How to hunt cyber attack

1. ｜ 1 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
Innovation-LeadingCompany
情報戦のサイバー攻撃にどう挑むのか？
アルゴリズムによるハンティング手法のご紹介
2017年08月24日
日商エレクトロニクス株式会社
ネットワーク＆セキュリティ事業本部
坂口 武生,CISSP
©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.

2. ｜ 2 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
 サイバー攻撃ソリューションのトレンド
 ビックデータの限界
 本当のインテリジェンスとは？
 Vectra Networksのご紹介
 何ができるのか？
 どこに設置するのか？
 何がインテリジェンスなのか？
 日本での導入事例
 今後の展開
目次

3. ｜ 3 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
サイバー攻撃ソリューションのトレンド
DDoS IoT Bot
MalwareRansomware
SSL/TLS Encryption
Cloud
Risk
CASB

4. ｜ 4 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
アクティブディフェンス/侵入させない
ダメージコントロール/侵入されても早期封じ込め
サイバーレジリエンス/自動回復
サイバー攻撃ソリューションのトレンド

5. ｜ 5 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
ビックデータの限界
 サイバーセキュリティはビックデータ化（情報爆発）
 脆弱性/脅威、セキュリティ情報が有象無象
 アラート/インシデントが乱発
政府
研究
機関
ベンダー専門家
海外

6. ｜ 6 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
ビックデータの限界
 ベンダーによっての得手不得手がある
カテゴリ（Web、Mail、Endpoit etc）
情報ソース（国・地域 etc）
脅威の重み付け（独自ルール）
 既知から未知を類推の手法
情報量に依存
全ての脆弱性に対応することは不可能
脅威インテリジェンスの限界

7. ｜ 7 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
本当のインテリジェンスとは？
 脅威インテリジェンスでいいのか？
情報量とそれを分析する能力に依存（Big Data/AI）
ベンダーへの傾倒になってしまう
 そもそも何が知りたいのか？
攻撃名（WannaCry、Petya etc） No！！
攻撃内容、世の中の被害状況 No！！
インテリジェンスの再定義

8. ｜ 8 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
本当のインテリジェンスとは？
 イタチごっこからの脱却
脆弱性や攻撃ツールはあまたあるが攻撃手法は？
何が重要なのか？
 ５W１Hは？
いつ？（when）、どこで/どのホストが？（Where）、
だれが/どこから？（Who）、なにを/トリガーは？（What）
なぜ/発症原因は？（Why）、どのように/状態は？（How）
インテリジェンスの再定義

9. ｜ 9 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
Vectra Networksのご紹介
Automated Threat Management in Real Time
©2016 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.

10. ｜ 10 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
何ができるのか？

11. ｜ 11 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
何ができるのか？
Automation
Simplicity
Continuous
Monitoring
Real-time
Detection
Easy
Deploy
ment
Prioritized
Contextual
Results
 All packets
 N-S, E-W traffic
 Any OS, app, device
 No signatures
 No rules
 No configuration
 Behavioral
 Machine learning
 Data Science
 Prioritized by risk
 Correlated by host
 Insight into attack

12. ｜ 12 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
どこに設置するのか？

13. ｜ 13 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
何がインテリジェンスなのか？
 攻撃を受けているデバイスを特定
 感染拡大を防ぐ
 縦方向・横方向の両通信を捕獲（デバイス間通信を捕獲）
 全てのパケットを対象（Any OS, App, Device）
 アルゴリズムで自動検出
 Machine learning
 Data Science

14. ｜ 14 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
何がインテリジェンスなのか？
 攻撃テクニックの特徴点を捉まえる
（e.g. Ransomware）
 Outbound Port Sweep
 Port Sweep
 Internal Darknet Scan
 Automated Replication
 File activity
 File Share enumeration
 Suspicious Remote Execution

15. ｜ 15 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
Threat Certainty Index

16. ｜ 16 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
Host Details view

17. ｜ 17 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
Exfiltration detection – Data smuggler

18. ｜ 18 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
Dashboard View

19. ｜ 19 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
日本での導入事例
 インシデントハンドリングの時短化
 インシデントが爆発的に増加し、トリアージが難しい
※SIEMの限界
 新しい脅威に関してセンサー追加？エンドレス
※SIEMの限界
 SIEM基盤の有効活用＆強化
 CEFでトラフィックベースの脅威情報を相関対象
 初動のサジェスションをVectra Networksで行う
※共存共栄

20. ｜ 20 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
今後の展開
 サイバー攻撃への
効果的な対処方法を
開発
 日本独自の
脅威情報を広く共有
 メイドインジャパンの
サイバーセキュリティ
対策製品提供

21. ｜ 21 ｜©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
ご清聴頂きまして有難うございます。
ブース出展しておりますので
お立ち寄り下さい。
cyber_security@nissho-ele.co.jpお問い合わせ
©20xx NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.