SecurityCenter CV総合セキュリティ監視ソリューションRev 3.1
Tenable Network Security Japan K.K.
2002 年の設立以来、継続的なネットワーク監視と脆弱性管理を行う製品を提供しています。製品は 165 カ国で 100 万以上のユーザが利用しておりフォーチュングローバル 500 企業米国国防総省各国政府組織などが含まれます。
1. 既存の環境に導入2. IP デバイスを検出3. 脆弱性を検出(ソフトウエアと設定の脆弱性)4. インシデントを検出5. 経営者から現場まで共通したリスクの把握が可能6. 対策を実施しセキュアな環境を構築し継続的に維持• スキャン(管理者ログイン、エージェント)• スニッフ(ミラーポート)• ログ( Syslog 、エージェント)• アラート、モニタ、リポート
<管理アセット>明確なリスク• オペレーティングシステム• アプリケーション• プロセス• 脆弱性• セキュリティ設定• パッチ情報• マルウエア• ボットネット• イベントログ• 送受信先及び通信内容
<非管理アセット>不明なリスク
>攻撃を受けやすい箇所(アタックサーフェス)を減らすことでリスクを減らす
0001110101101001011010100100110111011001110100010111010111110101
> 100% アセット管理の手法(リアルタイムに変化する環境を継続的に監視)環境に合わせて管理の方法を選ぶ• ネットワークトラフィックをモニタして情報を収集• ネットワークを定期的にスキャンして情報を収集• システムへ管理者権限でログインしシステムコマンドを使い収集• インストールしたエージェントがシステムコマンドを使い収集• イベントログを収集
デバイススキャン
(ホスト + 脆弱性 + 構成 + イベント)データベース
ログ収集トラフィックススキャンNessus PVS LCE
アセット管理 データの可視化 コンプライアンスチェック アラート / チケット発行 リポート
SecurityCenter CV のアーキテクチャ
脆弱性検査 コンプライアンス構成監査 マルウエア・ボット検知イベント解析
CV
SOC-2
DMZ
本社ネットワーク
リモートオフィス
Nessus クラウド
SOC-1
GEO 1
GEO 2
SecurityCenter CV コンソール Nessus スキャナーLCE ( Syslog コレクター)
PVS (トラフィックスキャナー)
LCE エージェント
Nessus エージェントNessus エージェント
AWS クラウドなど
製品の配置展開
SOC-2
DMZ
本社ネットワーク
リモートオフィス
Scan
Sense
Scan
Scan
Collect
Sense
Collect
SOC-1
GEO 1
GEO 2
Nessus クラウド
Nessus エージェントAWS クラウドなど
Scan
アセットに対するスキャンの開始と継続
Scan
Collect
Organization AGroup A-1
Group A-2
Group A-3
User 1User 2
User 3User 4
User 5User 6User 7
Organization BGroup B-1
Group B-2
User 1User 2
User 3User 4
Repository A-1
Repository A-2
Repository A-3
Repository B-1
Repository B-2
Organization ZGroup Z-1Security Admin User
LCE
SecurityCenter 管理コンソール + Nessus スキャナー( 512 付属)+ PVS ネットワークセンサー( 512 付属)+ LCE ログ収集サーバ( 1TB 付属)+エージェント(ターゲットホスト分付属)ライセンス(ターゲットホスト 512 IP 〜)
アタックサーフェスの削減100% アセット管理迅速な脆弱性対策脆弱な設定の排除
攻撃の検知(システム内部)マルウエア検知
プロセスレピュテーションボットネット通信
異常の検知(システム全体)異常監視変更監視証跡管理
あらゆるアタックサーフェスに備えたリアルタイム多層監視!攻撃をあらゆるフェーズでキャッチし見逃さない!
> SecurityCenter CV のソリューション
収集した情報を組み合わせることにより的確なリスク管理が可能アタックサーフェスを監視することで次に起こるインシデントを予測
リモートから攻撃可能な脆弱性がある → インターネットに接続されている → ボットネットとの通信がある
リモートから攻撃可能な脆弱性がある → インターネットに接続されている → 不明なプロセスを発見
認証設定が脆弱 → 不明なログインを確認 → 不明なファイルアクセスを確認 → 外部通信の増加
不明な USB 接続を確認 → マルウエアプロセスを検知
ログインエラーが頻発 → 不明な設定変更を確認 → ポリシー違反の通信を検知
経営者から現場までに対応したリスクリポートおよび解析ツールを提供
> SecurityCenter CV により得られる利益
ソフトウエアと設定の脆弱性を排除し常に強固なシステム環境を維持システム内部を詳細にチェックすることで侵入の痕跡を見逃さない様々なイベント情報をもとに外部からの侵入や内部の不正行動の証拠を保存アラートルールを作成しチケットアサインを自動化することで迅速なインシデントレスポンスを実現
テクニカルアライアンスパートナー
有効なセキュリティガイドラインを活用しセキュリティレベルを高める( Policy Compliance )NIST SP 800-53 連邦政府情報システムにおける推奨セキュリティ管理策( 240 項目)CIS Critical Security Controls NIST SP 800-53 のサブセット(効果的な 20 項目を抽出)Cyber Hygiene サイバー攻撃に対する迅速かつ効果的な防御を実現するための低コストプログラムPCI DSS Payment Card Industry データセキュリティ基準HIPAA 電子的に保持・移動される健康情報のセキュリティに関する国家基準
CyberEdge Group2015 CYBERTHREAT DEFENSE REPORT
• 定期的なモニタリングのみ• 継続的なモニタリングのみ• 両方
63%が継続的モニタリングを実施
セキュリティレベルの維持が目的
様々なスキャンオプションを用意(カスタム可能)!複雑な設定は不要!
