O slideshow foi denunciado.
Seu SlideShare está sendo baixado. ×

【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル

Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Carregando em…3
×

Confira estes a seguir

1 de 40 Anúncio

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Semelhante a 【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル (20)

Anúncio

Mais de シスコシステムズ合同会社 (20)

Mais recentes (20)

Anúncio

【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル

  1. 1. ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ 運用モデル 石川 恒 シスコシステムズ合同会社 シスコセキュリティソリューションズ マネージャ
  2. 2. Cisco Public 2© 2013-2014 Cisco and/or its affiliates. All rights reserved. セキュリティにおけるチャレンジ ビジネス モデルの変革 日々変わる脅威の様相 複雑さと断片化
  3. 3. 侵入を防ぐ対策(BEFORE)だけでは不十分 一連の攻撃 BEFORE 発見 適用 堅牢化 AFTER 範囲特定 封じ込め 修復 検出 ブロック 防御 DURING Cisco Security Products Cisco Security Services Cisco Security Intelligence
  4. 4. 侵入を防ぐ対策(BEFORE)だけでは不十分 • マルウェアは本当に侵入していない? • 通常の通信と怪しい通信はどう見分ける? • 不正サイトへのアクセスはないのか? • どう監視し、運用していく? • セキュリティ スキルと要員の教育は? • インシデントに対する対応は? オペレーション フレームワーク
  5. 5. 侵入を防ぐ対策(BEFORE)だけでは不十分 • マルウェアは本当に侵入していない? • 通常の通信と怪しい通信はどう見分ける? • 不正サイトへのアクセスはないのか? • どう監視し、運用していく? • セキュリティ スキルと要員の教育は? • インシデントに対する対応は? オペレーション フレームワーク Assess RespondPredict
  6. 6. サイバー セキュリティの視点 ……………古き良き時代とはもう違います 国家による、あるいは国家が支 援する攻撃が普通になり、 マルウェアが再利用されている サイバー攻撃にかかる コストは上昇し続ける 読解不能にする技術が進み、 正体の特定はさらに困難に MacOS、Linux、Android を ターゲットとするマルウェアが さらに増加
  7. 7. サイバー セキュリティの視点 ……………古き良き時代とはもう違います …しかし、暗い見通しばかりではありません 国家による、あるいは国家が支 援する攻撃が普通になり、 マルウェアが再利用されている サイバー攻撃にかかる コストは上昇し続ける 読解不能にする技術が進み、 正体の特定はさらに困難に MacOS、Linux、Android を ターゲットとするマルウェアが さらに増加
  8. 8. サイバー セキュリティの視点 ……………古き良き時代とはもう違います SDN は良くも悪くも セキュリティを劇的 に変える クラウドベースの ビッグデータ技術は 防御側に有利なよう に流れを変えることも 可能 パフォーマンスと 柔軟性 - 今後も パフォーマンスは 柔軟性より重要視 される
  9. 9. Cisco Public 9© 2013-2014 Cisco and/or its affiliates. All rights reserved. セキュリティ侵害のインパクト 侵害発生 START
  10. 10. Cisco Public 10© 2013-2014 Cisco and/or its affiliates. All rights reserved. セキュリティ侵害のインパクト HOURS 侵害発生 60% の情報漏洩 は数時間内に発 生 START
  11. 11. Cisco Public 11© 2013-2014 Cisco and/or its affiliates. All rights reserved. MONTHS セキュリティ侵害のインパクト HOURS 侵害発生 60% の情報漏洩 は数時間内に発 生 66% のセキュリティ侵害は 数ヶ月間発覚しないまま START
  12. 12. Cisco Public 12© 2013-2014 Cisco and/or its affiliates. All rights reserved. YEARSMONTHS セキュリティ侵害のインパクト HOURS 侵害発生 60% の情報漏洩 は数時間内に発 生 66% のセキュリティ侵害は 数ヶ月間発覚しないまま 過去3年間に7億 5000万 以上の個人 情報がブラックマー ケットに流出 START
  13. 13. 現在の脅威を分析すると パブリック ネットワーク 最初の感染は社外で発生 インターネット & クラウド アプリ ケーション
  14. 14. キャンパス 高度なサイバー脅威が境界線 の防御を回避 セキュリティ境界線 現在の脅威を分析すると パブリック ネットワーク 最初の感染は社外で発生 インターネット & クラウド アプリ ケーション
