セキュリティ対策に待ったなし！脅威に打勝つシスコサービス活...

吉野直樹アドバンスドサービス・セキュリティビジネスデベロップメントマネジャ

セキュリティ対策に待ったなし！脅威に打勝つシスコサービス活⽤⽅法

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

シスコアドバンスドサービスが提供するRedTeamサービスのレポート統計

技術だけに頼ってセキュリティ上の脆弱性に対応しようとした場合、RedTeamによる攻撃シミュレーションで特定された問題は、その26％しか解決されず、74%は未解決となる。

インフラ対策のみならず、⼈、プロセス、技術の3つの領域を包括的に強化する必要があります。


⽇本 vs ⽶国：サイバーセキュリティ運⽤管理態勢レベルの違い

セキュリティ運⽤管理態勢の能⼒様々なセキュリティツール効果の実感

※弊社シスコシステムズの独自調査に基づく統計情報


シスコアドバンスドサービスの強み

+技術連携様々な専⾨領域を持ち +

イノベーション

536のASによる特許

パートナー様サポート要員

技術認定

専⾨家ダイレクトアクセス

製品開発

パートナー連携10,000名を超えるグローバルをカバーするスペシャリスト

サービス提供経験10年(平均)per person3480名 CCIE®

certifications

⼈材

ソフトウェア・ハードウェア開発者

84,000+名

280,000+名22,000+名

• 世界最⼤の技術ネットワーク

• 16の⾔語に対応


セキュリティサービスへの投資

1995

• PIX Firewall which was foundation of current ASA • Top Leader of contents

security

2007 2009 2013 2014

• Leading Dynamic Malware Analysis (Sandbox)

• Currently Integrated to AMP

• Top Leader of Cloud-based Web Security

• Snort®, ClamAV®, Open source projects Founder

• VRT World-class research

• Top Leader of IPS

Øセキュリティサービス企業との統合• Top Leaders of security advisory

services• Provides risk management and

compliance to Fortune 500 customers

2015

• Leading security analytics platform to defend against advancedcyber threats

• Cloud based DNS security service

2016

• Leading Cloud security platform that provides visibility and control for SaaS, IaaS and PaaS


シスコ・アドバンスドサービスの強み

• ISE/TrustSec設計導⼊⽀援• NGIPS(Firepower) 設計導⼊⽀援• Advanced Malware Protection(AMP)導

⼊⽀援• Stealthwatch設計導⼊⽀援• WSA/ESA設計導⼊⽀援

※その他各シスコセキュリティ製品に関するインテグレーションサポートをご提供しています。

• SOC運⽤⽀援(Active Threat Analytics)• ⾼機能セキュリティ機器運⽤⽀援(Security Operation Support)• インシデントレスポンスリテーナー*• 最新脅威対処演習トレーニング(Cyber Range年間契約)

• 標的型攻撃耐性評価(RedTeam)• アプリケーション脆弱性検査• Webアプリ脆弱性検査• サイバーセキュリティ運⽤管理態勢評価• CSIRT設⽴・運営強化⽀援• セキュリティデザインアセスメント• セキュリティ演習トレーニング

(Cyber Range)

シスコ・アドバンスドサービスセキュリティポートフォリオ※主要サービスを掲載

計画導入

運用

※2019年度より提供開始予定

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

⾼機能セキュリティ機器運⽤⽀援(Security Operation Support)

運⽤における課題（例）

• 検知したアラートやログの意味が理解出来ず、状況が把握できない• セキュリティ製品のログ、アラートを分析し、必要な対策案が検討

できない• 定期モニタリングによる傾向分析など情報を⼗分活⽤できていない• 導⼊したセキュリティ製品を使いこなす運⽤スキルを習得したい• 新たな脅威、セキュリティ動向を踏まえて、中・⻑期的な計画を⽴

てたい

• 次世代セキュリティ製品運⽤⽀援サービスは、以下の製品を運⽤されるお客様のための運⽤⽀援サービスです。Ø FirePOWERØ AMPØ Stealthwatch (Network as a Sensor)

