Vectra Networks Love
-
Upload
takeo-sakaguchi-cissp -
Category
Business
-
view
198 -
download
0
Transcript of Vectra Networks Love
All Copy right 2016 reserved by NISSHO ELECTRONICS CORPORATION
マシンラーニングで 内部ネットワークの脅威を自動検出
日商エレクトロニクス株式会社
ネットワーク&セキュリティ事業本部
セキュリティ事業部 技術課
エキスパート 坂口 武生 1
All Copy right 2016 reserved by NISSHO ELECTRONICS CORPORATION 2
マーケット・トレンド
“攻撃をブロックして検出する”から “攻撃を検出して対応する”アプローチへシフト
All Copy right 2016 reserved by NISSHO ELECTRONICS CORPORATION
不正アクセスを察知して通知してくれる 仕組みがありますか?
感染したホストをスピーディに特定できますか?
内部ネットワークでサイバー攻撃が起こっていることを 把握はできますか?
感染拡大、情報搾取になる前に サイバー攻撃の検出・予知はできますか?
3
ご質問
All Copy right 2016 reserved by NISSHO ELECTRONICS CORPORATION
課題1 サンドボックスでは防げない
課題2 感染拡大を防げない
課題3 攻撃を受けているホストが不明
4
お客様の課題
All Copy right 2016 reserved by NISSHO ELECTRONICS CORPORATION
• NGFW/SandBoxをすり抜ける攻撃への対応
• ホスト間通信を捕獲
5
ソリューション
All Copy right 2016 reserved by NISSHO ELECTRONICS CORPORATION 6
Vectraの特徴
Core
Switch
Access
Switch
Remote Site
Data Center
Internet
X-series S-series
ミラーポートに設置するだけで内部ネットワークにおけるサイバー攻撃の脅威を自動で検出し、脅威リスクの度合いや隔離・復旧が必要なホストの優先順位を特定
入口出口のサイバー攻撃を可視化(N/S)& 侵入後の内部活動を可視化(E/W)
ルールセット不要で自動検出
All Copy right 2016 reserved by NISSHO ELECTRONICS CORPORATION 7
Vectraの優位性
• Supervised machine learning
• Unsupervised machine learning
All Copy right 2016 reserved by NISSHO ELECTRONICS CORPORATION 8
Vectraの優位性
Automation Simplicity
Continuous Monitoring
Real-time Detection
Easy Deployment
Prioritized Contextual
Results
All packets
N-S, E-W traffic
Any OS, app, device
No signatures
No rules
No configuration
Behavioral
Machine learning
Data Science
Prioritized by risk
Correlated by host
Insight into attack
All Copy right 2016 reserved by NISSHO ELECTRONICS CORPORATION
画面情報 • ネットワーク内部のサイバー攻撃の可視化(常時)が可能
9
External Remote Access
Acquire Data
All Copy right 2016 reserved by NISSHO ELECTRONICS CORPORATION
• 原因端末の特定によるスピーディーな対応が可能
10
脅威スコア
(脅威の度合い)
可能性スコア (疑わしい度合)
画面情報
All Copy right 2016 reserved by NISSHO ELECTRONICS CORPORATION
Vectraユースケース例 Internal Darknet Scan
存在しないIPアドレス、Portに対してアクセスを継続的に試みている。
パターンがランダムで時間とともに広がっていく場合は要注意
(継続モニタリングが望ましい)。
Kerberos Server Activity
複数のクライアントからの疑わしい量の拒否を行っている。
Kerberosサーバログを確認する。Kerberosサーバが他のサーバとの同期は正しいことを確認する。
認証を試みたクライアントがブルートフォース攻撃のような振る舞いをしているか否かを確認する。
Data Smuggler
複数のホストからデータを収集し、外部ホスト送信している。
送信している外部ホストをチェックする。
意図的(業務として)送信しているか担当者に確認する。
Automated Replication
同じようなペイロードを複数の相手に送っている。
どのサービスが関係しているか調べるために検出したプロトコルとポートを確認する。
Bitcoin Mining
ビットコインの発掘を試みている。
ビットコイン発掘ソフトウェアがインストールされていないか確認する。
ボットネットの一部にされている可能性がある場合は再インストール等により駆除する。
Fake Browser Activity
機械が行っているような規則正しいパターンによる怪しい(ブラウザを真似た)通信が行われている。
通信相手をレピュテーションサービス等により確認する。PCAPにより送信したペイロードを確認する。
12
<自動生成されるレポート例>
All Copy right 2016 reserved by NISSHO ELECTRONICS CORPORATION
他社ソリューションの違いは?
• SIEMはログありきのソリューションでログを生成するセキュリティセンサーがないとインシデントを発生することができません。Vectraはトラフィックベースなのでセキュリティセンサー不要です。
※SIEM配下の優秀なセンサーとしてもVectraは使えます。
※よってSIEMを導入済でも共存可能です。
• Forensicsはトラフィックベースでフルキャプチャーしますが、証跡保存のため事後対策になります。Vectraはフルキャプチャーしますが、サイバー攻撃を可視化するためのメタデータしか保存しなく、ストレージが不要です。またリアルタイム分析を重視します。
13
All Copy right 2016 reserved by NISSHO ELECTRONICS CORPORATION 15
ご提供内容
Inovation
PoC/PoV
Deploy Customize
Support
経営課題に即した ソリューションのご紹介
お客様環境下並びに 弊社検証センターで
のご評価
設計・構築・接続試験 コンサルティング
保守、運用、監視 インシデント ハンドリング
All Copy right 2016 reserved by NISSHO ELECTRONICS CORPORATION
まとめ
お客様が考えるべき対策は『ダメージコントロール』
サイバー攻撃を100%完全にシャットアウトすることは事実上
不可能
高度化するサイバー攻撃への対応および人材・ナレッジ不足を『セキュリティ・インテリジェンス』なツールとサービスを活用
17