  15. 15. キャンパス 高度なサイバー脅威が境界線 の防御を回避 セキュリティ境界線 現在の脅威を分析すると 企業 データセンター 脅威が拡散し、貴重なデータ 搾取のリスク パブリック ネットワーク 最初の感染は社外で発生 インターネット & クラウド アプリ ケーション
  16. 16. Cisco Public 16© 2013-2014 Cisco and/or its affiliates. All rights reserved. シスコが 1日で目にするものは…
  17. 17. シスコでの事例 130億/日 NetFlow レコード 22TB/日の トラフィックを検査 40億 /日 DNS レコード 750GB/日 の システムログを収集 20億イベント / 日 Splunkでの収集 600万/ 日のトラフィックを WSAで処理 すべてのトランザクショ ンの 1% にあたる マルウェアをWSAが自 動的にブロック 400以上のアプリケーション サービス プロバイダー 12重要なエンタープライズ 向け実環境データセンター NetFlow DLP ディストリビューション ゲートウェイ ロードバランサー ネットワーク IDS Advanced Malware Detection アクセスレイヤ スイッチ フルパケットキャプチャDNS コレクション
  18. 18. 標的型攻撃(APT) 検知技術の比較 サンド ボックス NG SIEM グラフ解析 良い点: 自動的で証明済のテクノロジー 悪い点: マルウェアは変化して回避する 良い点: テクノロジーの効果は証明済 悪い点: ログによる分析は限定的 良い点: APTを示唆する異常値を検知 悪い点: モデルを読み込ませるのに時間 がかかる
  19. 19. 脅威への防御にビッグデータ アプローチを採用する理由 巧妙化する攻撃者 – あからさまなセキュリティ脅威よりも、標的 型攻撃やステルス攻撃が大幅に増加 各種ソースからの変化の激しい多様なデータを詳細にわたり分析 フルパケット キャプチャのリアルタイム分析およびリアルタイム データと過去データの相関関係 グローバルな脅威インテリジェンスを利用した既知の脅威や異常 に対する防御
  20. 20. データを Hadoop に 取り込むツール 脅威防御のためのビッグデータ アーキテクチャ Flume Kafka Sqoop Qpid RabbitMQ ストリーミング処 理 Storm Akka ログ データ NetFlow HTTP ユーザ データ 履歴データ CIF SIO その他の外部 テレメトリ 脆弱性データ フル パケット キャプチャ ストリーム Qosom クラウド インテリジェンス HDFC インタラクティブな SQL 検索 Apache Drill Impala Hadapt Stinger ElasticSearch グラフ処理 Titan Neo4J InfiniteGraph SIRT アプリケーション 人 プロセス ツール
  21. 21. 脅威防御における Hadoop ベースのアーキテクチャ アプローチの利点 ストリーミング、インタラクティブなバッチおよび グラフ処理 高度なデータ処理機能 – 優れた関係性把握 – 分析 パフォーマンス Hadoop により、人とコンピュータの関係、行動 パターンに関するデータ、メッセージ コンテンツを 1 ヵ所に 集約 拡張性や耐障害性に優れる – ビッグデータにおける 業界標準 脅威に対してツール、データ、インフラ、プロセスおよび人 を新しい発想で組み合わせることが同様に重要
  22. 22. セキュリティ インテリジェンス オペレーション Cisco Security Intelligence Operations(SIO) 500 人以上のセキュリティ専任エンジニア、調査 スタッフ、セキュリティ アナリスト 業界トップ クラスの分析システムとグローバルな連携 70 万個以上のグローバル センサー 20 ヵ所のグローバル セキュリティ センター SIO グローバル インテリジェンス
  23. 23. 分析と綿密な調査による グローバル/ローカル間の 関係性把握 脅威データと分析 多種多様な脅威や 脆弱性データ ソース セキュリティ センサー ベース コンテキスト ポリシーを 分散して適用 インテリジェンスの提供 ビッグデータ インフラスト ラクチャ リアルタイム更 新 クラウドに よる提供 1.5 億 エンドポイ ント 1,400 万 アクセス ゲートウェイ 導入台数 160 万 セキュリティ デバイス 導入台数 高度な自己 学習アルゴリズ ム 人による調査 オープン ソース コミュニティ 脅威インテリジェンス:グローバル センサー グリッド
  24. 24. Cisco Public 24© 2013-2014 Cisco and/or its affiliates. All rights reserved. 日々変化していく状況への対策 Cisco® Managed Threat Defense:  予見的分析と最新のセキュリティ インテリ ジェンスにより既知・未知の脅威を特定  セキュリティ イベントのライフサイクルを運用 化  脅威管理 に特化した運用  アウトオブバウンド管理にてお客様オンプレ ミスにすべての収集情報を保管 セキュリティ イベント Remediation 復旧 Detection 検出 Mitigation 軽減 Confirmation 確認