⾼機能セキュリティ機器運⽤⽀援の概要

ナレッジトランスファ情報提供、計画⽴案⽀援

障害切り分け⽀援

イベントレポートアラート対応

技術Q＆Aデザインレビュ設定変更作業⽀援

検知・初期対応

⽉次定例脆弱性報告四半期報告

定期報告

障害対応

事後対応

スキル

SecurityOperationSupport

運⽤⽀援サービスの期待効果

Security Operation Support Service：利⽤のメリット

セキュリティ監視・対応の⾼度化

次世代セキュリティ製品の運⽤負荷軽減運⽤スキルの向上

シスコアドバンスドサービスは、次世代セキュリティ製品の機能をお客様環境で最⼤限に活⽤するお⼿伝いをいたします。

⾼機能セキュリティ機器運⽤⽀援サービスの提供内容サービス分類サービスメニューご⽀援内容成果物頻度組み合わせ例

プランA プランB プランC

1 検知・初期対応イベントレポート導⼊対象製品からのイベント報告 • インシデントレポートプラン毎 ○

週次○

週次○

週次

アラート対応重要度⾼のアラートに対する確認および対応アドバイス • メールでのご報告随時 ○ ○ ○

2 事後対応

技術Q&A 対象製品に関する技術的な問い合わせ、ご相談への回答 • QA管理シート (プラン毎) ○

4件/⽉程度○

2件/⽉程度－

デザインレビュ新規ソリューション導⼊、アーキテクチャ変更などの設計レビュ・アドバイス等

• レビュ管理シート• 技術資料 (プラン毎) ○

4回/年○

2回/年－

変更作業⽀援対象製品に対する設定変更作業⽀援（リモート対応） • レビュ管理シート (プラン毎) ○

4回/年－－

3 定期報告

⽉次定例セキュリティイベントの傾向報告と対応策についてディスカッション • マンスリーレポート⽉次 ○ ○ ○

四半期報告活動報告と活動プランのディスカッション • 活動報告書 (プラン毎) ○4回/年

○4回/年

○4回/年

脆弱性報告対象製品に対する脆弱性報告 • アドバイザリレポート (プラン毎) 1回/⽉ 1回/⽉－

4 障害対応死活監視ヘルスチェックおよび障害連絡 • メールおよび電話での

ご連絡随時

※オプション－－－

障害切り分け⽀援対応範囲における切り分け⽀援 • メールでのご報告 (プラン毎) ○4回/年－－

5 ⼈材育成企画・案件化⽀援セキュリティ製品導⼊に関する企画、計画など

のアドバイス、技術動向の情報共有 • 技術資料 2回/年 ○ －－

ナレッジトランスファ技術トレーニング • トレーニング資料 2回/年 ○ －－

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

インシデントレスポンスリテーナーサービス

（2019年4⽉以降提供開始予定）

複雑化、巧妙化する攻撃⼿法、経路

ビジネスの効率性、⽣産性向上の為IoT化の促進などにより、これまで以上にコネクティビティの増加に伴って、考慮するべき脅威の侵⼊経路が増加。

侵⼊経路イメージ（IT/OT)

インシデント発⽣時の感染源特定、デジタルフォレンジックの複雑性も増す為、対処判断や復旧の遅延に繋がります。

お客様CSIRTのインシデント対応をサポート

⾼い信頼実績のある⼿法・インテリジェンス・経験を積んだチームによるインシデント対応実⾏

シスコツールの最⼤限利⽤(AMP for endpoint, OpenDNS etc)

インシデント対応中に卓越した視認性・脅威のスピード解決のためシスコツールを最⼤限利⽤

卓越した視認性エキスパートが⾰新的な技術と分析⼒を⽤いてオペレーションやインフラストラクチャーの深い理解

強固な警戒態勢包括的なアプローチにより、事前分析によるインシデント対応準備および実際の緊急インシデント対応による事態解決

ビジネス運営を脅かす、予期しない不正なイベントに対する対応計画およびその対応

“インシデント対応”の意味とは?

