホス ティング元, 証明書発行元, 通信パターン, コン テンツ(言語, 文, リンク, 画像, ファイル等), 歴史, セキュリティ強度, などなど 送信元, ヘッダ, 文, 署名, リンク, 添付ファイル ウェブ メール インターネットにおいては数百のリスク要因(context)が存在する
  • 28. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 28 いままでの機械的な分析 “X” “Not-X”
  • 29. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 29 いままでの機械的な分析 “X” “Not-X” ゴール: すべてのXを捉える  低い「閾値」の設定 問題: 誤検知の多発
  • 30. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 30 いままでの機械的な分析 “X” “Not-X” ゴール: 閾値の最適化  低い「閾値」の設定 問題: 誤検知の最小化  誤検知はまだある
  • 31. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 31 これからのAIによる識別 リスクレベル (10段階) リスクグループ (数十グループ) リスク要因 (数百項目) ゴール: すべてのリスク要因 を捉える 問題: リスク要因の 収集と高速な分析
  • 32. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 32 正確な判断のために AIに求められる正確性 より多くの要素と手段を用いること(正確な情 報もあるが、殆どの場合はあいまいなものとなる) 「識別」システムによる「うんさんくささ」の表現 インフラ(ネイバー、ホスティング元)にフォーカ スした分析(新規マルネットの発見) Big Dataを高速で回し瞬時に正しい回答を 導き出すリアルタイム性を「どこ」に適用するか どこが怪しいのか?
  • 33. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 33 数百に及ぶリスク要因に応じたレベル分け 正規サイトでもリアルタイムの状態に対する正しいリスクレベルで対応可能 脅威リスクレベル5 リスクグループA “ドメイン名の怪しさ” リスクグループC “ネイバーの怪しさ” リスクグループG “トラフィックの怪しさ” リスク要因 12 TLD リスク要因 25 … リスク要因 7 GBスコア リスク要因 6 奇妙度 リスク要因 89 … リスク要因 45 … リスク要因 17 IP GEO リスク要因 173 IP範囲 リスク要因 111 … リスク要因 50 … リスク要因 52 妙なポート リスク要因 38 ハンター 7-10: 危険 5-6: 怪しい 1-4: 安全
  • 34. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 34 URLの正確な分析 –フルパスでの評価 その他 IPアドレス クエリ ファイル名 ディレクトリ ホスト ドメイン a.com IP: x.x.x.1 IP: x.x.x.2 y.a.comx.a.com /bin /src 1.exe crush.exe SSL? TLS? SPDY? Index.html 通信先は ? クエリの 応答は? リンクは ? カテゴリは ? 言語は ?
  • 35. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 35 ブルーコートの脅威インテリジェンス・分析フロー DBにはマルウェア研究所の リサーチや、ステージ5の バックグラウンド調査、顧 客のフィードバックなどを通 じて反映されます。  怪しい通信 (Traffic Cops, etc.)  新規・信用できないグ ループ  怪しい名前(TLDs)  怪しいホスティング (DynDNS, FreeHost, etc.)  サーバDNA (Malnet Tracker, etc.)  怪しいネイバー (IP, Range, etc.)  怪しい応答  ネットワークエラー  うそ発見器検知  怪しいコンテンツ (EXE, JAR/ZIP, PDF, JScript, ...)  フィッシング検知  メタルール・モジュール  Yaraルール・モジュール リスク要因の積み上げで の評価もここで反映  マルネット追跡  サイトのプロファイル  IPプロファイル  ハッキングされたサイト  Chatter(司令・踏み 台)  過去の歴史・経緯(IP, サイト自体) DBはカテゴリとリスクレベルを 後の処理にて算出し、適宜 更新されます。 すべてはリクエストから始まり ます。 (この時点でフルパスのURLと HTTPヘッダ情報を持ちます) このステージでIPアドレスの 解決をします。 宛先サーバからのレスポンス を分析します。 (コンテンツがあれば併せて) より深い視点での分析を行 います。 多角的な情報を可能な限 り積み上げてサイト自体の ふるまいを評価します。
  • 36. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 36 ブルーコートの脅威分析エンジン: GIN 世界8000万ユーザー / DCは世界34ヶ所 不正なサーバ検知に対する高い評価と実績 1日に10億件の未知サイト分析要求 99.9%の正確性 / 最大4カテゴリへ分類 世界的な言語対応(55ヶ国語) ウェブ(SSL通信、シャドーIT含む)・メールに適用 [評価] [正確性] [対応力] 深い知見を元に脅威を見抜く判断力をリアルタイムに提供 Global Intelligence Network
