Upload
fumitaka-takeuchi
View
5.310
Download
0
Embed Size (px)
Citation preview
Copyright © NTT Communications Corporation. All rights reserved.
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~
NTT コミュニケーションズ株式会社NTT コムセキュリティ株式会社竹内 文孝 ,CISSP
2015 年 9 月 4 日
Copyright © NTT Communications Corporation. All rights reserved.
目 次
2
1. プロフィール
2.ICT 環境を取り巻くセキュリティ脅威の動向
3. インシデント対応ライフサイクルの強化について
4.WideAngle の紹介
Copyright © NTT Communications Corporation. All rights reserved.
1.プロフィール
Copyright © NTT Communications Corporation. All rights reserved.
NTT Com グループのマネージドセキュリティビジネスの歩み
4
設立: 1988 年 (事業内容)フルレイヤーセキュリティサービスの構築・運用(実績)欧米を中心に、業種を問わない豊富な実績
設立: 1986 年(事業内容)セキュリティコンサル及び、 MSS の提供(実績)官公庁及び金融業を中心に豊富な実績
2009 年 INTEGRALIS 買収
2010 年 SECODE 買収
2003 年 NTT コミュニケーションズ セキュリティオペレーションセンタ 設立
2011 年 INTEGRALIS 、 SECODE 会社統合
2012 年 運用基盤統合
2013 年 NTT コムセキュリティ設立
NTT セキュアプラットフォーム
研究所
協力
■ マネージドセキュリティサービスの実績 11,000 台以上( Global 全体)■ コンサルティングサービスの 25 年に渡り 8,000 件以上の案件を実施
Copyright © NTT Communications Corporation. All rights reserved.
セキュリティ分野における第三者評価・アワード
IDC IT MarketScape APAC MSS 2015
日経 BP 社 クラウドランキング
【 FireEye 社】Top Partner Performance
Award 2014
⇒ NTT Com は、 APACでマネージドセキュリティサービスプロバイダとしてリーダポジションの評価
56
【 Fortinet 社】FortiHero Top Global Partner
Award 2014
【 PaloAlto 社】Japan Theatre Managed
Service Provider of the YearAward 2015
Copyright © NTT Communications Corporation. All rights reserved.
2.ICT 環境を取り巻く セキュリティ脅威の動向
Copyright © NTT Communications Corporation. All rights reserved.
サイバー攻撃の変遷
8
将来
主目的 手段 防御側に求められる対策
愉快犯 ・ Mail 添付ウイルス・ USB 媒介ウイルス・サーバ不正アクセス・バックドア設置
入口対策 ・ Internet GW の不正アクセス対策 (FW/IDS/IPS)
・ Internet GW/ サーバ / クライアントへのウイルス対策
・ DMZ 内各種サーバの脆弱性診断、解消金銭搾取 ・マルウェア配布サイ
ト・模倣サイト・内部者による持ち出し
+出口対策
・クライアントから有害サイトへのアクセス制限( URL フィルタリング)
・企業内ネットワーク及び利用アプリ可視化・個人情報等のアクセス管理強化
テロ活動軍事活動示威活動
・ゼロデイ攻撃・標的型 /APT 攻撃・ Ransomware・ DDoS ・ BOT ネット・制御系 NW への侵入
+ 多層防御・未知のリスクへの対応
・企業内 LAN に潜む未知のマルウエア対策・機器の異常な振る舞い検知・防御・アクセスログなどの証跡保存・ CSIRT 設立
現在
・サイバー攻撃の目的が変容し、その攻撃手段はより高度化、巧妙化、組織化している・防御側の対策もより高度な技術が要求され、しかしながらその対策は後手に回ってい
るのが実情・防御よりも、侵入を前提としたインシデンスレスポンス重視の傾向
Copyright © NTT Communications Corporation. All rights reserved.