サービスにより、インシデント対応における専⾨知識の提供、このサービスにより早期の事態収束が期待でき、コスト削減および更なるリスク軽減に貢献

セキュリティインシデント対応とは?


インシデントレスポンスリテーナー(年間契約)

IR態勢強化(期間型)IR緊急対応(期間型)

有事の際、⾃社のIR体制は想定通り機能

するのか？

IR テーブルトップエクササイズ

⾃社IR機能全般の底上げを⾏いたい

インシデントレスポンスリテーナー

IRへ向けて、今サポートが必要

エマージェンシーインシデントレスポンス

⾃社は既にインシデントが起こっている

のか？

プロアクティブスレットハンティング

IR対応にて何か不⾜や課題は無いのか？

IR 態勢現状分析

u お客様CSIRTをサポートする3つのメニュー

シスコインシデントレスポンス(IR)サービス

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public


シスコインシデントレスポンス(IR)サービス


インシデントレスポンスリテーナー IR緊急対応 IR態勢強化

サービス機能

• エマージェンシーレスポンス• プロアクティブスレットハンティング• IRテーブルトップエクササイズ• IR態勢現状分析

• エマージェンシーレスポンス• プロアクティブスレットハンティング

• IRテーブルトップエクササイズ• IR態勢現状分析

サービスレベル

• リモート⽀援に向けて選任担当者を4時間以内にアサイン

• 24時間以内の現地駆け付け(必要時)

• ベストエフォート • ベストエフォート

契約モデルリテーナーサービス形式(年間契約) 期間型：90⽇同左

対応稼働時間 160時間 120時間 80時間

渡航回数 2回、上限3⽇間の現地対応/回同左 1回、上限3⽇での現地対応

解析ツール AMP for Endpoint、Umbrella, Stealthwatch 他

同左同左

u サービスレベル


エマージェンシーレスポンス


u 作業概要

必要に応じてシスコ・インシデントレスポンスチーム(CSIRS)は、社内の危機コミュニケーションチームと提携し、適切なコミュニケーションの専⾨家をアサインします。

ブリーチコミュニケーション

現在の状況を確認し、最適な初動対応および対処⽅法の戦略を検討します。トリアージ

ビジネスインパクトを踏まえて、インシデント対処が実施可能なようにステータス、アクションアイテム、および必要に応じてアップデートのコンパイルを追跡します。

コーディネーション

必要なツールを展開し、脅威パターンと被害状況を分析するログソースを収集・確認し、必要なフォレンジックを実⾏。マルウェアをリバースエンジニアリングすることで、攻撃の範囲を確認します。分析

攻撃者による継続的な攻撃通信を隔離し、切断します。封じ込め

攻撃者が残したマルウェアや、その他のツールやアーティファクトの削除。是正措置


CSIRSチームへ連絡

エマージェンシーレスポンス


u 対応サポートイメージ

お客様環境にてインシデント発⽣！

CSIRSチームの判断によりIRエンジニアを派遣

Within 24Hours

① ② ③

エンジニアが渡航中にもお客様とリモートにてIR対応⽅

針を協議

④

シスコソリューションを活⽤し、迅速なフォレンジクスを遂⾏。および封じ込め、是正措置等の⼀連の対応をサポート。

⑤

• 60⽇間のAMP, Stealthwatch, Umbrellaライセンスが包含• IRエンジニアによる⽉次チェックイン(リテーナーサービスのみ)• 再発防⽌へ向けたプロアクティブな対策アドバイス

⑥


プロアクティブスレットハンティングu 作業概要

「プロアクティブスレットハンティング」とは、インシデントが発⽣した後の対応ではなく攻撃者が攻撃ターゲットを定めた時から開始される偵察⾏為など(サイバーキルチェーンの初期)の段階から、兆候を察知する分析活動を⾔います。

