FUJITSU Software Systemwalker Security Control...FUJITSU Software Systemwalker Security Control...
Transcript of FUJITSU Software Systemwalker Security Control...FUJITSU Software Systemwalker Security Control...
-
富士通株式会社
サイバー攻撃への対処負荷の軽減と確実な運用を実現「FUJITSU SoftwareSystemwalker Security Control」ご紹介
Copyright 2016-2020 FUJITSU LIMITED
-
目次
1. 標的型サイバー攻撃に対する富士通の取り組み2. ミドルウェアの紹介 FUJITSU Software Systemwalker Security Control
3. 【ご参考】関連ミドルウェアご紹介
Copyright 2016-2020 FUJITSU LIMITED1
-
1. 標的型サイバー攻撃に対する富士通の取り組み
Copyright 2016-2020 FUJITSU LIMITED
基盤構築時のマルウェア対策は時間との勝負 マルウェアの内部侵入を前提とした対策
2
-
巧妙化する標的型サイバー攻撃への対応の考え方
Copyright 2016-2020 FUJITSU LIMITED
脅威検知 ウイルス対策ソフトウェア 不正通信監視 迷惑・不信メール対策
ICT活用によるセキュリティ運用の底上げ 攻撃が進行する前に、検知した脅威にICTシステムで迅速に対処 セキュリティ運用ルールを遵守できるICTシステムの実現
運用・教育 情報取扱規定 情報セキュリティ教育 サイバー攻撃対応訓練
3
-
基盤構築時のマルウェア対策は時間との勝負
Copyright 2016-2020 FUJITSU LIMITED
【初期潜入】 【内部侵入・調査】【基盤構築】
マルウェアは外部通信を繰り返しながら攻撃を遂行解決に時間がかかると感染拡大や情報窃取のリスクは増大
脅威検知後の初動スピードが重要
【目的遂行】
(累積通信回数)
マルウェアによる外部通信の繰返し数(例)
(時間)
・標的型メール・水飲み場攻撃
・バックドア開設・端末情報入手・構成情報入手
・他端末侵入・サーバ侵入・管理者情報窃取
・重要情報窃取・システム破壊
4
Graph1
0
5
10
15
20
25
30
∞
外部通信の行われた回数
0
100
200
400
500
700
900
1500
Sheet1
外部通信の行われた回数 ガイブツウシンオコナカイスウ
00
5100
10200
15400
20500
25700
30900
∞1500
-
富士通グループ内ICTインフラにおける取組み
システム強化による検知力向上、運用体制最適化により、サイバー攻撃対策を強化
Copyright 2016-2020 FUJITSU LIMITED
サイバー攻撃対策を追加
(検知・遮断)
【システム強化】検知・遮断・追跡
セキュリティ管理者
富士通イントラネット(グローバル約300社が利用)
【運用体制最適化】リアルタイム対応、役割分担
影響範囲・原因特定
24時間365日監視 • リスク分析、戦略立案、ポリシー変更
• インシデント対応・管理、現地支援
現地対処
1日あたり数億件のイベント
• インシデント情報のグローバルでの一元管理
• インシデント対応の海外拠点への展開
IDS(不正アクセス検知)
アンチウイルスメール誤送信防止
資産管理パッチ管理
プロキシアンチウイルスGW
Internet
5
-
実践から見えたセキュリティ運用の課題検知能力を高めると運用が立ち行かない
Copyright 2016-2020 FUJITSU LIMITED
表面化したセキュリティ運用の課題
運用の人的リソースが足りず迅速かつ確実な運用が出来ない
検知能力を増強 ・対応すべきインシデントが増加・分析すべき情報量が激増
6
-
運用課題に対するアプローチ
Copyright 2016-2020 FUJITSU LIMITED
自動連携
運用シナリオ
手動連携
社内実践で培った運用プロセスを標準化
標準化した運用プロセスを自動化
社内資産情報(人、機器)
7
-
標準化・自動化の効果(富士通社内実践)
Copyright 2016-2020 FUJITSU LIMITED
初動対処の迅速化
適用前
適用後初動対応時間を1/30に短縮感染端末での攻撃の進行を抑止
初動・ネットワーク遮断・個人の特定・対象機器の特定
対処時間の短縮適用前
適用後
対処時間・初動対処・ユーザ対処
対処完了までの時間を60%短縮感染端末からの情報漏えいリスク、
感染拡大リスクを低減8
-
3. ミドルウェアの紹介FUJITSU Software
Systemwalker Security Control
Copyright 2016-2020 FUJITSU LIMITED9