標的型攻撃のパラダイムシフト
8
従来のアプローチ 新たなサイバーセキュリティ考慮するスコープ • 自社および自社グループのみ • 相互接続されたグローバルビジネス
エコシステムの範囲
誰の責任下で対応するのか
• IT 部門が主導し運営する • ビジネスの責任者: CEO および取締役会の説明責任
攻撃者の特徴 • 偶発的(釣れるのを待つ)• 便乗型(バックドア再利用)
• 戦略的(組織的な作戦、明確な標的)
情報資産の保護 • 総花的なアプローチ • 「資産価値の高い情報」を優先し、保護する
防御体制 • 境界線防御:攻撃された際に受動的に対応
• 攻撃を想定した事前計画、監視および迅速な対応
セキュリティ情報共有
• 自社限り • 官民の協力:業界のワーキンググループとの連携
• CSIRT間での連携
攻撃者は企業の古い防御(境界)を迂回し、標的を絞って検知しにくい攻撃を次々に仕掛けている。企業は、従来のセキュリティに対する考え方を改め、次のような新たなアプローチをとる必要がある。
Copyright © NTT Communications Corporation. All rights reserved.
標的型攻撃の典型的な手法とは・・・
悪性サイトに誘導するメールやマルウェアを添付したメールを送付
ターゲット攻撃者
URL をクリックしたり、添付ファイルを開封し、マルウェアに感染
実在する人物・団体を装ったり、いかにも開きたくなる文面で送付
社内システム
悪性サイト/C&C サーバ
ウイルス対策ソフトでは検知されない
他端末への感染拡大
標的企業
マルウェアが攻撃者のC&C サーバと通信遠隔操作、情報窃取などが可能に
マルウェア配布サイト
新たなマルウェアを追加ダウンロード
管理者権限などでほしい情報を
探索
情報漏えい
4,906 件
356 種類代表的な
AV/AS では検知できず
侵入 ! 10.1%10 人に 1 人は
開いてしまう !?
【出典】内閣官房 平成 23 年度 標的型不審メール攻撃訓練結果の概要
AV/AS
IPS/Proxy/Sandbox39 件170億件
脅威の発見は宝くじに
当たるくらい難しい !!
9
Copyright © NTT Communications Corporation. All rights reserved.
企業に侵入する未知マルウェアの実態・企業のインターネット GW を通過したマルウェア添付メールをサンドボックスで検知・当該マルウェア検体をほぼ同時にウイルス対策製品で検査
平均月間メール通数: 13,821,493通平均月間添付ファイル数: 422,413 件
未知マルウェア添付のメール通数(AVメーカ 4 社でチェック )
既知マルウェア添付のメール通数
: 1 社以上が検知:4社とも未検知
FirewallAnti-SpamAnti-Virus
社内 PC
Sandbox
4社 AV の最新パターン
で検査
10
Copyright © NTT Communications Corporation. All rights reserved.
現在の標的型攻撃は、狙った情報に対して臨機応変に絶え間なく攻撃を行い、やがて防衛ラインを突破/侵入し攻撃を達成します。
以前の委託業者
わからない
委託業者
ハッカー
退職者
現行の従業員 27%
11%
18%
5%
8%
43%18%
18%
15%
24%
30%
35%
(出典: PwC「相互につながった世界におけるサイバーリスクマネジメント グローバル情報セキュリティ調査 2015」)
日本( n=206 )グローバル( n=9,329 )
日本企業の 43% はインシデント発生要因が不明 !?
11
Copyright © NTT Communications Corporation. All rights reserved.
様々な環境変化を踏まえた中期的な展望
12
環境変化 対策強化の中期的展望
サイバー空間とリアル空間の融合 /連動(グローバル化=ボーダレス化)
CSO 体制の整備とそれを支えるインテリジェンスの整備⇒サイバー空間の出来事が国家テロや企業経営に多大な影響を与える。火の粉が降りかかった時の初動や統制が影響範囲のカギを握る。
社会インフラや制御システムのオープン化、 IoT の進展、及びその集中管理による効率化
個別システムのリスクシナリオを把握したインシデント管理体制の整備⇒社会インフラや制御系システムなどログ管理システムや CSIRT 体制の導入の他、物理セキュリティ等との連携も要求される。また、投資対効果の評価も重要。
サイバーセキュリティに関する各国の法整備
各国の法律や環境、慣習など配慮したリスクマネジメントフレームワークの整備⇒グローバルに精通した専門的な支援体制が要求される。
第 2 インターネットの具現化?(物理的に?または論理的に?)
SDN/NFV 等を駆使したセキュアなネットワーク環境の導入⇒キャリアクラウドの活用など
Copyright © NTT Communications Corporation. All rights reserved.
3. インシデント対応ライフサイクルの 強化について
Copyright © NTT Communications Corporation. All rights reserved.
