Comments
Transcript
Synchronized Security - SOPHOS INSIGHT(ソフォスインサイト)
XG Firewall & Synchronised Security Wana Tun Director, APJ NSG Product Group Sophos Sandstorm ⾼度な脅威保護をシンプルに UTM v9.4 & SFOS v16.5 (12月) エンタープライズ向けソリューションよりも 低価格でシンプルに、 エンタープライズグレードのプロテクションを実現! ⾼度な脅威に対するネットワーク プロテクションの対応方法 3 2 つの主な侵⼊経路 Eメール 悪意のあるファイルがスパムメールに 添付されており、ユーザー開くと感染する 添付ファイルを開くと、 実⾏可能なコードがダウンロードされ、 ランサムウェアのペイロード (攻撃コード) が実⾏される Locky、TorrentLocker、CTB-Locker などによって使用される 感染した Web サイト 感染した Web サイト、および エクスプロイトキットをインストールする 悪意のある広告からの感染 ダウンロードされたファイルの セキュリティ侵害 CryptoWall、TeslaCrypt、CrypVault、 ThreatFinder などによって使用される 検出を回避しようとしているハッカー マルウェアハッシュ の数と活動期間 (秒) 1 分以内 2016 年ベライゾンデータ漏洩/侵害調査報告書 5 Sandstorm はどのように動作する? Sophos Sandstorm 挙動の判別 ハッシュ ? 検知 コントロール レポート 検出を回避する脅威も検知できるように保護を拡張 次世代サンドボックス IPS Live Protection エミュレーション 静的コード分析 アンパッキング シグニチャ Web セキュリティ Eメールセキュリティ Sandstorm を導⼊する理由 ソフォスとガートナーや 他の専門家の意⾒が⼀致 従来型の多層防御は今でも欠かせないが、 不⼗分。 ネットワーク、エンドポイント、 そして「ペイロード」保護が必要 この 3 つのすべてを組み合わせて、 初めて、現在の脅威に対する効果的な 保護を確⽴できる。 多くのベンダーはこの中の 1 つ、または 2 つのセキュリティ階層のソリューション しか提供できない 8 Sandstorm の効果 10〜20 お客様 1 社が Sandstorm で 毎日発動させているファイル数の平均 0.4〜1.8 お客様 1 社で毎日検出されている マルウェアの平均数 Sandstorm を導入したある大学では、 400 種類以上のマクロの亜種が 最初の数週間で検出された。 Sophos Sandstorm のシンプルさと優れた効果が高く評価されている。 9 Sophos Sandstorm XG Firewall Wireless Web Email SG UTM v16.5 公開予定 現在利用可能 現在利用可能 現在利用可能 XG Firewall v16 Synchronized Security 11 現在のファイアウォールの重要な課題 – 調査結果 ネットワークセキュリティのトレンドによって複雑化 既存のファイアウォールへの不満 (2016 年*) ネットワークセキュリティのトレンド 収集されるデータの量が膨⼤ Insufficient visibility 不⼗分な可視化 どんな IT 管理者でも対応できないほどの データ量 不⼗分なセキュリティ Insufficient security & control と制御 脅威の⾼度化 検知回避型、標的型、ゼロデイの脅威 複雑で手間が掛かり Too complex すぎる 価値が不⼗分 Poor value Poor performance パフォーマンスが 不⼗分 * ソフォスが委託し、Spiceworks で中堅企業の IT 管理者に対して実施した調査 増え続けるソリューション数 多すぎる機能、多すぎる製品 $ セキュリティコストが膨⼤ 同じような価格帯に多くのソリューション があり競合している ネットワークの需要の増⼤ クラウド、IaaS、境界の消失、BYOD v15 の Synchronized Security 管理 UTM/ 次世代ファイアウォール Security Heartbeat™ エンドポイント/ 次世代エンドポイント ! RED Heartbeat エンドポイントからのトラフィックをファイアウォールが検出 13 XG Firewall v16 の新しい Synchronized Security UTM/ 次世代ファイアウォール Missing Heartbeat Detection 感染したエンドポイントの特定と隔離 エンドポイント/ 次世代エンドポイント Destination Heartbeat 感染したサーバーやエンドポイントへの アクセスをブロック クラウドインテリジェンス Dynamic App Identification 不明なアプリケーショントラフィックの認知 14 Synchronized Security 管理 UTM/ 次世代ファイアウォール Missing Heartbeat エンドポイント/ 次世代エンドポイント ? MISSING Heartbeat エンドポイントからのトラフィックをファイアウォールが検出 15 Synchronized Security 管理 UTM/ 次世代ファイアウォール Destination Heartbeat™ RED Heartbeat エンドポイント/ 次世代エンドポイント・ サーバプロテクション ! 