Comments
Transcript
「Cisco の先進セキュリティ ソリューション」 Shownet 2016 を支える
<Seminar> Ciscoの先進セキュリティ ソリューション ShowNet 2016 を支えるセキュア テクノロジーを一挙紹介 シスコシステムズ合同会社 アドバンスドサービス シスコセキュリティソリューションズ セキュリティコンサルティングエンジニア 柴田 亮 2016年6月 * 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。 ShowNetで稼働しているCiscoセキュリティ機器 入口、出口対策 内部対策 DDoS対策 次世代FW/IPSを用いた 入口、出口対策 ネットワークの振舞いを用いた 感染拡大、情報漏えい対策 Radware vDP を用いた サービス停止攻撃対策 [特徴] - アプリケーションの可視化 - シグニチャ自動チューニング - 攻撃の影響度を表示 (インパクトフラグ) - ハッシュを用いたマルウェアの 侵入痕跡確認 - サンドボックス連携 [特徴] - 偵察行為、C&C通信、DDoS等 の怪しい通信を検出 - 自動で閾値を作成し、通信傾向 の異なる振舞いを検出 - 通信の可視化、フォレンジック 対応、端末の隔離 [特徴] - TCP/SYN、UDP等のネット ワーク フラッド攻撃の防御 - HTTP、DNS、SSLコネクション 等のアプリケーション フラッド攻 撃の防御 - 既知の攻撃ツールからの防御 - Firepower9300 にて実現 Firepower4100 Firepower9300 Network as a Sensor/Enforcer Catalyst SW ThreatGRID 5000 Stealthwatch Firepower9300 + vDP 各ソリューションの防御実施箇所 サンドボックス(ThreatGRID) 次世代IPS (Firepower) Firewall + vDP (Radware) Sand box 次世代IPS (Firepower) 入口、出口対策/DDoS対策 入口、出口対策(モニタリング) インターネット サーバ セグメント Stealthwatch 内部対策 出展者 来場者 会議棟 NOC Cisco Firepower による 境界セキュリティ対策 シスコの次世代Firewall/IPS 可視性の強化 “You can’t protect what you can’t see” Client applications “見えなければ、防御できない” Operating systems File transfers Command and control servers Mobile devices Threats Routers and switches Users Application protocols Typical IPS Web applications Printers Malware Typical NGFW Network servers VoIP phones Cisco Firepower™ NGFW Cisco Firepower シリーズによる高度なセキュリティ機能 業界最高水準のIPS エンジン ネットワークとホストの可 視化 次世代ファイア ウォール機能 高度なマルウェア 防御(AMP) ネットワークディスカバリ イベント管理・ 解析ツール 運用の自動化 アプリケーション制御 ユーザ制御 URLフィルター 自動チューニング インパクト解析 インシデント相関分析 統合レポーティング Cisco Firepower マルウェア検知 ファイルトラッキング レトロスペクティブ サンドボックス 統合ソフトウェア – Firepower Threat Defense 新しい統合ソフトウェア イメージ: Firepower Threat Defense (FTD) • • 全てのFirepower Services にプラスして、セレクトされたASA機能が含まれる 次世代ファイアウォール 1つのマネージャで管理: Firepower Management Center (FMC) Firepower Threat Defense Firepower ASA 信頼と実績の ファイアウォール技術 ネットワークファイアウォール ルーティング ネットワークとホストの可視化 例)アラートが発生したホストの情 報を確認したい クライアントアプリケーション ユーザ履歴 侵入の痕跡 Webアプリケーション 端末OS サーバアプリケーション 該当脆弱性リスト 自動チューニングとインパクト解析 一般的な侵入検知機器(IPS)の 運用者が抱える問題 環境に合わせて設定を調整した いが、運用が大変・・・ 自動チューニング ネットワーク環境を学習し、 最適な推奨設定を自動生成 沢山のログが出るが、本当に重要 なものがわからない・・・ インパクト解析 攻撃と対象端末情報を解析し本当に危険度の高いログを識別 攻撃の緊急度 “High”のアラート数: 1433 10分の1以下に減少 実インパクト “High(1)”のアラート数: 106 Cisco Advanced Malware Protection (AMP) 既知、未知に対応した検知機能 ハッシュ エンジン ETHOS SPERO DFC サンドボックス ハッシュエンジン: 既知のマルウェアを検出 ETHOS / SPERO : 未知、亜種のマルウェアを検出 DFC: 通信先IPのレピュテーションをチェック サンドボックス: ThreatGRID (クラウド/アプライアンス) 未知のファイルの振る舞い解析 通過するファイルが未知のものである場合、FirepowerはThreatGRIDと自動連携し、ファイルの解析依頼を実施 マルウェア被疑ファイル インターネット ルータ サンドボックスと自動連 携し未知の被疑ファイル を解析。 