【interop tokyo 2014】 ビッグデータを活用し、被害を予見!...
Post on 29-May-2015
334 views
TRANSCRIPT
ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
石川 恒
シスコシステムズ合同会社
シスコセキュリティソリューションズ マネージャ
Cisco Public 2© 2013-2014 Cisco and/or its affiliates. All rights reserved.
セキュリティにおけるチャレンジ
ビジネス モデルの変革 日々変わる脅威の様相 複雑さと断片化
侵入を防ぐ対策(BEFORE)だけでは不十分
一連の攻撃
BEFORE発見適用
堅牢化
AFTER範囲特定封じ込め修復
検出ブロック防御
DURING
Cisco Security Products
Cisco Security Services
Cisco Security Intelligence
侵入を防ぐ対策(BEFORE)だけでは不十分
• マルウェアは本当に侵入していない?• 通常の通信と怪しい通信はどう見分ける?• 不正サイトへのアクセスはないのか?• どう監視し、運用していく?• セキュリティ スキルと要員の教育は?• インシデントに対する対応は?
オペレーション フレームワーク
侵入を防ぐ対策(BEFORE)だけでは不十分
• マルウェアは本当に侵入していない?• 通常の通信と怪しい通信はどう見分ける?• 不正サイトへのアクセスはないのか?• どう監視し、運用していく?• セキュリティ スキルと要員の教育は?• インシデントに対する対応は?
オペレーション フレームワーク
Assess
RespondPredict
サイバー セキュリティの視点……………古き良き時代とはもう違います
国家による、あるいは国家が支援する攻撃が普通になり、
マルウェアが再利用されている
サイバー攻撃にかかる
コストは上昇し続ける
読解不能にする技術が進み、正体の特定はさらに困難に
MacOS、Linux、Android をターゲットとするマルウェアが
さらに増加
サイバー セキュリティの視点……………古き良き時代とはもう違います
…しかし、暗い見通しばかりではありません
国家による、あるいは国家が支援する攻撃が普通になり、
マルウェアが再利用されている
サイバー攻撃にかかる
コストは上昇し続ける
読解不能にする技術が進み、正体の特定はさらに困難に
MacOS、Linux、Android をターゲットとするマルウェアが
さらに増加
サイバー セキュリティの視点……………古き良き時代とはもう違います
SDN は良くも悪くもセキュリティを劇的
に変える
クラウドベースのビッグデータ技術は防御側に有利なように流れを変えることも
可能
パフォーマンスと柔軟性 - 今後もパフォーマンスは柔軟性より重要視
される
Cisco Public 9© 2013-2014 Cisco and/or its affiliates. All rights reserved.
セキュリティ侵害のインパクト
侵害発生
START
Cisco Public 10© 2013-2014 Cisco and/or its affiliates. All rights reserved.
セキュリティ侵害のインパクト
HOURS
侵害発生 60% の情報漏洩は数時間内に発生
START
Cisco Public 11© 2013-2014 Cisco and/or its affiliates. All rights reserved.
MONTHS
セキュリティ侵害のインパクト
HOURS
侵害発生 60% の情報漏洩は数時間内に発生
66% のセキュリティ侵害は数ヶ月間発覚しないまま
START
Cisco Public 12© 2013-2014 Cisco and/or its affiliates. All rights reserved.
YEARSMONTHS
セキュリティ侵害のインパクト
HOURS
侵害発生 60% の情報漏洩は数時間内に発生
66% のセキュリティ侵害は数ヶ月間発覚しないまま
過去3年間に7億5000万 以上の個人情報がブラックマーケットに流出
START
現在の脅威を分析すると
パブリック ネットワーク
最初の感染は社外で発生
インターネット & クラウド アプリ
ケーション
キャンパス
高度なサイバー脅威が境界線の防御を回避
セキュリティ境界線
現在の脅威を分析すると
パブリック ネットワーク
最初の感染は社外で発生
インターネット & クラウド アプリ
ケーション
キャンパス
高度なサイバー脅威が境界線の防御を回避
セキュリティ境界線
現在の脅威を分析すると企業
データセンター
脅威が拡散し、貴重なデータ搾取のリスク
パブリック ネットワーク
最初の感染は社外で発生
インターネット & クラウド アプリ
ケーション
Cisco Public 16© 2013-2014 Cisco and/or its affiliates. All rights reserved.