  25. 25. Cisco Public 25© 2013-2014 Cisco and/or its affiliates. All rights reserved. Managed Threat Defenseとは Cisco® 次世代型分析運用プラットフォーム Analytics Platform セキュリティ インテリジェンス 情報の活用 SIO GLOBAL INTELLIGENCE 人工知能による 分析アルゴリズム COSECOGNTIVESECURITY 24 時間の遠隔監視と サポート クラウドによる分析モデル
  26. 26. Cisco Public 26© 2013-2014 Cisco and/or its affiliates. All rights reserved. エキスパートによる知見と機械学習の統合 Managed Security Services (e.g. MSS) ・In-House SOC  現在一般的に企業に導入され ているモデル(境界部中心)  セキュリティのイベントの監 視・管理を実施(ファイア ウォール上の許可・禁止のイ ベント、IPSでのイベント検知、 Sandbox上でのトラップ)  多くの脅威に効果あり
  27. 27. Cisco Public 27© 2013-2014 Cisco and/or its affiliates. All rights reserved. Managed Threat Defense Knowledge-Based エキスパートによる知見と機械学習の統合 Managed Security Services (e.g. MSS) ・In-House SOC  現在一般的に企業に導入され ているモデル(境界部中心)  セキュリティのイベントの監 視・管理を実施(ファイア ウォール上の許可・禁止のイ ベント、IPSでのイベント検知、 Sandbox上でのトラップ)  多くの脅威に効果あり  高付加価値のアセットへの セキュリティ にフォーカス  見つけ出したい既知の脅威 を見つけるのに効果的  シスコSIOやサード パーティ が提供するインテリジェンス を活用  Flumeによるログのストリー ミングを利用し、リアル タイ ムに近い処理を実施
  28. 28. Cisco Public 28© 2013-2014 Cisco and/or its affiliates. All rights reserved. Managed Threat Defense Machine-Learning Managed Threat Defense Knowledge-Based エキスパートによる知見と機械学習の統合 Managed Security Services (e.g. MSS) ・In-House SOC  現在一般的に企業に導入され ているモデル(境界部中心)  セキュリティのイベントの監 視・管理を実施(ファイア ウォール上の許可・禁止のイ ベント、IPSでのイベント検知、 Sandbox上でのトラップ)  多くの脅威に効果あり  高付加価値のアセットへの セキュリティ にフォーカス  見つけ出したい既知の脅威 を見つけるのに効果的  シスコSIOやサード パーティ が提供するインテリジェンス を活用  Flumeによるログのストリー ミングを利用し、リアル タイ ムに近い処理を実施  高付加価値のアセットへの セキュリティにフォーカス  機械学習した不正行動の分 析結果を元に、未知の脅威 を見つけるのに効果的  リアルタイム性はトラフィック 量に依存  MapReduceによるビッグ データ解析技術を活用
  29. 29. Cisco Public 29© 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Managed Threat Defense サービス 実践的なセキュリティアプローチ アプローチのステップ ネットワークプロファイルを作成し、プロファイルに基づいた監視を実施 フルパケットキャプチャおよびプロトコルメタデータを収 集分析 機械学習アルゴリズムとグラフ分析手法により不自然 な活動を検出 知見の高いAnalystにより脅威を確認・特定 Investigatorによるアタックベクタの調査を実施 取るべき対応策や軽減策を顧客向けに提供 フルパケットキャ プチャとパケット メタデータの収集 Cisco Advanced Threat Detection データの一元 化と標準化 侵入検知 Emailトラフィッ クへの高度化 されたマルウェ ア検出 Webトラ フィックへの 高度化され たマルウェ ア検出 ON-PREMISE SOLUTION
  30. 30. Cisco Public 30© 2013-2014 Cisco and/or its affiliates. All rights reserved. Managed Threat Defense (MTD) IntelligentVisibilitySwitch 顧客環境へのオンプレミス Sourcefire Full Packet Capture Advanced Analytics Metadata Extraction Manage
  31. 31. Cisco Public 31© 2013-2014 Cisco and/or its affiliates. All rights reserved. Managed Threat Defense (MTD) IntelligentVisibilitySwitch 顧客専用セグメント 管理者コンソール ポータル INTEL チケッティング 脅威情報ナレッジベース 顧客専用ポータルサイト アラート・チケットシステム アナリストポータル 認証サービス 顧客環境へのオンプレミス シスコ データセンター FIREWALL FIREWALL Sourcefire Full Packet Capture Advanced Analytics Metadata Extraction Manage
