...

「Cisco の先進セキュリティ ソリューション」 Shownet 2016 を支える

by user

on
Category: Documents
25

views

Report

Comments

Transcript

「Cisco の先進セキュリティ ソリューション」 Shownet 2016 を支える
<Seminar>
Ciscoの先進セキュリティ ソリューション
ShowNet 2016 を支えるセキュア テクノロジーを一挙紹介
シスコシステムズ合同会社
アドバンスドサービス シスコセキュリティソリューションズ
セキュリティコンサルティングエンジニア
柴田 亮
2016年6月
* 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
ShowNetで稼働しているCiscoセキュリティ機器
入口、出口対策
内部対策
DDoS対策
次世代FW/IPSを用いた
入口、出口対策
ネットワークの振舞いを用いた
感染拡大、情報漏えい対策
Radware vDP を用いた
サービス停止攻撃対策
[特徴]
- アプリケーションの可視化
- シグニチャ自動チューニング
- 攻撃の影響度を表示
(インパクトフラグ)
- ハッシュを用いたマルウェアの
侵入痕跡確認
- サンドボックス連携
[特徴]
- 偵察行為、C&C通信、DDoS等
の怪しい通信を検出
- 自動で閾値を作成し、通信傾向
の異なる振舞いを検出
- 通信の可視化、フォレンジック
対応、端末の隔離
[特徴]
- TCP/SYN、UDP等のネット
ワーク フラッド攻撃の防御
- HTTP、DNS、SSLコネクション
等のアプリケーション フラッド攻
撃の防御
- 既知の攻撃ツールからの防御
- Firepower9300 にて実現
Firepower4100
Firepower9300
Network as a Sensor/Enforcer
Catalyst SW
ThreatGRID 5000
Stealthwatch
Firepower9300 + vDP
各ソリューションの防御実施箇所
サンドボックス(ThreatGRID)
次世代IPS (Firepower)
Firewall + vDP (Radware)
Sand
box
次世代IPS (Firepower)
入口、出口対策/DDoS対策
入口、出口対策(モニタリング)
インターネット
サーバ セグメント
Stealthwatch
内部対策
出展者
来場者
会議棟
NOC
Cisco Firepower による
境界セキュリティ対策
シスコの次世代Firewall/IPS
可視性の強化
“You can’t protect what you can’t see”
Client applications
“見えなければ、防御できない”
Operating systems
File transfers
Command
and control
servers
Mobile devices
Threats
Routers and switches
Users
Application
protocols
Typical IPS
Web
applications
Printers
Malware
Typical NGFW
Network servers
VoIP phones
Cisco Firepower™ NGFW
Cisco Firepower シリーズによる高度なセキュリティ機能
業界最高水準のIPS
エンジン
ネットワークとホストの可
視化
次世代ファイア
ウォール機能
高度なマルウェア
防御(AMP)