感染したシステムからの接続、感染したシステムへの 接続をブロック GREEN Heartbeat 感染したシステムへの接続を試みるエンドポイント 16 Synchronized Security 管理 UTM/ 次世代ファイアウォール Dynamic App Identification エンドポイント/ 次世代エンドポイント GREEN Heartbeat エンドポイントからの不明なトラフィックを ファイアウォールが検出 ファイアウォールがエンドポイントに コンテキストを要求 アプリケーション情報を交換 17 Sophos XG Firewall 独自のイノベーション 18 Sophos XG Firewallの独自性 他製品にはない革新的な機能 Synchronized Security • エンドポイントとファイアウォールを連携させて、テレメトリとステータスを共有 • Security Heartbeat™ やリアルタイムアプリIDのような機能を実現 ファイアウォールのルールとポリシー管理 • すべてのファイアウォールルールを1つの画⾯で管理、ユーザーベースのポリシーのスナップインも可能 • ポリシーテンプレートによって、ビジネスアプリケーションを簡単に保護 エンタープライズグレードの Secure Web Gateway • Web ポリシーモデルをベースとした強⼒なトップダウン型継承 • 高度なユーザーおよびグループベースポリシーを簡単かつ直感的に作成可能 ユーザーおよびアプリケーションリスクの評価 • ネットワーク上にいるリスクの高いユーザーやアプリケーションを自動的に特定 • 潜在的な問題を未然に特定 妥協のない導⼊環境と⼀元管理 • 妥協のない柔軟な導入オプション:XG シリーズ(ハードウェア)、ソフトウェア、仮想、 IaaS (Azure) • 包括的で⼀元化された管理とレポーティング機能によって、運用が簡単に 19 ファイアウォールルールとポリシーの統合 管理が簡単 すべてのファイアウォールのルールを⼀元管理 ユーザー、ネットワーク、ビジネスアプリケーション スナップイン Web、アプリ、QoS、および IPS ポリシー をルール化 柔軟フィルタリングオプション ルールタイプ、ゾーン、ステータス、または ID を基準にできる わかりやすいインジケーター タイプ、ソース、デスティネーション、ユーザー、サービス、 トラフィックステータス、ハートビート、QoS、および 自然言語記述 20 ポリシーテンプレート テンプレートは、自社で独自に調整でき、 ⼀般的なビジネスアプリケーションを簡単かつ適切に保護 21 エンタープライズグレードの Secuere Web Gateway 洗練されたユーザーとグループベースの Web ポリシーを作成できる強⼒なツール Web ポリシーモデルをベースとする トップダウン型継承 高度なユーザーおよびグループベースポリシー を簡単かつ直感的に作成可能このような Web ポリシーは通常、エンタープライズ製品のみに 採用されている。 定義済みのポリシーテンプレート ワークプレース、CIPA コンプライアンスなどの ためにすぐに使用できるポリシーが含まれる。 強⼒なカスタマイズ ユーザー/グループ、アクティビティ (URL、カテゴリ、ファイルタイプ)、許可される アクション、1 日の時間帯や曜日の制約などを 独自に定義可能。 22 ユーザーリスクの評価 ネットワーク上にいるリスクの高いユーザーを自動的に特定 ネットワーク上にいるリスクの高いユーザーを 自動的に特定し、問題を未然に防止 23 XG の利点 • 多くの新しい差別化要因 Security Heartbeat Dynamic App Identification ポリシーテンプレート レイヤ-8 のユーザーアイデンティティ エンタープライズグレードの SWG ユーザーおよびアプリケーションの リスクの可視化 ファイアウォール間の RED トンネル FastPath パケット最適化 デュアルアンチウイルス フル機能の WAF、Eメール、 レポーティング より柔軟な導入オプション ソフォスXGフ ァイアウォール Fortinet Dell SonicWALL WatchGuard 次世代ファイアウォールプロテクション (IPS、Web、アプリ) ✔ ✔ ✔ ✔ ⾼度な脅威からの保護 ✔ ✔ ✔ ✔ Security Heartbeat™ と Dynamic App ID ✔ ビジネスアプリケーション向けのポリシー テンプレート ✔ すべての領域における レイヤ‐8 のユーザーアイデンティティ ✔+ ✔ ✔ ✔ Secure Web Gateway ✔+ ✔ ✔ ✔ ユーザーおよびアプリケーションのリスクの可視化 ✔ ✔ ファイアウォール間の RED トンネル ✔ FastPath パケット最適化 ✔ ✔ 完全な電子メール対策: AV、AS、暗号化、DLP ✔ +1Box +1Box +1Box デュアルアンチウイルスエンジン ✔ リバースプロキシと認証 ✔ ✔ Webアプリケーションファイアウォール (WAF) ✔ +1Box ユーザーセルフサービス ポータル ✔ ✔ 完全な履歴レポート ✔ +1Box +1Box +1Box 柔軟な導⼊方法 (HW、SW、VM、IaaS) ✔ SW なし VM なし SW なし +1Box XG Firewall on Azure 確認すること Azure を使用していますか? 