インシデント対応ライフサイクルの強化について( 標的型攻撃の実態)■ ウイルスは GW をすり抜ける■感染端末は制御される■ 攻撃は水面下で達成されている
・侵入/潜伏したウイルスを検知・インシデントを分析/把握・被害範囲を最小化・迅速的確な再発防止策の実行
* 出典: NIST (National Institute of Standards and Technology)発行「Guide to Malware Incident Prevention and Handling」(マルウェアによるインシデントの防止と対応のためのガイド)の「 Figure 4-1. Incident Response Life Cycle」(インシデント対応のライフサイクル)
14
【準備】・プロセスの整備・人の体制化・技術の導入
【事故後の活動】・事故全容の把握・コストの把握・再発防止策の立案
【検知と分析】・前兆を知る・兆候を掴む・攻撃を把握する
【封込、根絶、復旧】・封じ込めの実行・感染源の識別と駆除・封じ込めの解除
Copyright © NTT Communications Corporation. All rights reserved.
トータルセキュリティへの視点
8
◆インシデントレスポンス対応・役割、体制、一元コントロール・発生状況の把握~対処までの手順書化、実施確認
平時のマネジメント 有事のマネジメントPDCA マネジメントサイクルを廻す
◆セキュリティポリシー策定◆セキュリティに対する文化の醸成◆推進・管理体制構築◆ポリシー遵守状況のモニタリング・是正
◆内部監査 ◆第三者認証取得◆委託先管理 ◆グループ機関との連携◆外部機関との連携 ◆外部情報の収集・活用
◆階層別役割別セキュリティ研修◆誓約書の取得による意識醸成◆社員区分ごとに応じた情報取扱◆罰則の規定による抑止
人的観点
◆業務プロセスの見直し◆情報アクセスの申請・承認制導入◆情報のライフサイクル管理
プロセス的観点◆インターネット GW セキュリティ FW 、 IDS 、 Mail/WWW フィルタリング等◆フィジカルセキュリティ 入退室管理、監視カメラ、エリア分け等◆エンドポイントセキュリティ PC検疫、書出し制御、持出抑制、シンクライアント化 脆弱性診断等
技術的観点
企業の機密情報を守りつつ、業務運営を行なうために「情報を守る」⇔「情報を使う」
マネジメント的観点
マネジメント的観点を主に技術、人的、プロセスの観点の整合性が取れたセキュリティ導入を目指します。
Copyright © NTT Communications Corporation. All rights reserved.
標的型攻撃の被害を最小化する対応策
社会保険オンラインシステム
そのうち 55万件にはパスワードによるアクセス制限はされていなかった。
約 125万件
②5/8 以前、第 1弾受信⑦5/18 、第 2弾を複数受信⑧5/20 、第 3弾を複数受信
職員攻撃者
ファイル共有サーバや個人の端末にデータを保存
年金加入者個人情報
厚生労働省などを装ったメールが送信される
作業用にデータを抽出
情報系システム
悪性サイト/C&C サーバ
③URL クリック
④悪性サイトに アクセス
⑤ウイルス感染&バックドア
⑥機構内情報が流出
⑨被害拡大
⑩個人情報が流出
外部サーバに情報を保存。一部は、東京都港区の海運事業者やアメリカのサーバに保存されていた。
①個人情報を作業用にコピー
メールの中から怪しいファイルを検出し、インターネット GW をすり抜けた未知のウイルスを
洗い出す
WideAngle/RTMD
RTMD にて、悪性サイトや C&Cサーバの評価情報に基づき、そのサイト向けの通信を検知、自動的に遮断
WideAngle/ RTMD
未知のウイルスを検知後15 分以内に、当該メールの送付先ユーザーに注意喚起メールを通知し、
クリック実行を抑制
WideAngle/ RTMD
社内に接続される PCやサーバの異常な振る舞い情報を収集し、感染範囲の確認やリモート隔離を
実行
WideAngle/ EPTP
RTMD : Real Time Malware Detection →WideAngle が提供するネットワーク型の標的型攻撃対策サービスEPTP : End Point Threat Protection →WideAngle が提供するエンドポイントの標的型攻撃対策サービス
23
Copyright © NTT Communications Corporation. All rights reserved.
4.WideAngle の紹介
Copyright © NTT Communications Corporation. All rights reserved.