様々な設定監査用テンプレートを用意独自の説低テンプレートも作成可能!PCI DSS, HIPPA, FISMA, NERC CIP, GLBA, CSCs, COBIT, CIS, NIST SP 800-53, ISO 27001
必要な情報を集約して見れる管理コンソール(アセットビュー)!サマリーから詳細までドリルダウンで解析
必要な情報を集約して見れる管理コンソール(ホストビュー)!サマリーから詳細までドリルダウンで解析
柔軟なフィルタで必要な情報を素早く取得!リスクを判断するために必要な情報が集約!
詳細な脆弱性情報でリスク評価をサポート!CVEその他の標準に準拠!
優先対応が必要な脆弱性情報をリスト表示更に優先度が高いデバイスやアプリケーションでフィルタ可能!
様々なイベント情報を正規化し保存(証跡管理に最適)!システムの様々な変化を見逃しません!
データベース化された情報を可視化!セキュリティの問題点をカラーで警告!必要に応じてアラートとチケットを発行!
スキャンデータからインシデントに関連する情報を抽出してインジケートするダッシュボード
アラートルールを設定することでセキュリティ対応のワークフローを自動化!
アセット担当者にチケットを作製し脆弱性対応を管理!
セキュリティポリシーの実行状況を可視化!経営層に向けて有効な情報を提供!
http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html
方向性
メジャーメント
解析
経営者向けの情報必要な対策を認識し予算を配分
担当部署および技術者向けの情報必要な対策を実施。必要ならリソースや予算を算出
https://www.tenable.com/sc-dashboardsダッシュボードテンプレート集(編集可能)!
https://www.tenable.com/sc-report-templates
リポートテンプレート集(編集可能)!
https://twitter.com/TenableJapan
https://www.tenable.com/blog
Back-Up
技術連携Patch Auditing• Operating
Systems• Applications• Virtual
Infrastructure• Network
Equipment• Databases
Configuration Auditing• Network
Infrastructure• Anti-Virus• Sensitive Content• Center for
Internet Security• DOD• NIST• PCI• HIPAA
Intruder Detection• Intrusion• Botnets• Indicators of
Compromise• Suspicious Activity• Exploitable Clients• Access Control
Anomalies • Network Anomalies• Malicious Process
DetectionCloud• Virtualized
Infrastructure• Firewall Monitoring• Software Audit• Mobile Monitoring• Boundary Audit
Critical Infrastructure• SCADA• Industrial
Control System• Digital Bond• NERC
Mobile• Phones• Tablets• MDM
• 100% Asset Discovery• In-Depth Patch &
Configuration Auditing• Agent & Agentless
Vulnerability Detection• Mobile Device Auditing• Network Forensics
• Malware & APT detection
• Attack Path & Boundary Auditing
• Reporting, Dashboards and Analytics
• Automated Policy Analysis
Continuous View Use Cases
• Distributed Nessus Scanners– No extra charge– Virtual Appliances
• Nessus Cloud– Internet Scanning as
a service– PCI ASV Assessments
• Distributed PVS sensors– Monitors perimeter,
internal or datacenter traffic
– Finds every device, port, application, .etc which has network traffic
• Log Analysis– Asset & Vuln Discovery
100% Asset Discovery
• Nessus Credentialed & Agent audits– OS, App, Router, DB,
Switch, FireWall, IDS• Nessus Offline Audits
– Router, Switch, Firewall
• Nessus Patch Management Audit– SCCM, Tivoli,
RedHat– Mobile Iron, Good
In-Depth Patch & Config Auditing
• Nessus Credentialed and Uncredentialed Scans
• Passive Network Traffic monitoring with PVS
• Real-time Log Processing
• Reactive Nessus scanning to new devices or ports
Agentless Vulnerability Detection
• Nessus Auditing of MDM data
• PVS Auditing of Mobile Device Network traffic
Mobile Device Auditing
• PVS logs meta-data as text for network sessions– Meta-data is 20x to
200x less data than full packet storage
• LCE provides compression, search, anomaly detection, botnet correlation and 100s of rules looking for malware and insiders
Network Forensics
• Nessus Credentialed & Agent Scans
• Nessus Web App Scans
• Systems Monitoring with LCE Client
Malware and APT Detection
• Distributed Nessus Scanners – Identify line of site
open ports• Public Exploit
Correlation– Which Vulns are
exploitable and Internet facing
• Distributed PVS sensors– Identify All internal
trust relations– Identify line of site
open ports– Identify all browsers
ports– Realtime alerting
Attack Path and Boundary Auditing
• Tenable Data Scientists write new content every day
• Easy to create new reports, dashboards and assets and share them
Reporting, Dashboards & Analytics
• Beyond vulns, patches and configurations
• Can you measure the controls you have in place?
Automated Policy Analysis