Comments
Description
Transcript
シスコIPSによるグローバルコリレーションの解説
シスコIPSによるグローバルコリレーションの解説 シスコシステムズ合同会社 シスコシステムズ合同会社 ソリューションズシステムズエンジニアリング 小林 達哉 IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 1 アジェンダ 現在の 現在のセキュリティ脅威 セキュリティ脅威 Cisco Security Intelligence Operations( (CSIO) )の紹介 CSIOが が提供する 提供する技術 する技術 シスコIPSにおける におけるグローバルコリレーション シスコ におけるグローバルコリレーションとは グローバルコリレーションとは まとめ IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 2 現在の 現在のセキュリティ脅威 セキュリティ脅威 永続的、 永続的、巧妙化、 巧妙化、絶え間なく変化 なく変化 どのアタック どのアタックも アタックもわずかに変化 わずかに変化させることが 変化させることが可能 させることが可能 ドメインは ドメインは数日、 数日、あるいは数時間 あるいは数時間で ローテーションされる 数時間でローテーションされる コンテンツは コンテンツは正規の 正規のトラフィックを トラフィックを模倣している 模倣している 80%の のスパムが スパムが感染した 感染したクライアント したクライアントから クライアントから送 から送られている 70%の のボットが ボットがダイナミックIPアドレス ダイナミック アドレスを アドレスを使っている 正規の 年に比べ190%に に増えている 正規のドメインからの ドメインからの脅威 からの脅威が 脅威が2008年 億通以上 1日 日あたり1800億通 億通以上もの 以上ものスパムメール ものスパムメールが スパムメールが流れている あたり IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 3 例えば…ボットネット えば ボットネットの ボットネットのトレンド 巧みに隠 みに隠れ、より洗練 より洗練されながら 洗練されながら、 されながら、相変わらず 相変わらず活発 わらず活発な 活発な活動がなされている 活動がなされている。 がなされている。 2007: “Storm”による による大規模 による大規模な 大規模なボットが ボットが発覚 2008: “Storm”が が消えない上 や”Asprox”が が発生 えない上にさらに”Kraken/Bobax”や にさらに 2009: “Storm”は は”Waledac”や や”Conficker”、 、”Koobface”に に発展しつつ 発展しつつ… しつつ 次はどんなボット はどんなボットが ボットが発生するか 発生するか? するか? IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 4 Cisco Security Intelligence Operations (CSIO) 全世界から 全世界からリアルタイム からリアルタイムで リアルタイムで脅威の 脅威の情報を 情報を集め、分析し 分析し、防御手段をすぐに 防御手段をすぐに提供 をすぐに提供 IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 5 CSIOの の3つの つの柱 つの柱 IPS-GC SensorBase Threat Operations Center Dynamic Updates 全世界からの情報 研究者と自動解析 リアルタイムアップデート とベストプラクティス © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 6 SensorBase 深いカバレッジ Threat Intelligence Benefits 700,000台以上 台以上の 台以上のグローバルデバイス ダイナミックな 度からの ダイナミックな脅威への 脅威への360度 への 可視性 全世界の トラフィックの 全世界のMail/Webトラフィック トラフィックの30% 脆弱性と 脆弱性と悪用方法の 悪用方法の理解 40,000もの もの脅威 もの脅威の 脅威の情報ライブラリ 情報ライブラリ 500以上 以上の 以上のサードパーティからの サードパーティからの情報 からの情報、 情報、 100以上 以上の 以上のニュースや ニュースやオープンソース、 オープンソース、 他ベンダーからの ベンダーからの情報 からの情報 最も危険な 危険な脅威の 脅威の可視性 アタックや アタックや技術の 技術の最新トレンド 最新トレンド 1日 日あたり500GBの の情報を 台以上の あたり 情報を1000台以上 台以上のサーバで サーバで処理 IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 7 Threat Operations Center セキュリティの セキュリティの専門家 Researchers and Analysts 500人以上 人以上の 人以上の研究者と 研究者とホワイトハット ・エンジニア 80人以上 人以上の 、CISSP、 、 人以上の博士号、 博士号、CCIE、 MSCE 人力での 人力でのルール でのルール作成 ルール作成と 作成と品質管理 侵入 侵入テスト テスト、 ボットネットへの への潜伏 潜伏、 テスト 、ボットネット への 潜伏 、マ ルウェアの ルウェアのリバースエンジニアリング 、脆弱性調査 5つの つのセンター 稼動 つのセンターでの センターでの24 での x 7 x 365稼動 インターネット インターネット上 言語を 上の95%の の言語 をカバ ー IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public Benefits ネットワークセキュリティの ネットワークセキュリティのベストプラ クティスと ) クティスと緩和技術( 