プロフェッショナルサービス
セキュリティ対策機器 /ソフトウェアの導入サービス
マネージドセキュリティサービス
NTT コムの総合リスクマネジメントサービスメニュー
18
Copyright © NTT Communications Corporation. All rights reserved.
◆ 2 5 年にわたる豊富な経験と実績( 8000 件以上)
プロフェッショナルサービスのメニュー
19
メニュー 対策概要
コンサルティング
総合コンサルティング
グローバルコンサルティング
Global Enterprise Methodology (GEM) に基づくグローバル企業向けコンサルティング
システムリスクアセスメント
IT システムセキュリティのベストプラクティスとのギャップ分析によるリスク評価
CSIRT 構築支援 インシデントレスポンス体制整備支援
エントリーモデル
バーチャル CSO 時間契約 (前払い /80h) で、セキュリティに関する戦略的・実践的な助言を提供
非常勤エキスパート
時間契約 (半年分前払い /9 日 ) で、特定の技術分野における専門家による技術的な助言を提供
ワークショップ 個別テーマに関する教育セッション (1回半日 )
レスキューサービス
総合インシデントレスポンス 緊急事態にプロフェッショナルエンジニアが調査・分析を実施初動対応、調査分析、改善提案まで提供
インシデント初動対応パック 情報の整理、事象の把握と調査、被害の拡大防止までを実施
脆弱性診断プラットフォーム脆弱性診断 OSやミドルウェアなどの脆弱性を検出、リスクを可視化
Web アプリケーション脆弱性診断 Web アプリケーションの脆弱性を検出、リスクを可視化
脆弱性マネジメント
セルフ脆弱性診断 脆弱性診断~対策管理までを定期的・継続的にお客さま自身で行う環境を提供
総合脆弱性マネジメントCSIRT 向け管理 / 統制支援(システム情報管理、脆弱性検出 /通知、対策 / リスク管理機能をお客様専用基盤として提供)
Copyright © NTT Communications Corporation. All rights reserved.
20
イン
フラ
スト
ラクチャ
プロ
テク
ショ
ンリ
スク
マネ
ジメ
ント
日本個別メニュー( MDM 、 PC ウイルス対策等)
< セキュリティ対策メニュー >
様々なセキュリティ機器からのアラートやサーバ等のログを精査、相関分析することで、真の脅威を検出すると共に、感染端末の特定、攻撃の進展度合いを分析
入口対策で検出した脅威を内部対策や出口対策に連携し、被害を防止又は極小化
NW セキュリティ Firewall/IPS&IDS
コンテンツセキュリティ
Email/Web-Anti-Virus
URL Filtering
WAF (Web Application Firewall )
VM セキュリティ VM-Anti-Virus/Firewall
プロファイリングApplication Profiling
Network Profiling
リアルタイムマルウエア検知
RTMD Web/email(On site)
Cloud base RTMD
エンドポイントスレットプロテクション( End Point Threat Protection )
CLA (非セキュリティ設備との総合ログ相関分析 )
イン
フラ
スト
ラクチャ
プロ
テク
ショ
ンリ
スク
マネ
ージメ
ント&
スレ
ット
プロ
テク
ショ
ン
A 突発的な脆弱性出現に緊急対応するカスタムシグニチャの運用
侵入/潜伏した未知の脅威や、内部の異常な振舞を検知・分析する GROC+独自 SIEM の総合
ログ相関分析と重篤度判定、防御のための制御実施
B
F
D
E
CC
*1 グローバルリスクオペレーションセンタ*2 セキュリティインフォメーションアンドイベントマネジメント*3 モバイルデバイスマネジメント
*3*1 *2
マルウェアの検知~分析~感染端末の特定~隔離と被害拡大を一連制御するトータルマネジメ
ント
Windows 環境に潜伏したマルウェアの振舞を検知~分析~拡散防止する国内初の独自対策
マルウェアの検知~分析~防御(拡散防止)~駆除までをクラウド型サービスで一元的に提供
D
1
2
1 2
サイバー攻撃に対する多層防御ソリューション
Copyright © NTT Communications Corporation. All rights reserved.