Ø 個々のお客様毎に脅威リスクは異なります。⻑年のシスコの脅威分析の経験、Talosからの最新セキュリティインテリジェンス、ソリューションをフル活⽤し、CSIRSチームは作業範囲の定義、可視化すべき範囲と現状のGapを特定し、完全な可視性を持つ為に必要なテクノロジを導⼊します。その上で脅威調査を実施し、結果を潜在的脆弱項⽬とその対応策についてレポートします。これにより、攻撃前段階で適切な防御策の計画および実⾏が可能となります。

n Proactive Threat Huntingアクティビティ

• スコーピング、ハンティングデザイン脅威解析に⼊る前に、お客様インフラ環境を踏まえて作業範囲を定義します。当該範囲に応じて適切なツール、作業計画を策定します。

• テクノロジの展開作業対象範囲全体の可視化を実現すべく、必要ツールの導⼊、設定作業、チューニングを実施します。

• ハンティング作業環境のセットアップと作業計画の準備が整った後、担当エンジニアは様々な解析⼿法を⽤いてハンティング作業を遂⾏します。

• 最終報告ハンティング作業後、担当エンジニアは潜在リスクとなり得る脅威項⽬のサマリ、および当該対策案についてレポートを作成、報告を⾏います。


IR テーブルトップエクササイズu 作業概要

いざ有事の際に想定通りのIR対応が可能か、机上による対処訓練をサポートします。本サービスの主な特⻑を以下に⽰します。

n IR Tabletop Exerciseアクティビティ

• カスタムシナリオの策定現状のIR対応業務における課題事項を確認し、訓練シナリオに組み込んだデザインを⾏います。

• 訓練の実施 (オンサイト対応)主要な1拠点にシスコ担当エンジニアが訪問し、訓練の実⾏指揮をサポートします。お客様オリジナルの訓練シナリオの他、カスタマイズしたシナリオ等を展開（作業時間は最⼤4時間まで）

• 訓練後のラップアップ・課題の確認⼀連の訓練が完了した後、お客様参加メンバとのフィードバック会議を実施します。訓練を通じて判明した新たな課題や、改善⽅針等互いに気づいた点をディスカッションします。

• 最終報告(成果物)訓練結果を纏めたレポートを作成し、ドラフト版にてお客様とレビュを実施します。当該フィードバックを含めて最終版レポートを提⽰します。

• インシデントシナリオシスコ担当エンジニアは、訓練へ向けてインシデントシナリオを評価し、訓練の遂⾏を指揮します。

• カスタムメイド事前にお客様のIR対応業務に対する懸念、課題を確認し、当該ポイントを含めた訓練シナリオとしてカスタマイズを考慮します。

• 訓練評価訓練中ではシスコ担当エンジニアは、連絡フローに応じた応答状況、定義された解析ツールとその⼿法と作業能⼒、および対話型ディスカッションの状態を監視します。

キックオフ会議サービス要件の意識合わせ、連絡体制、コミュニケーション計画の策定

プロアクティブサービス実施残稼働時間の使⽤

IR品質向上計画更なるIR態勢サービスレベルの向上へ向けた改善機能の確認

契約更新プロアクティブサービス実施

プロアクティブ IRイベントの遂⾏

イベント実施結果レポート実施結果報告(課題項⽬等)

改善アクティビティ課題改善へ向けたアクティ

ビティをアシスト

Month 1 2 3 4 5 6 7 8 9 10 11 12

IRリテーナーサービス年間イベント(例)

継続的な改善活動(Nurturing)お客様向け⽉次ニュースレター

契約更新ディスカッション継続的なサポート⽀援の必要性について確認


プロアクティブスレットハンティングの提供事例

提供事例：フォーチュン500に⼊るリテール会社様

n チャレンジ本クライアントは、売上の上がるセールシーズンに先⽴って、電⼦商取引サイトの脅威リスクを懸念していました。またクライアントは既存のCSIRTを持っていましたが、⽇常業務の負荷に加え脅威分析作業の稼働を取れないことから、CSIRSに対応を依頼。

n ソリューションシスコは、お客様と共にハンティング作業へ向けた必要ツールの導⼊を⾏い、解析作業とその結果から得られた恒久的な対策⽅針の定義、また発⾒された脅威の排除作業を実施。更にシスコは、上記ハンティング作業が早期に完了したため、セールシーズン期間中においてお客様SOCをサポートする脅威監視も実施。

n 成果• ハンティング作業へ向け、トラフィックの可視化の為に導⼊したセキュリティソリューション(Stealthwatch)が、

お客様にとって⾮常に評価が⾼く、また作業の成果としても⾮常に貢献した。• この作業により、本クライアントが従来利⽤していたアンチウイルスソフトウェアが検知出来なかった様々なマル