-
FUJITSU Software
Systemwalker Security Control
Copyright 2016-2020 FUJITSU LIMITED
マルウェア検知結果を受けてインシデント化し、対処を自動的に実施ネットワーク機器と連携し、危険URLとの通信、端末の通信を自動的に遮断検知された端末を基点に、被害の拡散範囲と被害の内容を特定
セキュリティ運用に適したインシデントフロー(運用シナリオ)を標準装備 インシデント対応の全体状況/進捗状況を見える化
マルウェア検知後の迅速かつ確実なセキュリティ運用を実現
検知 対処
マルウェア侵入検知
ファイアーウォール
IDS/IPSサーバ
ログログ
ログ
ログ管理システム アラート
アラート Systemwalker Security Control
プロキシサーバ
感染端末
ユーザ情報
運用シナリオ 端末対処対処指示
通信遮断
連絡先特定
対処状況の見える化
近隣端末
自動対処
インシデント管理
経過観察
10
-
運用対応者の負荷を軽減
Copyright 2016-2020 FUJITSU LIMITED
定型作業の自動化により、対処スピードの向上とともに、作業負荷を軽減
従来の運用例
自動化を適用した運用例
脅威検知
対処要否判断
端末利用者特定
対処手順確認
対処指示連絡
対処実施状況確認
資産情報 マニュアル メール 電話
脅威検知
対処要否判断
端末利用者特定
対処手順確認
対処指示連絡
対処実施状況確認
資産情報 マニュアル メール 電話
マニュアル
マニュアル
11
-
運用シナリオ 感染端末の外部通信を遮断 危険URLへの通信を遮断 端末管理者へ対処指示メールを送付 メール受信者へ対処指示メールを送付
Copyright 2016-2020 FUJITSU LIMITED
■対処手順1)ネットワークからの切り離し
…2)"検出ファイル"の削除以下の手順で対象端末上から検出ファイルを削除してください。1.[スタート]メニューから[コントロールパネル]を
開いてください。2.表示方法で[大きいアイコン]もしくは[小さい
アイコン]を選んでください。3.[フォルダーオプション]を開き、[表示]タブを
選択します。…
運用シナリオをもとにした画面表示
対処指示メール
手順書を添付
12
-
運用シナリオ
Copyright 2016-2020 FUJITSU LIMITED
Web感染用シナリオ
感染経路、検知製品の種別に対応した運用シナリオを用意お客様の体制や運用に合わせ、連絡先の追加などが可能
不審メール受信時シナリオ不審プログラム検知時用シナリオ
不正通信検知時シナリオ連絡先をお客様の組織構成に
あわせて追加/変更
外部通信遮断の方法をセキュリティポリシーに
合わせて変更
13
-
外部通信遮断のパターンの例
Copyright 2016-2020 FUJITSU LIMITED
感染端末攻撃者
感染端末のインターネット接続を遮断Firewall/プロキシ
感染端末攻撃者
外部の不審な相手への通信を遮断正常な端末Firewall/
プロキシ
感染端末攻撃者
重要業務を行う部門の通信を遮断正常な端末Firewall/
プロキシ スイッチ
お客様のセキュリティポリシーに合わせた攻撃の封じ込め
14
-
運用対応者の対応品質を平準化
Copyright 2016-2020 FUJITSU LIMITED
運用シナリオ(定義)に従い、対処作業を自動化およびナビゲート
対処作業の流れ
現在の作業
カスタマイズによる処理追加も可能
15
-
外部システムと連携した対処運用
Copyright 2016-2020 FUJITSU LIMITED
多様なインタフェースで外部システムと連携し、対処の自動化を実現Systemwalker
Security Control検知 対処
syslog
マルウェア検知システム
次世代ファイアウォール
RESTSIEM
ネットワーク機器(ファイアウォール、
プロキシ、スイッチ、等)telnet
WMI
PowerShell
RSH
REXEC
ディレクトリ、データベース
情報系システム
その他のインターフェースへの対応も簡単に実現可能
ssh
SNMP
ユーザープログラム
16
-
連携製品
Copyright 2016-2020 FUJITSU LIMITED
• 検知製品、SIEM製品からのアラートを受信するテンプレートを装備• ネットワーク製品の通信ポリシーを変更するテンプレートを装備• 情報管理製品から情報を取得し連絡先を特定するテンプレートを装備
検知製品
SIEM製品
ネットワーク製品FireEye NXシリーズ
FireEye EXシリーズ
CheckPoint SB
PaloAlto PAシリーズ
iNetSec Intra Wall
McAfee SIEM
Squid
情報管理製品
Exchange Server
Active Directory
SystemwalkerSecurity Control