緩和技術(Mitigation) 脅威の 脅威の傾向と 傾向と将来の 将来の傾向の 傾向の把握 品質の の低下 品質の向上、 向上、False Positiveの 24時間 時間、 時間、世界中を 世界中をカバー 8 Dynamic Updates 自動化された 自動化された防御 された防御 Updates Cisco Security Intelligence Operations 3-5分 分ごとにシスコ ごとにシスコの シスコのセキュリティデ バイスへ バイスへ自動的に 自動的にアップデートを アップデートを送 信 リアルタイム防御 リアルタイム防御のために 防御のためにレピュテ のためにレピュテ ーションを ーションをアップデート IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public Benefits 晒されているセキュリティホー ルを軽減 セキュリティマネージメントの セキュリティマネージメントの 手間を 手間を最小化 9 CSIO Web Site http://www.cisco.com/go/sio アラートや アラートや最新の 最新のセキュリティニュース、 セキュリティニュース、今起きている 今起きている脅威 きている脅威を 脅威を発信 IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 10 シスコの シスコのセキュリティ製品 セキュリティ製品と 製品とサービス Cisco SIO: 脅威を 脅威を認識し 認識し、分析し 分析し、自動的に 自動的に防御 Live Reputation Scores New and Updated Signatures Authored and Dynamic Rule Sets Auto-Updates Every 5 Minutes Customized Alerts Every 5 Minutes Security Filters: 業界最高水準の 業界最高水準のセキュリティ機能 セキュリティ機能 Virus Outbreak Filters Email and Web IPS Reputation Reputation and Signature Filters Filters Anti-Spam Firewall Botnet Traffic Filters Alert Aggregation Filters Cisco Products and Services: プロアクティブな プロアクティブな防御を 防御を高パフォーマンスで パフォーマンスで w ww Adaptive Security IPS-GC Intrusion Prevention Web Security © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public Email Security Hosted Email Security Service Modules Alert Services 11 レピュテーションとは レピュテーションとは? とは? Email Security IPS Web Security Firewall レピュテーションと レピュテーションとはアクションと アクションと特定IPアドレス 特定 アドレス、 アドレス、ネットワークの ネットワークの 品質の 品質のヒストリーである ヒストリーである。 である。 SensorBaseから から見 から見つけられた異 つけられた異なるタイプ なるタイプの タイプの無数の 無数のデータから データから 計算される 計算される 異なるデバイス なるデバイスの デバイスのレピュテーションの レピュテーションの各パラメータの パラメータの重みは、 みは、デ バイスタイプにより バイスタイプにより異 により異なる 例)SPAMが が送られた事実 られた事実は レピュテーションに 関連され高 事実は、Emailレピュテーション レピュテーションに関連され され高く位 置づけされるが、 センサーにとっては づけされるが、IPSセンサー センサーにとっては重要性 にとっては重要性が 重要性が低くなる IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 12 IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 13 IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 14 Cisco IPS 7.0 Network IPSから からGlobal IPSへ へ から Global Threat Telemetry Cisco SIO Global Correlation Global Threat Telemetry 8:10 GMT Cisco IPSは はアップデートを アップデートを適用 NYの 広告代理店本社 8:00 GMT センサーが センサーが新型マルウェア 新型マルウェアを マルウェアを検知 モスクワの ISPデータセンター 8:03 GMT センサーが を検知 センサーが新しいBotnetを しい 東京の 銀行の支店 8:07 GMT センサーが センサーがハッカーの ハッカーの調査を 調査を検知 カバレッジ: カバレッジ シグニチャだけのIPSに比べ、2倍以上の効果(利用方法に依存) 正確性: 正確性 フルインスペクションに比べ、False Positiveの軽減 タイムライン: タイムライン プロアクティブに防御可能 IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 15 IPS 7.0 パケットフロー IPS Reputation Filter 乗っ取られたゾンビ られたゾンビ・ ゾンビ・ネットワ ーク、 ーク、悪意の 悪意の組織により 組織によりコント によりコント ロールされた ロールされたネットワーク されたネットワーク全 ネットワーク全 体へのアクセス へのアクセスを ブロックす アクセスをブロックす る Global Correlation Inspection (グローバル相関分析 