ウェアが顕在化した。

and Here

AMP

AMP AMP

FIREPOWER

AMP AMP

FIREPOWER

Here

HereHere

Here

Here

HQ

Branch Branch

Roaming

Off-net

AMP

IR

IRInternet

LANCOPE

AMP 4 FP

FIREPOWER

AMP AMP

AMPAMP

AMPAMP

Here

WebEx & Spark

シスコのセキュリティポートフォリオをフル活⽤

l シスコIR サービスは各セキュリティソリューションを活⽤しIR⽀援を提供(Umbrella, AMP, StealthWatch)

l リモートにて迅速にIR初動をサポート(Emergencyでは現地駆けつけを含む)

l 60⽇の各ソリューションライセンスが付与l AMPは約24時間, Umbrellaは約30分でお

客様環境に展開l シスコThreatGridおよびUmbrella基盤の

活⽤による脅威分析l シスコセキュリティ研究開発機関(TALOS)

へのフルアクセス

IRサービス・サポート体制

コラボレーションツール契約期間中における貴社とシスコ・インシデントレスポンスチーム(CSIRS)担当者とのコミュニケーションでは、シスココラボレーションソリューションであるWebExやSparkを活⽤します。

IRリテーナー⽉次アップデート

Monthly Updates

契約期間中、毎⽉アップデート情報を指定したエリアスに提供します。

ü 現在のサービス提供ステータス概要ü 契約上のサービス提供残時間ü 契約期間の残⽇数ü Talosからの脅威トレンド、セキュリティニュー

ス、ブログ情報

Why Cisco IR? (シスコIRサービスの優位性)§ シスコのIRサービスチーム(CSIRS)は、IR経験値が豊富且つシス

コポートフォリオに精通したシニアインシデントレスポンダのみがエントリ可能なチームです。

§ お客様へアサインするエンジニアは、お客様セキュリティ運⽤管理組織を理解した専属の⼈間です。コールセンタの⼀担当者ではありません。

§ シスコTalosは、300名以上の脅威インテリジェンスリサーチャー集団です。

§ シスコ機器だけではない、⾮ベンダ依存による様々なお客様環境に適⽤可能

§ IRリテーナーによる年間を通じてのサービス提供では、その提供価値の最⼤化を図ります。

§ CSIRSは、シスコのあらゆるリソースに通じています。従い攻撃への対処では、我々の能⼒を最⼤限活⽤し⽀援を提供します。

Cisco CSIRT事例シスコは世界中から四半期だけで、約24億件以上という

膨⼤な数の脅威の攻撃を受けている。

n CSIRTの役割の中⼼は、「5％」の攻撃との闘い。n CSIRTチームは、⾃社の情報資産を利⽤するシステムを良く理解しておく

必要がある。n インシデント対処判断、⽅法はその場

で考えない。定めた⼿順、ルールを予め策定しておく事が⼤切

n 事前に準備せずに損害を被ってしまうより、最初から対策にお⾦をかけておいた⽅が、結果的にコストを抑えることができる。

n 24時間以内に検知し、36時間以内に封じ込めることをSLAに掲げ、それを実現するための対策を講じている。

セキュリティ対策に待ったなし！脅威に打勝つシスコサービス活...

Documents

Transcript of セキュリティ対策に待ったなし！脅威に打勝つシスコサービス活...

セキュリティ対策に待ったなし！ 脅威に打勝つシスコサービス活...

Documents

Transcript of セキュリティ対策に待ったなし！ 脅威に打勝つシスコサービス活...

セキュリティ対策に待ったなし！脅威に打勝つシスコサービス活...

Transcript of セキュリティ対策に待ったなし！脅威に打勝つシスコサービス活...