AMP ThreatGRID ファイアウォール IPS 静的分析 動的分析 スイッチ 脅威インテリジェンス 解析結果 端末 クラウド、オンプレミスの 両導入パターンに対応 マルウェア トラッキング ファイルをハッシュ値で特定 解析情報(サンドボックス等)と連携 ネットワーク上での拡散状況を過去に遡ってトラッキング 一度判定したファイルも継続解析(レトロスペクティブ解析) Firepower 9300 高パフォーマンスと多彩な機能に対応したセキュリティ アプライアンス スーパバイザ アプリケーションの導入とオーケストレーション ネットワーク接続(10/40/100GE)とトラフィック分散 Cisco® ASA、NGFW、NGIPS のクラスタリング機能 1 2 3 セキュリティ モジュール 組み込みパケット/フロー分類機能と暗号化ハードウェア シスコ(ASA、NGFW/NGIPS)とサードパーティ(DDoS)のアプリケーション スタンドアロン、またはシャーシ内(最大 240 Gbps)およびシャーシ全体(1 Tbps 以上)でクラスタ化 Firepower 4100 1RUで高パフォーマンスを実現したセキュリティ アプライアンス オンボード インターフェイス ネットワーク モジュール トラフィック用 SFP+ インターフェイス X 8。管理用 SFP+ インターフェイス X 1 Cisco® ASA、NGFW、NGIPS のクラスタリング機能 組み込みパケット/フロー分類機能と暗号化ハードウェア シスコ(ASA、NGFW/NGIPS)とサードパーティのアプリケーション Firepower 9300(10GE および 40GE)と同じネットワーク モジュールを使用 スタンドアロン(最大 30 Gbps)またはシャーシ全体(400 Gbps 以上)でクラスタ化 Firepower 9300/4100 シャーシ マネージャ シャーシ全体を管理するウェブベースのGUI ツール (Firepower9300) セキュリティサービスのデプロイ (Firepower9300) ASA ASA: ネットワーク ファイアウォール FTD FTD: Firepower Threat Defense 次世代FW vDP vDP: Radware virtual Defense Pro Firepower Management Center (FMC) Live Demo Cisco Stealthwatch による 内部セキュリティ対策 ネットワークの不正な振る舞いを検知 マルウェアの侵入、ユーザの多量データダウンロード等の振る舞いは境界(FWやIPS)では検知しきれない フロー情報を利用した脅威の検知 境界セキュリティでは検知できない内部侵害の例 境界セキュリティ Internet x FW、IPSを通過しない内部の不正通信 x 新種のマルウェアの検知失敗 FW (ウィルス対策ソフト取りこぼし) IDS/IPS 仮想 ブラウザ Web Security 大量のファイルダウンロード Mail Security Sandbox DNS x 内部でのマルウェア偵察行為・拡散 x 悪意のある内部ユーザの不正通信 ブラックリストへの通信 hypervisor ポートスキャン、辞書攻撃、DoS、 P2P等 ポートスキャン、辞書攻撃、DoS、 P2P等 NetFlowによる可視性で 内部ネットワークで起こるインシデントに も即座に対応可能! ネットワークのフロー情報による脅威の可視化 境界セキュリティ(Web Proxyなど)や ログ情報からの脅威の活動状況の例 ネットワークフローを活用した 脅威の活動状況の例 192.168.19.3 192.168.19.3 社員 10.4.51.5 10.200.21.110 ④ ファイル(DB)サーバからの 情報ダウンロード 10.4.51.5 10.200.21.110 ③ 内部感染拡大(管理職端末への感染) サーバー 10.51.51.0/24 10.51.52.0/24 10.51.53.0/24 192.168.132.99 10.51.51.0/24 10.51.52.0/24 10.51.53.0/24 192.168.132.99 ② 内部感染拡大 ⑤ 外部への情報持ち出し (暗号化・独自プロトコル) 10.43.223.221 10.43.223.221 ハイリスク セグメント インターネット インターネット 社員 10.85.232.4 10.85.232.4 従来の境界セキュリティ機器やSIEMでは、入り口・出口でのみ通信情報を把 握 (送信元、宛先アドレスのみ)しており、ネットワーク全体での脅威の活動 状況の把握が困難 ① フィッシングを きっかけとして感染 (ゼロデイ) ネットワークフロー情報を活用した場合、脅威の全体の活動状況を可視 化可能 さらに、認証情報(端末認証)と連携することで、ユーザ名の特定も可能 であり、「誰の端末で」マルウェアの活動が行われているかを容易に把 握可能 ネットワーク監視と可視化、自動隔離へのステップ eth0/2 eth0/1 NetFlow の概要 10.2.2.2 ポート 1024 10.1.1.1 ポート 80 開始時間 インターフェイス 送信元 IP 送信元ポート 宛先 IP 宛先 宛先ポート ポート プロト プロトコル コル 送信パケッ 送信バイト数 ト数 TCP フラグ 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 SYN、ACK、PSH 10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 SYN、ACK、FIN 20 NetFlow = 可視化 1 つの NetFlow レコードにはさまざまな情報が含まれている Router# show flow monitor CYBER-MONITOR cache … IPV4 SOURCE ADDRESS: 192.168.100.100 IPV4 DESTINATION ADDRESS: 192.168.20.6 TRNS SOURCE PORT: 47321 TRNS DESTINATION PORT: 443 INTERFACE INPUT: Gi0/0/0 IP TOS: 0x00 IP PROTOCOL: 6 ipv4 next hop address: 192.168.20.6 tcp flags: 0x1A interface output: Gi0/1.20 counter bytes: 1482 counter packets: 23 timestamp first: 12:33:53.358 timestamp last: 12:33:53.370 ip dscp: 0x00 ip ttl min: 127 ip ttl max: 127 application name: nbar secure-http … 21 Cisco Stealthwatch System 動的 NetFlow 分析を使用したネットワーク調査 監視 ネットワークの標準の 状態を理解 すべてのトラフィックに ついてリアルタイムで 状況を認識 ネットワーク動作の異 常検出および分析を 活用 APT、インサイダー脅 威、DDoS、マルウェア に関連する動作を検 出 応答 分析 検出 ネットワーク全体の監査 証跡を収集および分析 迅速な根本原因分析に より完全な調査を実施 ネットワークのトラブル シューティングと脅威の 緩和を高速化 Cisco ISE で脅威を隔 離し、迅速に対応 Cisco Stealthwatch: システム概要 StealthWatchラボ インテリジェンス・セ ンター (SLIC) * ネットフロー対応 ネットワーク機器 NetFlow未対応機器 NetFlow / NBAR / NSEL NetFlowの生成 SPAN Stealthwatch フローセンサ • • • Stealthwatch フローコレクタ Stealthwatch 管理コンソール • • • フローレコードの収集と解析 最高4,000の送信先 最高24万 フロー/秒 管理とレポート 最高 25 フローコレクターまでサポート 全体で最高600万 フロー/秒サポート *https://www.lancope.com/stealthwatch-labs ShowNet におけるStealthwatch 構成 NetFlow 対応機器 Stealthwatch フローコレクタ Stealthwatch 管理コンソール NetFrow 用 Flow Collector (VA) sFlow 対応機器 sflow 用 Flow Collector (VA) Stealthwatch Management Console (VA) Cisco UCS C240 M4 サーバ Stealthwatch Management Console (SMC) Live Demo セキュリティ インテリジェンス セキュリティ インテリジェンス: Talos 24 時間 365 日 体制 1 億米ドル以上を 活発な研究開発に向けて投資 40 以上の言語 ポートフォリオ全体に拡大 Cisco® Collective セキュリティ イン テリジェンス WWW デバイス 電子メール Cisco CWS Web Firepower シスコ AnyConnect® WWW ネットワーク エンドポイント 160 万台のデバイ スがデータを提供 120 TB の受信データ (1 日あたり) 全世界の電子メー ルトラフィックの 35 % 130 億件 の Web 要求 情報 可視性 アクション IPS Cisco ESA Cisco ASA Cisco WSA 制御 1 日あたりのユ ニークなマルウェ ア サンプル数は 110 万 1 秒あたり 250 万 件の脅威をブ ロック 200 以上 のパラメータ を追跡 70 以上 のパブリケー ションを作成