グローバル相関分析) 相関分析) 攻撃者が 攻撃者がネガティブレピュテーションである ネガティブレピュテーションである場合 である場合、 場合、 ネガティブレピュテーショ ンが確認され 確認されてい かなイベントとして ブロックするよう されていない ていないイベント ないイベントより イベントより、 より、確かなイベント イベントとして、 として、ブロックするよう Risk Rating値 値を上げる IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 16 IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 17 IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 18 IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 19 グローバルコリレーションサポートの (IPS 7.0) ) グローバルコリレーションサポートのIPS( Cisco IPS 4200 Series Sensors IPS 4240 - 250 Mbps IPS 4255 - 600 Mbps IPS 4260 – 1 Gbps IPS 4270 – 4 Gbps Cisco ASA 5500 Series IPS Editions and AIP Modules ASA5500に にAIP-SSMを を搭載した 機能は が実施) 搭載した形 した形でサポート( サポート(IPS機能 機能はAIP-SSMが 実施) ASA 5510 – Up to 350 Mbps ASA 5520 – Up to 450 Mbps ASA 5540 – Up to 650 Mbps Catalyst 6500 Service Modules IDSM2 - 500 Mbps Catalyst IDSM-2 Bundle - 2 Gbps AIP-SSM-10 AIP-SSM-20 AIP-SSM-40 Cisco ISR Module NME-IPS-K9 - 75 Mbps AIM-IPS-K9 - 45 Mbps グローバルコリレーション利用 グローバルコリレーション利用のための 利用のための特別 のための特別な 特別なライセンスは ライセンスは不要 IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 20 ASAにおける におけるIPSとの との独立 における との独立・ 独立・連携 本体CPU 本体 ASA-OS アプリケーション インスペクション 設定に 設定にマッチした マッチした トラフィックフローのみに トラフィックフローのみに インスペクション処理 インスペクション処理 • Firewall 機能 • VPN 機能 MPF設定 設定 1000/Full 内部 インターフェイス 設定に 設定にマッチした マッチした トラフィックフローのみを トラフィックフローのみを モジュール用 にフォワード モジュール用IFに AIP-SSM用 用ソフトウェア( ) ソフトウェア(IPS) 独立した で処理 独立したCPUで した モジュールCPU モジュール Firewall / VPN / IPSが が互いに独立 いに独立した 独立したリソース したリソースにて リソースにて連携 にて連携して 連携して動作 して動作するため 動作するため、 するため、 Firewallと とIPSを を同時に 同時に動作させても 動作させても性能劣化 させても性能劣化が 性能劣化が無い IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 21 まとめ 現在の 現在のセキュリティ脅威 セキュリティ脅威に 脅威に対し、もはやセキュリティデバイス もはやセキュリティデバイス単独 セキュリティデバイス単独での 単独でのタイム でのタイム リーかつ リーかつ正確 かつ正確な 正確な防御はできなくなってきている 防御はできなくなってきている。 はできなくなってきている。 シスコは シスコは、様々なニュースソースに ニュースソースに加え、世界中の 世界中のセキュリティデバイスから セキュリティデバイスから リアルタイムな リアルタイムな攻撃情報を 攻撃情報を集めることができる めることができる。 ことができる。 シスコが のセキュリティ専門化 シスコが集めた情報 めた情報は 情報は、CSIOの セキュリティ専門化が 専門化が分析して 分析して情報 して情報を 情報を発信 するだけでなく、 するだけでなく、世界中で 世界中で動作している 動作しているセキュリティデバイス しているセキュリティデバイスに セキュリティデバイスに防御手段が 防御手段が 提供される される。 提供される。 ASAには にはASAに に合った、 にはIronPortに に合った、 にはIPSに に合 には った、IronPortには には った、IPSには には ったそれぞれの ったそれぞれの防御手段 それぞれの防御手段が 防御手段が提供される 提供される。 される。 IPSでは では、 では、セキュリティレピュテーションでの セキュリティレピュテーションでの防御 での防御と 防御と、ローカルインスペクション から自 とグローバルコリレーションを きめ細かい対策 かい対策が 対策がCSIOから から自 グローバルコリレーションを組み合わせたきめ わせたきめ細 動的に している。 動的に提供され 提供され、 され、正確性と 正確性と処理速度が 処理速度が大きく向上 きく向上している 向上している。 様々なセキュリティソリューションを セキュリティソリューションを世界中に 世界中に提供している 提供している シスコならではの シスコならではの大規模 システムをご利用 ならではの大規模な 大規模なシステムをご をご利用ください 利用ください IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 22 IPS-GC © 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 23