21
パソコン
既知ウイルス対策ソフト
攻撃サイト
Sandbox ( 未知ウイルス検知 )
スパムメールを隔離既知ウイルス付メール排斥
入口対策
入口対策
内部対策
マルウェア振舞検知・防御
攻撃証跡収集・ から隔離ネットワーク内部対策
内部対策
マルウェアと攻撃者間の通信を即時に遮断
Sandbox(仮想環境 ) でファイル実行→感染可能性検知
メールサーバ
アンチウイルススパムメール
感染による活動
公開Webサーバ
Web アプリケーションファイアウォール
専門分析官(24時間 365 日 )
脆弱性攻撃・ ID/Pass総当たり攻撃等を検知・遮断
独自開発ログ総合相関分析システムと高度な分析官による即時検知・防御のための制御
USBメモリ
Sandbox(仮想環境 ) で分析した未知ウイルスから、悪性サイトを検出し、攻撃者との通信を検知
Sandbox( 未知ウイルス による悪性通信検
知 )出口対策
NTT Comグローバルリスクオペレーションセンター
入口対策: Web サイトへの攻撃、ウイルスの社内流入を検知・防御内部対策:ウイルスが PC の脆弱性を突いた感染を防止、感染後の行動を検知。感染 PCの隔離、被害範囲確定出口対策:ウイルス感染しても攻撃が成立しないよう攻撃者との通信遮断
お客さまICT 環境
Web アクセスフィルタリング
出口対策
プロキシサーバ
C
B
D
E
ログ / アラート
制御
NTT Com の WideAngle は多層防御のコンセプトにて、入口 / 内部 / 出口の各ステージで対策を実施
グローバルリスクオペレーションセンターで高度分析を行い、各ステージ間を連携、被害防止・極小化
/ファイアウォール IDS (侵入検知装置)/ IPS (侵入防御装置)/アンチウィルスA
連携 / 制御
F
C
サイバー攻撃に対する多層防御ソリューション
Copyright © NTT Communications Corporation. All rights reserved.
・独自開発の新セキュリティ運用基盤と専門アナリストによる運用監視 体制により、サイバー攻撃などのリスクを最小化・お客様はロケーション(クラウド / コロケーション / お客様拠点)に 関わらずサービスをご利用可能
* SIEM : Security Information and
Event Management
グローバルリスクオペレーションセンター
新セキュリティ運用基盤
運用監視 / ログ収集
お客さま
レポート
イベント通知
改善提案
*Engine 等
※Bizホスティングエンタープライズクラウドではオプションとしてご提供
お客さま拠点コロケーションクラウド
マネージドセキュリティサービスの提供体制
22
Copyright © NTT Communications Corporation. All rights reserved.
“ShellShock”0:00①脆弱性公開 パッチ提供
0-day 20時間
IPS
A製品
B製品
WAF
C製品
D製品
9/25 13:00 作成
9/26 17:30 公式提供
9/29 10:00 公式提供
9/27 10:30 公式提供45.5 時間
87.5 時間
28.5 時間
9/25(木 ) 26( 金 ) 27(土 ) 28( 日 ) 29( 月 )
15:00②脆弱性公開 (修正もれ )
11:00②パッチ提供
▲ ▲ ▲
● ●
9/25 13:00 作成● ●
9/25 18:30 作成● ●
9/25 22:00 作成●
9/2? ??:00 公式提供●
?? 時間
GROC のカスタムシグニチャ緊急対応サービス
23
A B
Copyright © NTT Communications Corporation. All rights reserved.
「 RTMD」&「 EPTP Validation & Isolation」連携
24
エンドポイント
管理機能RTMD で検知したウイルスの振る舞い情報
社内 PC 管理社内サーバ管理
・感染範囲・端末の特定 など実態の把握が可能
・感染端末の隔離が可能
リアルタイムマルウェア検知(RTMD Web/email (On site) )
RTMD Mail
RTMD 管理機能RTMD Web
(仮想実行環境によるメールの解析 )
(仮想実行環境によるウェブトラフィックの解析 )
FW
EPTP Validation & Isolation
グローバルリスクオペレーションセンター
・リアルタイム解析・攻撃内容、重篤度通知・インシデントレスポンス・フォレンジック対応
FireEyeサイバーデフェンスセンター
Internet
Agent AnywhereTM
ウイルスの振る舞い情報をもとにスキャンの実施
・送受ファイルの感染有無確認( RTMD による振る舞いでの未知のウィルス検知)情報を活用した網内全 PC/ サーバに対する総スキャンでの感染範囲の確認(インシデントレスポンス機能)
・サーバ /PC の感染範囲証跡記録、漏洩情報等攻撃の活動範囲、内容の確認(フォレンジック機能)・エンドポイント管理機能を活用したリモートによる迅速な感染端末の LAN からの隔離、以降の拡散
防止(インシデントレスポンス)
考えうる既知の攻撃防御→未知( APT 等標的型攻撃、社内からの漏洩)の攻撃検知 ⇒ 検知のみならず以降の攻撃からの防御 ⇒ 攻撃の証跡、影響範囲の把握 ⇒ 全般的な影響範囲把握、以降の情報漏洩事故等の阻止 ⇒ 法的対応を可能とする証拠収集
顧客ニーズの変遷
サービス拡大範囲
(EPTP Validation & Isolation)
お客さま ICT環境
C D1 1
Copyright © NTT Communications Corporation. All rights reserved.