シスコが 1日で目にするものは…
シスコでの事例
130億/日NetFlow レコード
22TB/日のトラフィックを検査
40億 /日DNS レコード
750GB/日 のシステムログを収集
20億イベント / 日Splunkでの収集
600万/ 日のトラフィックをWSAで処理
すべてのトランザクショ
ンの 1% にあたるマルウェアをWSAが自
動的にブロック
400以上のアプリケーションサービス プロバイダー
12重要なエンタープライズ向け実環境データセンター
NetFlow
DLP
ディストリビューション
ゲートウェイ
ロードバランサー
ネットワーク
IDS
Advanced Malware
Detection
アクセスレイヤ
スイッチ
フルパケットキャプチャDNS コレクション
標的型攻撃(APT) 検知技術の比較
サンド ボックス
NG SIEM
グラフ解析
良い点: 自動的で証明済のテクノロジー悪い点: マルウェアは変化して回避する
良い点: テクノロジーの効果は証明済悪い点: ログによる分析は限定的
良い点: APTを示唆する異常値を検知悪い点: モデルを読み込ませるのに時間
がかかる
脅威への防御にビッグデータ アプローチを採用する理由
巧妙化する攻撃者 – あからさまなセキュリティ脅威よりも、標的型攻撃やステルス攻撃が大幅に増加
各種ソースからの変化の激しい多様なデータを詳細にわたり分析
フルパケット キャプチャのリアルタイム分析およびリアルタイムデータと過去データの相関関係
グローバルな脅威インテリジェンスを利用した既知の脅威や異常に対する防御
データを Hadoop に取り込むツール
脅威防御のためのビッグデータ アーキテクチャ
FlumeKafkaSqoopQpid
RabbitMQ
ストリーミング処理
StormAkka
ログ データNetFlowHTTP
ユーザ データ履歴データ
CIFSIO
その他の外部テレメトリ
脆弱性データ
フル パケットキャプチャストリーム
Qosomクラウド
インテリジェンス
HDFC
インタラクティブなSQL 検索
Apache DrillImpalaHadaptStinger
ElasticSearch
グラフ処理
TitanNeo4J
InfiniteGraph
SIRT
アプリケーション人
プロセスツール
脅威防御における Hadoop ベースのアーキテクチャアプローチの利点
ストリーミング、インタラクティブなバッチおよびグラフ処理
高度なデータ処理機能 – 優れた関係性把握 – 分析パフォーマンス
Hadoop により、人とコンピュータの関係、行動パターンに関するデータ、メッセージ コンテンツを 1 ヵ所に集約
拡張性や耐障害性に優れる – ビッグデータにおける業界標準
脅威に対してツール、データ、インフラ、プロセスおよび人を新しい発想で組み合わせることが同様に重要
セキュリティ インテリジェンス オペレーション
Cisco Security Intelligence Operations(SIO)
500 人以上のセキュリティ専任エンジニア、調査スタッフ、セキュリティ アナリスト
業界トップ クラスの分析システムとグローバルな連携
70 万個以上のグローバル センサー
20 ヵ所のグローバル セキュリティ センター
SIOグローバルインテリジェンス
分析と綿密な調査によるグローバル/ローカル間の関係性把握
脅威データと分析
多種多様な脅威や脆弱性データ ソース
セキュリティ センサー ベース
コンテキスト ポリシーを分散して適用
インテリジェンスの提供 ビッグデータインフラストラクチャ
リアルタイム更新
クラウドによる提供
1.5 億エンドポイ
ント
1,400 万アクセス
ゲートウェイ導入台数
160 万セキュリティデバイス導入台数
高度な自己学習アルゴリズ
ム人による調査
オープンソース
コミュニティ
脅威インテリジェンス:グローバル センサー グリッド
Cisco Public 24© 2013-2014 Cisco and/or its affiliates. All rights reserved.