ネットワークディスカバリ
イベント管理・
解析ツール
運用の自動化



アプリケーション制御
ユーザ制御
URLフィルター


自動チューニング
インパクト解析


インシデント相関分析
統合レポーティング
Cisco Firepower




マルウェア検知
ファイルトラッキング
レトロスペクティブ
サンドボックス
統合ソフトウェア – Firepower Threat Defense
新しい統合ソフトウェア イメージ: Firepower Threat Defense (FTD)
•
•
全てのFirepower Services にプラスして、セレクトされたASA機能が含まれる
次世代ファイアウォール
1つのマネージャで管理:
Firepower Management Center (FMC)
Firepower Threat Defense
Firepower
ASA
信頼と実績の
ファイアウォール技術
ネットワークファイアウォール
ルーティング
ネットワークとホストの可視化
例)アラートが発生したホストの情
報を確認したい
クライアントアプリケーション
ユーザ履歴
侵入の痕跡
Webアプリケーション
端末OS
サーバアプリケーション
該当脆弱性リスト
自動チューニングとインパクト解析
一般的な侵入検知機器(IPS)の
運用者が抱える問題
環境に合わせて設定を調整した
いが、運用が大変・・・
自動チューニング
ネットワーク環境を学習し、
最適な推奨設定を自動生成
沢山のログが出るが、本当に重要
なものがわからない・・・
インパクト解析
攻撃と対象端末情報を解析し本当に危険度の高いログを識別
攻撃の緊急度 “High”のアラート数: 1433
10分の1以下に減少
実インパクト “High(1)”のアラート数: 106
Cisco Advanced Malware Protection (AMP)
既知、未知に対応した検知機能
ハッシュ エンジン
ETHOS
SPERO
DFC
サンドボックス
ハッシュエンジン: 既知のマルウェアを検出
ETHOS / SPERO : 未知、亜種のマルウェアを検出
DFC: 通信先IPのレピュテーションをチェック
サンドボックス: ThreatGRID (クラウド/アプライアンス)
未知のファイルの振る舞い解析
通過するファイルが未知のものである場合、FirepowerはThreatGRIDと自動連携し、ファイルの解析依頼を実施
マルウェア被疑ファイル
インターネット
ルータ
サンドボックスと自動連
携し未知の被疑ファイル
を解析。
AMP ThreatGRID
ファイアウォール
IPS
静的分析
動的分析
スイッチ
脅威インテリジェンス
解析結果
端末
クラウド、オンプレミスの
両導入パターンに対応
マルウェア トラッキング
ファイルをハッシュ値で特定
解析情報(サンドボックス等)と連携
ネットワーク上での拡散状況を過去に遡ってトラッキング
一度判定したファイルも継続解析(レトロスペクティブ解析)
Firepower 9300
高パフォーマンスと多彩な機能に対応したセキュリティ アプライアンス
スーパバイザ
 アプリケーションの導入とオーケストレーション
 ネットワーク接続(10/40/100GE)とトラフィック分散
 Cisco® ASA、NGFW、NGIPS のクラスタリング機能
1
2
3
セキュリティ
モジュール
 組み込みパケット/フロー分類機能と暗号化ハードウェア
 シスコ(ASA、NGFW/NGIPS)とサードパーティ(DDoS)のアプリケーション
 スタンドアロン、またはシャーシ内(最大 240 Gbps)およびシャーシ全体(1 Tbps 以上)でクラスタ化
Firepower 4100
1RUで高パフォーマンスを実現したセキュリティ アプライアンス
オンボード
インターフェイス
ネットワーク
モジュール
 トラフィック用 SFP+ インターフェイス X 8。管理用 SFP+ インターフェイス X 1
 Cisco® ASA、NGFW、NGIPS のクラスタリング機能




組み込みパケット/フロー分類機能と暗号化ハードウェア
シスコ(ASA、NGFW/NGIPS)とサードパーティのアプリケーション
Firepower 9300(10GE および 40GE)と同じネットワーク モジュールを使用
スタンドアロン(最大 30 Gbps)またはシャーシ全体(400 Gbps 以上)でクラスタ化
Firepower 9300/4100 シャーシ マネージャ
シャーシ全体を管理するウェブベースのGUI ツール (Firepower9300)
セキュリティサービスのデプロイ (Firepower9300)
ASA
ASA: ネットワーク ファイアウォール
FTD
FTD: Firepower Threat Defense
次世代FW
vDP
vDP: Radware virtual Defense Pro
Firepower Management Center (FMC) Live Demo
Cisco Stealthwatch による
内部セキュリティ対策
ネットワークの不正な振る舞いを検知
マルウェアの侵入、ユーザの多量データダウンロード等の振る舞いは境界(FWやIPS)では検知しきれない
フロー情報を利用した脅威の検知
境界セキュリティでは検知できない内部侵害の例
境界セキュリティ
Internet
x FW、IPSを通過しない内部の不正通信
x 新種のマルウェアの検知失敗
FW
(ウィルス対策ソフト取りこぼし)
IDS/IPS
仮想
ブラウザ
Web
Security
大量のファイルダウンロード
Mail
Security
Sandbox
DNS
x 内部でのマルウェア偵察行為・拡散
x 悪意のある内部ユーザの不正通信
ブラックリストへの通信
hypervisor
ポートスキャン、辞書攻撃、DoS、
P2P等
ポートスキャン、辞書攻撃、DoS、
P2P等
NetFlowによる可視性で
内部ネットワークで起こるインシデントに
も即座に対応可能!
ネットワークのフロー情報による脅威の可視化
境界セキュリティ(Web Proxyなど)や
ログ情報からの脅威の活動状況の例
ネットワークフローを活用した
脅威の活動状況の例
192.168.19.3
192.168.19.3
社員
10.4.51.5
10.200.21.110
④ ファイル(DB)サーバからの
情報ダウンロード
10.4.51.5
10.200.21.110
③ 内部感染拡大(管理職端末への感染)
サーバー
10.51.51.0/24
10.51.52.0/24
10.51.53.0/24
192.168.132.99
10.51.51.0/24
10.51.52.0/24
10.51.53.0/24
192.168.132.99
② 内部感染拡大
⑤ 外部への情報持ち出し
(暗号化・独自プロトコル)
10.43.223.221
10.43.223.221
ハイリスク
セグメント
インターネット
インターネット
社員
10.85.232.4
10.85.232.4
 従来の境界セキュリティ機器やSIEMでは、入り口・出口でのみ通信情報を把
握 (送信元、宛先アドレスのみ)しており、ネットワーク全体での脅威の活動
状況の把握が困難
① フィッシングを
きっかけとして感染
(ゼロデイ)
 ネットワークフロー情報を活用した場合、脅威の全体の活動状況を可視
化可能
 さらに、認証情報(端末認証)と連携することで、ユーザ名の特定も可能
であり、「誰の端末で」マルウェアの活動が行われているかを容易に把
握可能
ネットワーク監視と可視化、自動隔離へのステップ
eth0/2
eth0/1
NetFlow の概要
10.2.2.2
ポート 1024
10.1.1.1
ポート 80
開始時間
インターフェイス
送信元 IP
送信元ポート
宛先 IP
宛先
宛先ポート
ポート
プロト
プロトコル
コル
送信パケッ 送信バイト数
ト数
TCP フラグ
10:20:12.221
eth0/1
10.2.2.2
1024
10.1.1.1
80
TCP
5
1025
SYN、ACK、PSH
10:20:12.871
eth0/2
10.1.1.1
80
10.2.2.2
1024
TCP
17
28712
SYN、ACK、FIN
20
NetFlow = 可視化
1 つの NetFlow レコードにはさまざまな情報が含まれている
Router# show flow monitor CYBER-MONITOR cache
…
IPV4 SOURCE ADDRESS:
192.168.100.100
IPV4 DESTINATION ADDRESS: 192.168.20.6
TRNS SOURCE PORT:
47321
TRNS DESTINATION PORT: 443
INTERFACE INPUT:
Gi0/0/0
IP TOS:
0x00
IP PROTOCOL:
6
ipv4 next hop address: 192.168.20.6
tcp flags:
0x1A
interface output:
Gi0/1.20
counter bytes:
1482
counter packets:
23
timestamp first:
12:33:53.358
timestamp last:
12:33:53.370
ip dscp:
0x00
ip ttl min:
127
ip ttl max:
127
application name:
nbar secure-http
…
21
Cisco Stealthwatch System
動的 NetFlow 分析を使用したネットワーク調査
監視