  • 37. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 37 公開されない脅威インテリジェンスの質 … … … … … … … … … すべては無駄なアラート コンテンツスキャンを減らすため。 URL上のコンテンツ マイナーな国の言語 ホストの通信パターン 証明書の状態と中身 マルネット・ボットネット上の新規ホスト サーバの場所(国) 過去と現在のリスク 訪問者の傾向 ・・・など数百におよぶリスク要因から分析 P社 M社 C社 W社 Z社 C社 クラウドサービスブルーコートが特定した一発屋ホスト SOC/CSIRTなどで 事中・事後対応必要 (感染リスク) (漏洩リスク) (賠償リスク) (持ち込み感染 端末による二次 感染リスク) (漏洩リスク) (賠償リスク)
  • 38. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 38 攻撃の始点を予測・捉えることができるものを選択すべし • 攻撃のソースはインターネットから(マルネット、ボットネット、改ざんサイト、水飲み場、クラウド・・・) リアルタイム性・正確性・適用性の高いものを選択すべし • 攻撃は世界規模、各国に散らばる攻撃サーバ(改ざんサイト含)のコンテンツをリアルタイムで分析 リスク(マルウェア等)を中に入れないためのポイントに適用すべし • マルウェアをダウンロードしてからでは遅いので、リスクをユーザから分離して分析できるセキュリティレイ ヤーにて脅威インテリジェンスを活用すべし 脅威インテリジェンスの押さえどころ
  • 39. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 39 リスクに基づくURLアクセスの制御 リスク コンテンツスキャン 警告 コンテンツの制御 選択的なブロック 0 全バイナリファイル (安全なサイトであっても) なし なし なし 1 なし なし なし 2 なし なし なし 3 なし なし EXE, JARのブロック (安全なカテゴリは除く) 4 なし カテゴリに応じて必要なもの を選択 EXEs, JAR, アーカイブのブロック 5 なし JavaScript無効化 (カテゴリに応じて) 上記に加えFlashもブロック 6 警告ページ表示 上記に加え 動的コンテンツ無効化 上記に加えPDF, POSTのブロック 7 正規・非正規問わずリスクが高ければすべてブロック (従来のProxyでは90カテゴリ以上に渡るため複雑なポリシーになる傾向があるが、 リスクレベルに応じたポリシーは管理が容易になりつつもよりセキュアな設定が可能) 8 9 10 正規サイトにも リスクが埋め込ま れている可能性 (改ざん、水飲み場)、 ゼロデイ・ 標的型マルウェア等 のリスク http:// リアルタイム分析
  • 40. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 40 インシデント レスポンス 未知の脅威への対応 ふるまい分析と迅速な事中対策 コンテンツのフィルタリング ダウンロードコンテンツの多層フィルタ リスクと運用の最小化実装 99.9% の脅威ある URLアクセスのブロック 27% のスキャン 回避 12% のAV検知 向上 37% のサンドボックス 処理の最適化 URLで判定 リアルタイムURL評価 残り1% の未知の脅威の分析と マルウェアの目的・影響度把握 未知の脅威だけを炙りだす多層防御により運用とリスクを最小化 ! ハッシュ 評価 二重AV 処理 静的コード 分析 サンド ボックス ふるまいの リスク分析 ・・・・・・ SOC/CSIRT Pin-Point Approach
  • 41. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 41 従来のアプローチ インシデント レスポンス 未知の脅威への対応 ふるまい分析と迅速な事中対策 ?% の脅威ある URLアクセスのブロック URLで判定 一般的なURLカテゴリ評価 ほぼ50% の既知・未知の脅威の特定 (誤検知・過検知含む) ! サンド ボックス ・・・・・・ SOC/CSIRT Alert Syndrome… シグニチャ ベース 静的 コード分析 ! ! ! ! ! ! ! 取りこぼし分の精査によるリスクとCSIRT運用負荷増大 検知URL BLへ追加 (過剰分精査必要)
  • 42. Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 42 標的型のベクトルすべてを網羅し、リスクと運用を最小化 リアルタイムAIによるリスク排除の自動化  ユーザのリスクの高いウェブアクセス  C&C通信  標的型メール添付  埋め込みURLリンク  証明書発行元  マルネット・ボットネット  リスクの高いシャドーIT  コンプライアンス対応  BYOD端末/IoC  アノマリー通信 GIN 脅威インテリジェンス
  • 43. 43Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. RMPに基づくGINの適用イメージ システム設計&内部統制 リスクの確認 リスクの分析 リスクの評価 リスクへの対応 リスクの容認 脅威インテリジェンス リスクの判断1 査定は十分か? リスクの判断2 対応は十分か? SOC/CSIRT セキュリティ製品 監視枠組み 評価 対応 GIN 脅威インテリジェンス Web プロキシ SSL 可視化 メール フィルタ クラウド サービス フォレン ジック サンド ボックス MC 統合管理システム リスクと運用の最小化