日々変化していく状況への対策
Cisco® Managed Threat Defense:
予見的分析と最新のセキュリティ インテリジェンスにより既知・未知の脅威を特定
セキュリティ イベントのライフサイクルを運用化
脅威管理 に特化した運用
アウトオブバウンド管理にてお客様オンプレミスにすべての収集情報を保管
セキュリティイベント
Remediation復旧
Detection検出
Mitigation軽減
Confirmation確認
Cisco Public 25© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Managed Threat Defenseとは
Cisco® 次世代型分析運用プラットフォーム
Analytics Platform
セキュリティ インテリジェンス情報の活用
SIOGLOBAL INTELLIGENCE
人工知能による分析アルゴリズム
COSECOGNTIVESECURITY
24 時間の遠隔監視とサポート
クラウドによる分析モデル
Cisco Public 26© 2013-2014 Cisco and/or its affiliates. All rights reserved.
エキスパートによる知見と機械学習の統合
Managed Security Services(e.g. MSS) ・In-House SOC
現在一般的に企業に導入されているモデル(境界部中心)
セキュリティのイベントの監視・管理を実施(ファイアウォール上の許可・禁止のイベント、IPSでのイベント検知、Sandbox上でのトラップ)
多くの脅威に効果あり
Cisco Public 27© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Managed Threat Defense
Knowledge-Based
エキスパートによる知見と機械学習の統合
Managed Security Services(e.g. MSS) ・In-House SOC
現在一般的に企業に導入されているモデル(境界部中心)
セキュリティのイベントの監視・管理を実施(ファイアウォール上の許可・禁止のイベント、IPSでのイベント検知、Sandbox上でのトラップ)
多くの脅威に効果あり
高付加価値のアセットへのセキュリティ にフォーカス
見つけ出したい既知の脅威を見つけるのに効果的
シスコSIOやサード パーティが提供するインテリジェンスを活用
Flumeによるログのストリーミングを利用し、リアル タイムに近い処理を実施
Cisco Public 28© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Managed Threat Defense
Machine-Learning
Managed Threat Defense
Knowledge-Based
エキスパートによる知見と機械学習の統合
Managed Security Services(e.g. MSS) ・In-House SOC
現在一般的に企業に導入されているモデル(境界部中心)
セキュリティのイベントの監視・管理を実施(ファイアウォール上の許可・禁止のイベント、IPSでのイベント検知、Sandbox上でのトラップ)
多くの脅威に効果あり
高付加価値のアセットへのセキュリティ にフォーカス
見つけ出したい既知の脅威を見つけるのに効果的
シスコSIOやサード パーティが提供するインテリジェンスを活用
Flumeによるログのストリーミングを利用し、リアル タイムに近い処理を実施
高付加価値のアセットへのセキュリティにフォーカス
機械学習した不正行動の分析結果を元に、未知の脅威を見つけるのに効果的
リアルタイム性はトラフィック量に依存
MapReduceによるビッグデータ解析技術を活用
Cisco Public 29© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Managed Threat Defense サービス実践的なセキュリティアプローチ
アプローチのステップ
ネットワークプロファイルを作成し、プロファイルに基づいた監視を実施
フルパケットキャプチャおよびプロトコルメタデータを収集分析
機械学習アルゴリズムとグラフ分析手法により不自然な活動を検出
知見の高いAnalystにより脅威を確認・特定
Investigatorによるアタックベクタの調査を実施
取るべき対応策や軽減策を顧客向けに提供
フルパケットキャプチャとパケットメタデータの収集
Cisco Advanced Threat Detection
データの一元化と標準化
侵入検知
Emailトラフィックへの高度化されたマルウェ
ア検出
Webトラフィックへの高度化されたマルウェア検出
ON-PREMISE SOLUTION
Cisco Public 30© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Managed Threat Defense (MTD)
Inte
llige
nt
Vis
ibili
ty S
witch
顧客環境へのオンプレミス
Sourcefire
Full Packet Capture
Advanced Analytics
Metadata Extraction
Manage
Cisco Public 31© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Managed Threat Defense (MTD)
Inte
llige
nt
Vis
ibili
ty S
witch
顧客専用セグメント
管理者コンソール
ポータル
INTEL
チケッティング
脅威情報ナレッジベース
顧客専用ポータルサイト
アラート・チケットシステム
アナリストポータル