ネットワークの標準の
状態を理解

すべてのトラフィックに
ついてリアルタイムで
状況を認識


ネットワーク動作の異
常検出および分析を
活用
APT、インサイダー脅
威、DDoS、マルウェア
に関連する動作を検
出
応答
分析
検出

ネットワーク全体の監査
証跡を収集および分析

迅速な根本原因分析に
より完全な調査を実施

ネットワークのトラブル
シューティングと脅威の
緩和を高速化

Cisco ISE で脅威を隔
離し、迅速に対応
Cisco Stealthwatch: システム概要
StealthWatchラボ
インテリジェンス・セ
ンター (SLIC) *
ネットフロー対応
ネットワーク機器
NetFlow未対応機器
NetFlow / NBAR / NSEL
NetFlowの生成
SPAN
Stealthwatch
フローセンサ
•
•
•
Stealthwatch
フローコレクタ
Stealthwatch
管理コンソール
•
•
•
フローレコードの収集と解析
最高4,000の送信先
最高24万 フロー/秒
管理とレポート
最高 25 フローコレクターまでサポート
全体で最高600万 フロー/秒サポート
*https://www.lancope.com/stealthwatch-labs
ShowNet におけるStealthwatch 構成
NetFlow 対応機器
Stealthwatch
フローコレクタ
Stealthwatch
管理コンソール
NetFrow 用
Flow Collector (VA)
sFlow 対応機器
sflow 用
Flow Collector (VA)
Stealthwatch Management Console (VA)
Cisco UCS C240 M4 サーバ
Stealthwatch Management Console (SMC) Live Demo
セキュリティ インテリジェンス
セキュリティ インテリジェンス: Talos
24 時間 365 日
体制
1 億米ドル以上を
活発な研究開発に向けて投資
40 以上の言語
ポートフォリオ全体に拡大
Cisco® Collective
セキュリティ イン
テリジェンス
WWW
デバイス
電子メール
Cisco CWS
Web
Firepower
シスコ
AnyConnect®
WWW
ネットワーク エンドポイント
160 万台のデバイ
スがデータを提供
120 TB
の受信データ
(1 日あたり)
全世界の電子メー
ルトラフィックの
35 %
130 億件
の Web 要求
情報
可視性
アクション
IPS
Cisco ESA
Cisco ASA
Cisco WSA
制御
1 日あたりのユ
ニークなマルウェ
ア サンプル数は
110 万
1 秒あたり 250 万
件の脅威をブ
ロック
200 以上
のパラメータ
を追跡
70 以上
のパブリケー
ションを作成
Fly UP