今後さらに多くのサーバーやワークロードを クラウドに移⾏する計画はありますか? オンプレミスとクラウド全体に適用する セキュリティ要件はありますか? Azure を使用して XG を試用してみることを 考えたことはありますか? 導⼊が簡単で、ライセンスがシンプル Microsoft Azure Marketplace から 数分で仮想マシンを導入 BYOL または従量課⾦ (時間毎) のライセンス 25 これからの取り組み 26 SFM/CFM for v16 ベータ版を近日公開 充実した機能 すべてのファイアウォール機能を管理 監視、アラート、ロールベースの管理 作業時間を簡単に削減 ポリシーテンプレートで登録が迅速に ファームウェアアップデート管理 柔軟な導⼊方法 オンプレミス (ハードウェア、ソフトウェア、仮想) パートナー様はクラウドで無料で利用可能に クラウドは v17 でお客様に公開予定 27 SG から XG への移⾏ 3 つの段階と 2 つのツール 2017 年 第 1 四半期 フェーズ 1 •• オンライン移⾏ポータル パートナー様が利用可能 第 2 四半期 第 3 四半期 • 基本的なネットワークから開始 • その後、その他のネットワークおよび Web 機能を追加 フェーズ 2 • オンライン移⾏ポータル (ネットワークと Web 移⾏のサポート) • お客様が利用可能 フェーズ 3 オンライン移⾏ポータル 第 4 四半期 • SG UTM のインライン移⾏ツール (ネットワークと Web) • お客様が利用可能 インライン移⾏ツール (UTM 9) Synchronized Security の機能強化 v17 で公開予定 管理 UTM/ 次世代ファイアウォール Dynamic App Control エンドポイント/ 次世代エンドポイント 未知のトラフィックの 分類と制御 エンドポイントからの不明なトラフィックを ファイアウォールが検出 未知のトラフィックの 分類と制御 ファイアウォールがエンドポイントに コンテキストを自動的に要求 アプリケーション情報を交換 29 30 31 Sophos Central 上の XG Firewall 2017 年 第 1 四半期 Sophos Firewall Manager • 充実の機能を実装するマルチデバイス • オンプレミスorクラウド (パートナー) 第 2 四半期 第 3 四半期 Sophos Central Single Device • シングルデバイスおよび HA クラスタ • ゼロタッチとアラート 第 4 四半期 Sophos Central Multi‐Device • シンプルなグループと マルチデバイス • API サポート 32 セキュリティ分析 – 2017 年上半期 全製品のデータ サービス XGFW の⼀元 的なレポート 機能 新しいセキュリ ティ分析製品の ための基盤構築 NSS Labs社が、検証し発⾏する NGFWレポートの更新 • 現在社内テストを実施中 • CAWS への積極的な参加 & 優れたパフォーマンス • 結果の公開は、2017 年の始め を予定。 • TCO と検出範囲の両⽅で良好 な結果を期待 34 Sophos Wireless 35 お客様がワイヤレス環境をリプレースする理由 パフォーマンスと信頼性が低い 802.11ac への技術アップデートを含む 可視化の機能がない ゲストアクセスなど、機能が不⼗分 これらの 3 つの 問題は、現在の ワイヤレス ソリューション に満足していな い最も⼀般的な 理由。 ソフォスが SpiceWorks で 2016 年 6 月に実施した調査結果に基づく。回答者数は 165 社 36 テクノロジーの刷新が エンタープライズ WLAN の成⻑を後押し 2016 年第 2 四半期に出荷された 製品の 59.9% が 802.11ac を採用 ソフォスの AP 55 と AP 100 モデル 802.11ac に対応済み 出典: http://www.idc.com/getdoc.jsp?containerId=prUS41724416 (日本未販売) は、 37 Sophos Wireless: Sophos UTM/ XG Firewall の Wireless Protection Sophos Central で管理される Sophos Wireless バイヤーの状況 • UTM の「あらゆる機能がすべて 1 つにという」価値提案を評価 • Sophos UTM/XG Firewall 販売、アップセル • 