Splunk
FFR Yarai
17
-
【ご参考】関連ミドルウェア製品ご紹介
Copyright 2016-2020 FUJITSU LIMITED18
-
内部侵入を前提とした対応が求められる
Copyright 2016-2020 FUJITSU LIMITED
サイバー攻撃は巧妙化し、マルウェアの潜入を前提とした対策が必要とされている
Step1メール添付ファイル等でマルウェア感染
Step3感染端末を踏み台に内部を調査し感染拡大
Step2 感染したマルウェアがバックドアを開設
Step4 目的の遂行
初期潜入基盤構築
攻撃者
攻撃者
機密情報アクセス可能端末(標的)
脆弱性を突いて踏み台を作成
基盤端末(踏み台端末)
アクセス可能端末の調査・乗っ取り
業務セグメント 機密情報セグメント
別セグメントへの侵攻
機密情報保持端末への到達
攻撃者による内部侵入の状況を把握するため、端末をまたがる操作に着目
内部侵入・調査
機密情報サーバ
情報の窃取サービスの妨害
システムやデータの破壊・改ざん
19
-
攻撃者による攻撃の内部侵攻状況を可視化~標的型攻撃影響調査基盤~※1 攻撃者による攻撃の内部侵攻状況を可視化することで、迅速な影響判断を実現 標的型攻撃の内部侵攻の手法に基づき端末をまたがるログを自動で解析 踏み台端末を起点に、攻撃者が行った可能性のある攻撃の痕跡を俯瞰的に可視化 可視化された俯瞰図から、各端末の対処のために必要な情報を閲覧/対処 隔離が必要と判断した端末をリモートでネットワークから隔離
Copyright 2016-2020 FUJITSU LIMITED
※1 標的型攻撃 影響調査基盤 (導入には、標的型攻撃 影響調査基盤 構築サービスが必要となります)※2 別途Systemwalker Desktop Patrolが必要です。
分析システム
攻撃者にアクセスされた可能性あり
攻撃者にシステム変更された可能性あり
端末の資産情報※2
端末の操作ログ
・ユーザー情報・セキュリティパッチ適用状況・導入されたソフトウェア など
・Webアクセスログ・アプリケーション起動ログ・ファイル操作ログ・メール受信ログ など
攻撃範囲を一目で把握可能
対処のための調査に必要な情報を閲覧可能
俯瞰図
20
-
(補足) 内部侵攻の痕跡検出技術富士通グループ約300社を対象とした社内のセキュリティ運用で実践マルウェア感染させた端末を踏み台に、攻撃範囲を広げる活動に着目 1,000種類以上のイベントが記録されるOSログから端末をまたがる攻
撃の痕跡を抽出
Copyright 2016-2020 FUJITSU LIMITED
個々のイベントを見ても通常業務との見分けがつかない
イベントの発生順序・期間、各サーバ・PC間での関連性から攻撃痕跡を抽出
OSログポリシーの変更
プロセスの生成
ポリシーの変更
ログオン
状態の変更更新
特権の割当て
プロセスの生成
システム起動
時間の同期
電力状態の変更
サービスの登録
自動更新
ファイルアクセス
システムのスリープ
ログオン
自動更新
特権の割当て
プロセスの生成
電源状態の変更
サービスの登録
プロセスの生成
ポリシーの変更
プロセスの生成
ポリシーの変更
ログオン
状態の変更更新
特権の割当て
プロセスの生成
システム起動
時間の同期
電力状態の変更
サービスの登録
自動更新
ファイルアクセス
システムのスリープ
OSログ
ポリシーの変更
リモートアクセス
電力状態の変更
プロセスの生成
状態の更新
特権の割当て
プロセスの生成
ログオン
特権の割当て
プロセスの生成期間
リモートアクセス
特権の割当て
他のサーバ・PCとの関連性
期間
サービスの登録感染拡大時に特有のイベントの組合せを抽出
感染拡大時に記録されるイベント
21
-
Copyright 2010 FUJITSU LIMITED
サイバー攻撃への対処負荷の軽減と�確実な運用を実現�「FUJITSU Software� Systemwalker Security Control」ご紹介目次1. 標的型サイバー攻撃に対する� 富士通の取り組み巧妙化する標的型サイバー攻撃への対応の考え方基盤構築時のマルウェア対策は時間との勝負富士通グループ内ICTインフラにおける取組み実践から見えたセキュリティ運用の課題運用課題に対するアプローチ標準化・自動化の効果(富士通社内実践)3. ミドルウェアの紹介� FUJITSU Software� Systemwalker Security ControlFUJITSU Software�Systemwalker Security Control運用対応者の負荷を軽減運用シナリオ運用シナリオ外部通信遮断のパターンの例運用対応者の対応品質を平準化外部システムと連携した対処運用連携製品【ご参考】関連ミドルウェア製品ご紹介内部侵入を前提とした対応が求められる攻撃者による攻撃の内部侵攻状況を可視化�~標的型攻撃影響調査基盤~※1(補足) 内部侵攻の痕跡検出技術スライド番号 23