Jun,2015 two months hp virtual event
•Download as PPTX, PDF•
2 likes•881 views
Cyber Security
Recommended
Recommended
More Related Content
What's hot
Viewers also liked
Viewers also liked (18)
Similar to Jun,2015 two months hp virtual event
Similar to Jun,2015 two months hp virtual event (20)
More from Takeo Sakaguchi ,CISSP,CISA
More from Takeo Sakaguchi ,CISSP,CISA (20)
Jun,2015 two months hp virtual event
- 1. All Copy right 2015 reserved by NISSHO ELECTRONICS CORPORATIONAll Copy right 2015 reserved by NISSHO ELECTRONICS CORPORATION SoC/CSIRTのコアとなる セキュリティ・インテリジェンス システムのご提案 日商エレクトロニクス株式会社 マーケティング本部 Jun, 2015 1
- 2. All Copy right 2015 reserved by NISSHO ELECTRONICS CORPORATION 背景 2
- 3. All Copy right 2015 reserved by NISSHO ELECTRONICS CORPORATION なぜArcSightなのか? 実績No.1 チューニング能力 リアルタイム相関分析 上記3つが最大の特徴であり、 圧倒的な他社製品との競争優位性になります。 3
- 4. All Copy right 2015 reserved by NISSHO ELECTRONICS CORPORATION SIEMに求められるもの 膨大なイベントから重要なイベントを絞り込み 相関分析することで、最重要なインシデントを炙り出し インシデントチケットの発行からインシデント解析 レポーティングまでのワークフローを提供 4
- 5. All Copy right 2015 reserved by NISSHO ELECTRONICS CORPORATION DDoS対策における境界防御 5 •大量のパケット攻撃によるセキュリティセンサーのダウン・ログ生成妨害により SIEMを間接的に無力化 •少量の攻撃トラフィックでサービスダウン •不要なログを大量生成させることで直接的にSIEMのリアルタイム相関分析性能を低下させる •飽和攻撃を隠れ蓑に同時多発的なAPT攻撃 よって入口対策としてDDoS対策を導入することで サービス低下から防護すると同時にArcSight自体への 攻撃も防ぐことができます
- 6. All Copy right 2015 reserved by NISSHO ELECTRONICS CORPORATION 暗号化への対策 6 SSL/TLS 50% • 2017年 秘匿性/ 悪用 • 表裏一体 暗号化 • 判別不能 SSL Visibility • 復号化/暗号化 各セキュリティセンサーが、従来の機能を発揮することでArcSightが機能します
- 7. All Copy right 2015 reserved by NISSHO ELECTRONICS CORPORATION SIEMによるアクティブディフェンス 高度 化 ArcSight 巧妙 化 フィルタ リング 持続 的 アグリ ゲート 執拗 インシデ ントとし て可視化 7
- 8. All Copy right 2015 reserved by NISSHO ELECTRONICS CORPORATION ArcSightと分析ツール連携 8 ArcSight インシデント 攻撃前後の 振る舞い Security Analytics Platform 被害の拡散を極小化するためのダメージコントロールを実現いたします
- 9. All Copy right 2015 reserved by NISSHO ELECTRONICS CORPORATION 今後の展望(SIEMとビッグデータ解析 とのインテグレーション) ログ トラフィック Big Data Security Analytics ArcSight 9
- 10. All Copy right 2015 reserved by NISSHO ELECTRONICS CORPORATION セキュリティ・インテリジェンス システムとは 10 DDoS対策、SSL Visibility、 Security Analytics Platform、 Big Data Security Analytics
- 11. All Copy right 2015 reserved by NISSHO ELECTRONICS CORPORATION お客様をサイバー攻撃から お守りいたします SoC/CSIRTのコアとなるとセキュリティ・ インテリジェンスシステムを実装することが 可能 当社実績は、最大で30種のセンサーを繋ぎ 込み、ArcSightにて相関分析、並びにイン シデント分析のワークフローを実装 11
- 12. All Copy right 2015 reserved by NISSHO ELECTRONICS CORPORATION ご視聴頂き、有難う御座いました。 12
Editor's Notes
- はじめまして、日商エレクトロニクスでサイバーセキュリティのマーケティング担当をしております坂口 武生と申します。 さて本題に入る前に2015年4月末に調査会社が公表した最新レポートのサマリーをご紹介致します。 これによりますと2014年には1組織あたり平均78件のインシデント調査が実施されていました。 そのインシデントのうち28%は、組織に重大な損害を与えるサイバー攻撃である標的型攻撃に関するものだったとのことです。 またセキュリティ対策の問題点として、セキュリティツール同士の連携が弱点となって、セキュリティ上の脅威を検出・対応する妨げになっていると回答者の80%近くが認識しており、 特に標的型攻撃に関しては、リアルタイムかつ包括的な可視性が必要とされています。
- そのような状況下でSIEMは今年度導入がもっとも進むサイバーセキュリティ対策ソリューションの一つです。 理由としては、先程のレポートにありました「標的型攻撃」「セキュリティツールの連携」「リアルタイムかつ包括的な可視性」のお客様の課題を解決するからです。 ここで重要になってくるのがセキュリティログの存在になります。 お客様のセキュリティログに関する認識と重要性も従来のログ取得さえ行っておけばよいや有事の際のログ検索からリアルタイム相関分析のステージ(SIEM)へと進化してきております。