「クラウドを信頼する」ことに躊躇している/準備ができていない バイヤーの状況 • ワイヤレス専用プロジェクト (または他の ESG 製品を扱う) • 多くの場合は、既存の UTM/XG Firewall のお客様ではない • 既存の ESG/Sophos Central のお客様 環境 • 単⼀の集中管理されるサイトまたは拡張性に関する要件の制限 (RED も検討) • 変更がほとんどない、導入環境の明確の計画 環境 • 動的で、将来的な拡張の必要性 独自の機能 (Central Wireless にはない) • なし バイヤーの要件 ⼀元的なネットワークセキュリティであらゆる機能を 1 つに統合 独自の機能 (XG/UTM Wireless にはない) • クラウドベースの管理 • 不正な AP の検出 バイヤーの要件 ワイヤレスのセキュリティとクラウドの拡張性 38 新機能と新しい取り組み 39 v1.6 の新機能 (10 月 20日にリリース) • ホットスポットポータル o ユーザーによるインターネットアクセスを許可する前に、利用条件と サービス内容に同意してもらうポータル • ホットスポットバックエンド認証 o RADIUS サーバーに対する追加認証を⾏うホットスポットポータル • 不正な AP:BSSID 分類 o 脅威タイプに応じて BSSID を分類 • 時間ベースの SSID o 各 SSID を利用できる時間をスケジュール可能 (平日 + 時間) • Syslog 構成 o バックエンドのデバッグ機能: サイト固有の syslog サーバーを構成 40 ホットスポットとゲストアクセス ワイヤレスネットワークの利用を制限 すべてのスクリーンショットは変更さ れる場合があります。 アクセスポータル 利用条件を付けてホットスポットを セットアップ 41 不正な AP の検出: セキュリティの専門知識を ワイヤレス環境に 知ってるし、 信頼してる あなたの ネットワーク あなたを知りま せんが、あなた は私とって害に はなりません。 ネイバー 悪魔の双子 (Evil Twin) 偽装 している! あなたの AP あなたは私の ネットワークに いますが、 脅威ではありま せん。 私のネットワー クにいますが、 ここはあなたが いる場所ではあ りません! 不許可 不正な AP 42 不正 AP の検出 – フェーズ 1 すべてのスクリーンショットは変更さ れる場合があります。 双子の悪魔(Evil Twin) とは? 双子の悪魔は、ワイヤレス版 のフィッシング詐欺です。攻 撃者は、正規のプロバイダー を装った悪意のあるホットス ポットにワイヤレスユーザー をアクセスするように誘導し ます。 43 Synchronized Security 現在の Synchronized Security 管理者 | すべてのソフォス製品を管理 セルフサービス | ユーザーがカスタマイズ可能なアラート パートナー| お客様のインストール環境の管理 Sophos Central クラウド UTM/ 次世代ファイアウォール ワイヤレス メール Web オンプレミス Security Heartbeat™ エンドポイント、ファイアウォール、暗号化を つなぎ合わせる 自動的な対応 アクセスをブロックして鍵を除去する ヘルスステータス エンドポイント/ 次世代エンドポイント モバイル サーバー 暗号化 暗号化 クラウド インテリジェンス インスタントインサイト 分析 根本原因分析のサマリーと詳細 | すべてのソフォス製品全体でデータを分析し、シンプルで有用なインテリジェンスを作成し、自動的な修復を可能にします。 URL データベース | マルウェアアイデンティティ | ファイルルックアップ | 遺伝子型 | レピュテー Sophos Labs | 24x7x365、複数の大陸にわたってチームを配置し常に稼働 | ション | 挙動ルール | APT ルールアプリケーション | スパム対策 | データコントロール | SophosID | パッチ | 脆弱性 | サンドボックス | API Everywhere 45 Security Heartbeat™ の拡張 管理者 | すべてのソフォス製品を管理 セルフサービス | ユーザーがカスタマイズ可能なアラート パートナー | お客様のインストール環境の管理 Sophos Central オンプレミス クラウド UTM/ 次世代ファイアウォール ワイヤレス Security Heartbeat™ メール エンドポイント/ 次世代エンドポイント モバイル サーバー 暗号化 Web クラウド インテリジェンス 分析 | すべてのソフォス製品全体でデータを分析し、シンプルで有用なインテリジェンスを作成し、自動的な修復を可能にします。 Sophos Labs | 24x7x365、複数の大陸にわたってチームを配置し常に稼働 | URL データベース | マルウェアアイデンティティ | ファイルルックアップ | 遺伝子型 | レピュテー ション | 挙動ルール | APT ルールアプリケーション | スパム対策 | データコントロール | SophosID | パッチ | 脆弱性 | サンドボックス | API Everywhere 46