  32. 32. Cisco Public 32© 2013-2014 Cisco and/or its affiliates. All rights reserved. Managed Threat Defense (MTD) 1 2 3 4 5 6 IntelligentVisibilitySwitch 顧客専用セグメント 管理者コンソール ポータル INTEL チケッティング Netflow Syslogs 脅威情報ナレッジベース 顧客専用ポータルサイト アラート・チケットシステム アナリストポータル 認証サービス 24/7 ACCESS 顧客 SOC Passive Network Tap Secure Connection (HTTPS/SSH/IPSec) VPN INTERNET VPNVendor Agnostic Telemetry 顧客環境へのオンプレミス シスコ データセンター FIREWALL FIREWALL Sourcefire Full Packet Capture Advanced Analytics Metadata Extraction Manage
  33. 33. Cisco Public 33© 2013-2014 Cisco and/or its affiliates. All rights reserved. MTD 分析エンジン コンポーネント 6 1 2 3 5 4 AccessControl NetFlow / HTTP1 DirectConnection PassiveTap/Intelligent VisibilitySwitch Kvasir ① Context database ② NetFlow / HTTP anomaly detection ③ Log aggregation / analytics ④ Metadata aggregation / analytics ⑤ Full packet capture ⑥ IDS / AMP (5.3) ⑦ Threat intelligence Component Flume Qosmos SIRTApplication Defense Center Log Telemetry2 Vulnerability Data Elasticsearch REST HDFS Flume FlumeFlume FlumeFlume FlumeFlume FlumeFlume Kafka Storm Kafka Stinger JDBC Flume CIF7 IDS AMP CTA (Cisco Cloud) AMP (Cisco Cloud) MR
  34. 34. Cisco Public 34© 2013-2014 Cisco and/or its affiliates. All rights reserved. インシデント ポータル サイト
  35. 35. Cisco Public 35© 2013-2014 Cisco and/or its affiliates. All rights reserved.
  36. 36. Cisco Public 36© 2013-2014 Cisco and/or its affiliates. All rights reserved.
  37. 37. Cisco Public 37© 2013-2014 Cisco and/or its affiliates. All rights reserved. Heartbleed: Day1 4/10/14 19:20 X.X.X.X United StatesUSA A.A.A.A United StatesUSA 443 (https) / tcp 49826 / tcp SERVER-OTHER TLSv1.1 large heartbeat response - possible ssl heartbleed attempt (1:30516) 4/10/14 19:22 Y.Y.Y.Y United StatesUSA B.B.B.B SwitzerlandCHE 443 (https) / tcp 43126 / tcp SERVER-OTHER TLSv1.1 large heartbeat response - possible ssl heartbleed attempt (1:30516) 4/10/14 19:28 Z.Z.Z.Z United StatesUSA B.B.B.B SwitzerlandCHE 443 (https) / tcp 43126 / tcp SERVER-OTHER TLSv1.1 large heartbeat response - possible ssl heartbleed attempt (1:30516)
  38. 38. Cisco Public 38© 2013-2014 Cisco and/or its affiliates. All rights reserved. シスコにおけるサイバー セキュリティ へのアプローチ お客様 SIO セキュリティ R&D Cisco-on- Cisco (CSIRT) セキュリティ サービス セキュリティ ソリューション &プロダクト
  39. 39. Cisco Public 39© 2013-2014 Cisco and/or its affiliates. All rights reserved. シスコにおけるサイバー セキュリティ へのアプローチ お客様 SIO セキュリティ R&D Cisco-on- Cisco (CSIRT) セキュリティ サービス セキュリティ ソリューション &プロダクト お客様ネットワーク MTD シスコ テクノロジ Cisco CSIRT モデル Security Intelligence Operation (SIO)
  40. 40. Thank you.

×