- 数あるSIEMの中でなぜ弊社がArcSightを選ぶ理由は下記の3つになります。 ・実績; マーケットシェア(SIEMとしての稼働実績)、マーケット評価 (Gartner Magic Quadrant for SIEM)ともにNo1である ・チューニング能力; 脅威検知ルール等をきめ細かく設定出来るためお客様が求める脅威対策を実現できる。 比べて他社製品はテンプレートをそのまま利用するものが多く、お客様が検知したいインシデントを見逃してしまう。 ・リアルタイム相関分析; インメモリーで高速に行える。また条件合致した状態を一時的に保持すことにより(チェーンルール)多様な相関分析に対応可能 比べて他社製品は、DBにイベントが格納された後に検索するためリアルタイム性に若干欠ける。 が大きなArcSightの特徴であり、圧倒的な他社製品との競争優位性になります。
- ここで改めてSIEMとは、イベントを収集し、インシデントを検知・調査するツールです。 SoC/CSIRTの運用においてコアエンジンとして採用されているケースが多く、 機能としては膨大なイベントから重要なイベントを絞り込み、さらに相関分析することで、最重要なインシデントを炙り出します。 さらにインシデントチケットの発行からインシデント解析、レポーティングまでのワークフローを提供します。
- 一方日本国内でもDDoS攻撃の手口が巧妙になってきています。 大量のパケット攻撃によるセキュリティセンサーのダウン・ログ生成妨害によりSIEMを間接的に無力化させるといった従来型の攻撃だけではなくなっております。 少ないトラフィックで、特定のサーバーサービスをダウンさせると同時に攻撃したサーバに不要なログを大量生成させることで直接的にSIEMのリアルタイムな相関分析性能を低下させる手口がトレンドになっております。 また、DDoSによる飽和攻撃を隠れ蓑として、同時多発的にAPT攻撃等の手法を組み合わせるハイブリッド型の攻撃も流行の兆しを見せています。 そこで境界防御でDDoS対策が必要になります。 例えばDDoS対策で著名なThreat Intelligence研究所であるATLASを擁するDDoS対策製品は、 可視化と緩和をワンボックスで行い操作性も容易です。またDDoSは、Cybercrime-as-a-Serviceという名のサービスがアンダーグランドでビジネスとして成立しており 簡単にサイバー攻撃が誰にでも可能な状態であることが現状です。よって入口対策としてDDoS対策を導入することでサービス低下から防護すると同時にArcSight自体への攻撃も防ぐことができます。
- また現在通信トラフィックのSSL/TLS化が進んでおります。 SSL/TLS化は通信の秘匿性にとっては非常によいことですが、同時に攻撃者もSSL/TLSの仕組みを攻撃ツールに仕込むケースが増えています。 2017年にはサイバー攻撃の50%がSSL/TLSを利用した攻撃になるといわれております。 暗号化されているため各セキュリティセンサーでは悪意なパケットかどうか判別不能になります。そこで必要になるのがSSL Visibilityです。 SSL/TLS通信を一度紐解いて各セキュリティセンサーにパケットを投入し、従来のセキュリティ機能を発揮させる必要性が御座います。
- これらのサイバー攻撃の高度化(DDoS、SSL化通信など)を対処してはじめてSIEMが活きてきます。 また先程挙げたソリューションとArcSightとのコンビネーションは、サイバー攻撃を100%完全シャットアウトすることができない昨今、アクティブディフェンスにて攻撃者の侵入を最小化するために必要なソリューションとなります。 またサイバー攻撃は巧妙化・持続的・執拗になってきています。そのような状態の中で如何に今そこにある危機を迅速に炙り出すかが重要です。 よって不要なログをフィルタリングし、同様なログをアグリゲートし、本当に攻撃されているかどうかを判別し攻撃されている際は、インシデントとして可視化するArcSightはSIEMとして非常に優秀なソリューションです。
- さてArcSightでインシデントを検知・調査可能ですが、より早急にインシデントの原因究明し攻撃を止めるためにもそのインシデントの前後の振る舞い、 例えば15分前後の攻撃前後の振る舞いを知る必要があります。それをカバーするのが、Security Analytics Platformです。Security Analytics PlatformはArcSightと連携します。 ArcSightのGUIの画面からインシデントをクリックし、その前後の振る舞いをSecurity Analytics Platformの画面に自動的に遷移し確認できます。 Security Analytics Platformは、ネットワーク上を流れるパケットをフルキャプチャーしていますのでArcSightで行う調査の部分を助成し、 より掘り下げて最悪被害にあった場合も被害の拡散を極小化するためのダメージコントロールを実現いたします。
- さて、セキュリティセンサーが取得するログベースでArcSightにリアルタイムで相関分析させるのも限界があります。つまりSIEMはログがあってのソリューションだからです。 そこで最近では、サイバー攻撃に特化した内部対策を行えるBig Data Security Analytics(BDSA)ソリューションが御座います。 特徴は、ネットワークトラフィックをベースにマシンラーニングを行い振る舞い検知し、キルチェーンのフェーズに沿って脅威分析を行います。 このBDSAソリューションもArcSightの優秀なセキュリティセンサーの一つとしてトラフィックベースの脅威情報としてArcSightに取り込むことが可能です。 SIEMであるArcSightでこれらセキュリティセンサー群を束ねサイバー攻撃の高度化に対応することができます。
- ArcSightは「標的型攻撃」「セキュリティツールの連携」「リアルタイムかつ包括的な可視性」のお客様の課題を解決する唯一のソリューションです。 またArcSightと先程ご紹介したソリューションをコンビネーションさせることでSoC/CSIRTのコアとなるとセキュリティ・インテリジェンスシステムを実装することが可能になります。 弊社は、ArcSightをコアとしてお客様のご要望に応じセキュリティ・インテリジェンスなシステムの設計・構築をご提供しており、実績としては最大で30種のセンサーを繋ぎ込み、 ArcSightにて相関分析、並びにインシデント分析のワークフローを構築したケースも御座います。当社はArcSightのインテグレーターとしてお客様をサイバー攻撃からお守りいたします。