Sandbox 運用( RTMD )における真の脅威の絞り込み
25
C
機器でマルウェアの可能性があると検知されたイベント / アラートのうち真に対応が必要となるものは約 30%であり
オペレーションの中で仕分けることが必要です
未知のマルウェアの駆除(対処)
機器で実施する範囲
NTT Com が独自ノウハウで実施する範囲
既存セキュリティ対策を突破したファイル /通信
Sandbox 機器で検知したファイル /通信
検知したファイル /通信を分析し、分析エンジンとアナリストで仕分けを実施
対処すべき未知のマルウェア
? ??約 30%に絞り込まれる
独自開発したマルウェア判定エンジンで、効率的&高精度な検知を実現
数百万台のクライアントウイルス対策と約 6,000 台のセキュリティ機器の運用ノウハウで、
更なる仕分け!
*
1
Copyright © NTT Communications Corporation. All rights reserved.
RTMD で検出した侵害の兆候を既存セキュリティ機器に連動させて防御する
悪性サイトに誘導するメールやマルウェアを添付したメールを送付
ターゲット攻撃者
URL をクリックしたり、添付ファイルを開封し、マルウェアに感染
実在する人物・団体を装ったり、いかにも開きたくなる文面で送付
社内システム
マルウェア配布サイト/C&C サーバ
ウイルス対策ソフトでは検知されない
標的企業
マルウェアが攻撃者のC&C サーバと通信し、遠隔操作や情報窃取などが可能に。または、新たなマルウェアを追加ダウンロード
管理者権限などでほしい情報を探索
AV/AS
FW/IPS/Proxy
RTMD により検知した未知の脅威 ( マルウェア・エクスプロイト・悪意ある WEB サイト通信等 ) 情報を検証する複数ベンダのマルウェア検知機能 (BeatWash) により、疑わしい URL 情報を抽出危険と判定された URL について、機器の URL フィルタリング機能を利用して、危険サイトへの接続を準リアルタイムに暫定的に遮断アナリストによる詳細分析により危険サイトの真偽判定、恒久遮断・許可判定反映
オンプレミス型 RTMD の付加サービスとして、攻撃者との通信を遮断することにより攻撃を防御
Sandbox
①ファイルをコピー
NTT Com グローバルリスクオペレーションセンター
Reputation DB リスクアナリスト
③疑わしい URL情報を抽出
②ファイルの解析結果を送信
④危険と判定されたURL 情報を自動連携
BeatWash
⑤Reputation DB のブラックリスト情報により情報精査
( 2時間以内)
お客さま運用担当者
URL 情報に関するお問い合わせへの対応
□次世代ファイアウォール パロアルトネットワークス社□プロキシサーバ ブルーコートシステムズ社 Squid (オープンソース)□Web フィルタリング製品 デジタルアーツ社( NEW! )
通常の安全なサイト
②~④平均 10 分以内(最大 20 分以内)
1
23
F
26
Copyright © NTT Communications Corporation. All rights reserved.
