Download as PDF, PPTX
Uploaded byシスコシステムズ合同会社
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
Cisco AMP: レトロ スペクティブで見えてくる マルウェアの挙動
More Related Content
Similar to 【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
![[G-Tech2015]次世代ファイアウォール -Cisco ASA with FirePOWER Services- によるセキュリティ対策[講演資料]](https://cdn.slidesharecdn.com/ss_thumbnails/g-tech2015-ciscoasawithfirepowerservices-151106075222-lva1-app6892-thumbnail.jpg?width=640&height=640&fit=bounds)
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
- 1. Cisco AMP: レトロスペクティブで見えてくる マルウェアの挙動 2015年6月 シスコシステムズ合同会社 セキュリティ事業 * 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
- 2.
- 3. Cisco Advanced MalwareProtection 可視性 組織を守るための可視化 ビック データ解析 ビック データによる確かな知識 コントロール 脅威のコントロールは ネットワークからエンド ポイントへ
- 4. Webフィルタ IPレピュテーション Security Intelligence ファイル タイプ ブロック アプリケーション 可視化&制御侵入の痕跡 トラフィック 情報 ファイル レピュテーション Cognitive Threat Analytics XXX X 攻撃後 www.website.com X ファイル レトロスペクション リモート ユーザ レポート ログ解析 管理 支店オフィス Allow Warn Block Partial Block 本社オフィス ASA/NGIPS AMP Appliance WSA ESA AMP for Endpoints 管理者 Traffic Redirecti ons TALOS Cisco Advanced Malware Protection (AMP) Threats HQ ファイル サンドボック ス X ThreatGrid
- 5. トラジェクトリ ① ② ③ ④ ⑤ 同じハッシュ値を持つファイルを 保有しているホスト一覧 トラジェク トリ デバイス トラジェクトリ 感染原因を特定 • マルウェアファイルはどのよう にシステムに入ってきたのか? • どのような通信をおこなったの か? ファイル トラジェクトリ 感染範囲を特定 • 最初に感染したのは誰か? • 現在そのマルウェアはどの システム上に存在するのか?
- 6. 一度調査したファイルを覚えておき、 合致するマルウェアが見つかった場合に瞬時にそのファイルを隔離する クラウド リコール クラウド リコール 未知のファイル クリーンファイル マルウェア! 時間 今日は未知のファイル でも 数日後/数時間にマルウェアと分かる 過去に見つけられなくても 後になってマルウェアが 見つかった場合に 通知してくれる 毎日100万+の検体を解析 CSI
- 7. Web Filtering WebpageWeb Reputation Application Visibility & Control Anti- Malware Outbreak Intelligence File Reputation Cognitive Threat Analytics XXXX After www.website.com X File Retrospection www Roaming User Reporting Log Extraction Management Branch Office www www Allow Warn Block Partial Block Campus Office ASA StandaloneWSA ISR G2 AnyConnec t Admin Traffic Redirecti ons Talos Cisco Cloud Web Security (CWS) www HQ File Sandboxing X Talos 脅威にフォーカスしたグローバルな可視化 Email Endpoints Web Networks IPS Devices WWW 100 TB Intelligence 1.6M sensors 150 million+ endpoints 35% email world wide FireAMP™, 3+ million 13B web requests AEGIS™ & SPARK Open Source Communities 180,000+ Files per Day 1B SBRS Queries per Day 3.6PB Monthly though CWS 脅威情報 I00I III0I III00II 0II00II I0I000 0110 00 I00I III0I III00II 0II00II I0I000 0110 00 I00I III0I III00II 0II00II I0I000 0110 00 I00I III0I III00II 0II00II I0I000 0110 00 I00I III0I III00II 0II00II I0I000 0110 00 I00I III0I III00II 0II00II I0I000 0110 00 Advanced Industry Disclosures Outreach Activities Dynamic Analysis Threat Centric Detection Content SEU/SRU Sandbox VDB Security Intelligence Email & Web Reputation 24 7 365 operations J a n 600+ Researchers リサーチ&レスポンス 比類無きセキュリティ インテリジェンスでバックアップ TALOS