認証サービス
顧客環境へのオンプレミス シスコデータセンター
FIR
EW
ALL
FIR
EW
ALL
Sourcefire
Full Packet Capture
Advanced Analytics
Metadata Extraction
Manage
Cisco Public 32© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Managed Threat Defense (MTD)
1
2
3
4
5
6
Inte
llige
nt
Vis
ibili
ty S
witch
顧客専用セグメント
管理者コンソール
ポータル
INTEL
チケッティング
Netflow
Syslogs
脅威情報ナレッジベース
顧客専用ポータルサイト
アラート・チケットシステム
アナリストポータル
認証サービス
24/7 ACCESS
顧客
SOC
Passive Network Tap
Secure Connection(HTTPS/SSH/IPSec)
VPNINTERNET
VPNVendor Agnostic
Telemetry
顧客環境へのオンプレミス シスコデータセンター
FIR
EW
ALL
FIR
EW
ALL
Sourcefire
Full Packet Capture
Advanced Analytics
Metadata Extraction
Manage
Cisco Public 33© 2013-2014 Cisco and/or its affiliates. All rights reserved.
MTD 分析エンジン コンポーネント
6
1
2
3
5
4
Access
Contr
ol
NetFlow / HTTP1
Dire
ct C
onnectio
nP
assive T
ap /
Inte
lligent
Visib
ility Sw
itch
Kvasir
① Context database② NetFlow / HTTP anomaly detection③ Log aggregation / analytics④ Metadata aggregation / analytics⑤ Full packet capture⑥ IDS / AMP (5.3)⑦ Threat intelligence
ComponentFlume
Qosmos
SIR
T A
pplic
atio
n
Defense Center
Log Telemetry2
Vulnerability Data
Ela
stic
sear
ch
REST
HDFS
Flume
FlumeFlume
FlumeFlume
FlumeFlume
FlumeFlume
Kaf
ka
Sto
rm
Kaf
ka
Stinge
r
JD
BC
Flume CIF7
IDS
AMP
CTA(Cisco Cloud)
AMP(Cisco Cloud)
MR
Cisco Public 34© 2013-2014 Cisco and/or its affiliates. All rights reserved.
インシデント ポータル サイト
Cisco Public 35© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public 36© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Public 37© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Heartbleed: Day1
4/10/14 19:20 X.X.X.X United StatesUSA A.A.A.A United StatesUSA443 (https) / tcp 49826 / tcp SERVER-OTHER TLSv1.1 large heartbeat
response - possible ssl heartbleed attempt (1:30516)
4/10/14 19:22 Y.Y.Y.Y United StatesUSA B.B.B.B SwitzerlandCHE 443 (https) / tcp 43126 / tcp SERVER-OTHER TLSv1.1 large heartbeat response - possible ssl heartbleed attempt (1:30516)
4/10/14 19:28 Z.Z.Z.Z United StatesUSA B.B.B.B SwitzerlandCHE 443 (https) / tcp 43126 / tcp SERVER-OTHER TLSv1.1 large heartbeat response - possible ssl heartbleed attempt (1:30516)
Cisco Public 38© 2013-2014 Cisco and/or its affiliates. All rights reserved.
シスコにおけるサイバー セキュリティ へのアプローチ
お客様
SIOセキュリティ
R&D
Cisco-on-Cisco
(CSIRT)
セキュリティ
サービス
セキュリティソリューション&プロダクト
Cisco Public 39© 2013-2014 Cisco and/or its affiliates. All rights reserved.
シスコにおけるサイバー セキュリティ へのアプローチ
お客様
SIOセキュリティ
R&D
Cisco-on-Cisco
(CSIRT)
セキュリティ
サービス
セキュリティソリューション&プロダクト
お客様ネットワーク
MTD
シスコ
テクノロジ
Cisco CSIRTモデル
SecurityIntelligenceOperation
(SIO)
Thank you.