Cloud base RTMD (リアルタイムマルウェア検知)サービス
Internet
トレンドマイクロ社アンチウィルスゲートウェイ
メールサーバーなど
<攻撃者>
お客さま ICT 環境
Arcstar Universal One
*本サービスには監視回線が含まれておりませんので別途契約が必要です。 L3接続、 Cloud-GW接続オプションが必要です。
TrendLabsNTT コム SOC
Deep Discovery Analyzer(Sandbox)本サービスでの提供範囲お客様にご準備いただく範囲
パターンファイル配信サーバ
既知ウィルスはパターンファイルで検知
※2 トレンドマイクロ社の GW製品で、未知ウイルスの可能性があると判定されたファイル
② Sandbox技術による未知のウィルス検知
③ トレンドマイクロ社と提携しパターンファイルの開発
④ パターンファイルの配信
⑤ パターンファイルの更新既知ウイルスとして検知・防御
※1 C&C サーバリストダウンロード機能
サービス提供基盤
①パターンファイルをすり抜けた未知ウイルスは転送※ 2
・未知のウイルスの検知、分析、防御の一連のサイクルを自動で行うクラウド型 Sandbox サービス・お客様のアンチウイルス GW と連携し、 NW 経由で容易に Sandbox 解析機能を利用可能・トレンドマイクロ社と協業し、未知ウイルスのパターンファイルを自動生成し、 GW へ配信
C
27
2
Copyright © NTT Communications Corporation. All rights reserved.
EPTP Analysis & Blocking
FFR yarai
Windows Error Reporting
EPTP エンジン( MTDS連携・ブロック機能)
MTDSAnalyzer
企業 LAN
※必要に応じてエスカレーション
NTT コム 分析センタ
・攻撃元 URL・攻撃コード・分析レポート
MSS
FFR yarai ヘルプデスク
(お客様 CSIRT/SOC連携可能)
セキュリティ監視
yarai 管理
MTDSMTDSアナリスト@ US
・攻撃元 URL・攻撃コード
2
3FFREMC
お客様環境
MTDSCollector
クラッシュ&攻撃発生時のメモリダンプ
1
MTDSアナリスト( SOCメンバー)
FFR yarai の管理サーバ・ yarai の検知情報集積・検知ルールの配布
・ FFR yarai の攻撃検知やWindows 異常検知のログを一元的に収集/管理・ Microsoft と連携したログ分析技術により攻撃元 URLや攻撃コード等の情報を抽出しブラックリスト化・ブラックリストを FFR yarai に反映し、当該攻撃の再発や同手法による未知の攻撃をブロック
D
28
2
Copyright © NTT Communications Corporation. All rights reserved.
SIEM(Security Information and Event
Management)
セキュリティ機器
非セキュリティ機器
Firewall ProxyWindow
s Linux
Apache IIS
IDS IPSSandbo
xAnti Virus UTM
NGFW
総合分析・脅威通知サービス は , さまざまな機器のログを収集し , お客さま環境に潜在するセキュリティリスクを発見するログ相関分析サービス
ログ収集(ビッグデータ)
分析エンジン
L3 アナリスト
E 侵入/潜伏した未知のリスクも可視化する独自SIEM+GROCの総合ログ相関分析
29
Copyright © NTT Communications Corporation. All rights reserved.
CLA サービスの検知性能について
* 1 2014 年 7 月 7 日~ 8 月 28 日 * 2 Real Time Malware Detection
NTT Com グループ独自の SIEM エンジンやブラックリストなどにより、従前の対策で検知困難な未知の重篤なセキュリティ脅威を発見
< 未知の重篤なセキュリティ脅威検知事例>53 日間 *1 の重篤な脅威検知数導入内容 (A 社様 )
従前の対策による既知の脅威検知に比べ 約 10倍 のセキュリティ脅威を検知
4 件 IPS/IDS による検知
NTT Com グループ独自セキュリティ運用基盤による未知の脅威検知
SIEM エンジンによる検知: 11 件独自ブラックリストによる検知: 2 件
従前の対策による既知の脅威検知
Sandbox技術を活用した RTMD*2
による検知
35 件( 内訳 )
22 件
( 内訳 )
13 件
170億件 /53 日のログを抽出
監視対象: PC約 8万台
( ログソース: IPS/IDS, Sandbox, PROXY)
セキュリティ運用基盤による分析22万件の疑わしい
ログに絞り込み
リスクアナリストによる重篤度判定
39 件の重篤なセキュリティ脅威を検知
30
E
Copyright © NTT Communications Corporation. All rights reserved.
ご清聴ありがとうございました。
総合リスクマネジメントサービス「WideAngle」http://www.ntt.com/wideangle_security/