Upload
ryuichi-tomita
View
257
Download
0
Embed Size (px)
Citation preview
ビジネス +IT セミナーインシデント・レスポンス
標的型攻撃・サイバー犯罪時代の 事故前提社会への備え
December, 11th, 2015Tenable Network Security Japan 株式会社
2002年の設立以来、脆弱性を突き止め、リスクを軽減しコンプライアンスを徹底するための継続的なネットワーク監視を行う製品を提供しています。主要な顧客にはフォーチュン・グローバル 500企業および米国国防総省や各国政府組織が含まれます。これまでに総額 3億ドルの投資を受けておりこれからも先進的なソリューションを提供し続けます。
http://www.cyber-edge.com/2015-cdr/
攻撃者はターゲットのアタックサーフェスを突いて
侵入してくる
その攻撃場所や方法は状況に応じて常に変化する
アタックサーフェスとは攻撃の対象となる場所である
例えば・・・
• 管理されていないデバイス• 許可されていないアプリケーション• それらに存在する脆弱性や設定の弱い箇所• 管理者アカウント• 人間の弱点(セキュリティに対する意識など)
つまりエンドポイント
エンドポイントへのサイバー攻撃その1
いかにマルウエアをターゲットシステム上で実行させるか
• 偽装実行ファイル• ドライブバイ・ダウンロード• バッファオーバーフロー脆弱性
アタックサーフェスを見つけて攻撃を仕掛ける
如何にしてマルウエアの実行を防ぐか
彼かれを知り己おのれを知れば、百戦して殆あやうからず
• 脅威情報の共有>攻撃パターンの把握
• 資産の管理>アタックサーフェスの検査
• 脆弱性や異常を検知した場合の手順を策定
• アタックサーフェスの監視と防衛を継続して実行
継続= 24時間 365日リアルタイム
常に足元(アタックサーフェス)を固め
来るべきインシデントに備えよ
ここでは足元を固めるために必要な製品を紹介します
それはアタックサーフェスを常に監視してインシデントに素早く対応できる体制を支援します
それは 165 カ国、 100 万以上のユーザを持つ製品を基盤としています
私たちの製品はお客様のシステムの健康状態を隅々まで検査します
CyberEdge Group2015 CYBERTHREAT DEFENSE REPORT
• 定期的なモニタリングのみ• 継続的なモニタリングのみ• 両方
63% が継続的モニタリングを実施
セキュリティレベルの維持が目的
有効なセキュリティガイドラインを活用しセキュリティレベルを高める( Policy Compliance)NIST SP 800-53 連邦政府情報システムにおける推奨セキュリティ管理策( 240項目)CIS Critical Security Controls NIST SP 800-53のサブセット(効果的な 20項目を抽出)Cyber Hygiene サイバー攻撃に対する迅速かつ効果的な防御を実現するための低コストプログラムPCI DSS Payment Card Industry データセキュリティ基準HIPAA 電子的に保持・移動される健康情報のセキュリティに関する国家基準
NIST SP 800-53
1. アクセス制御( 25)2. 意識向上およびトレーニング( 5)3. 監査および責任追跡性( 16)4. 承認、運用認可、セキュリティ評価( 9)5. 構成管理( 11)6. 緊急時対応計画( 13)7. 識別及び認証( 11)8. インシデント対応( 10)9. 保守( 6)10. 記録媒体の保護( 8)11. 物理的および環境的な保護( 20)12. 計画作成( 9)13. 人的セキュリティ( 8)14. リスクアセスメント( 6)15. システムおよびサービスの調達( 22)16. システムおよび情報伝達の保護( 44)17. システムおよび情報の完全性( 17)()内は小項目
CIS Critical Security Controls
1. 許可された機器と無許可の機器のインベントリ2. 許可されたソフトウェアと無許可のソフトウェアのインベントリ3. ラップトップ、ワークステーション、およびサーバでのハードウェアおよびソフトウェアのためのセキュアな構成4. 継続的な脆弱性診断と改善5. 管理権限のコントロールされた使用6. 監査ログの保守、モニタリング、および分析7. EメールおよびWebブラウザの保護8. マルウエアの防御9. ネットワークポート、プロトコル、サービスの制限とコントロール10. データ復旧能力11. ファイアウォール、ルーター、およびスイッチなどのネットワーク機器のためのセキュアな構成12. 境界防御13. データ保護14. 知る必要性に基づいたコントロールされたアクセス15. 無線機器のコントロール16. アカウントのモニタリングおよびコントロール17. 不足を補うためのセキュリティスキル診断および適切なトレーニング18. アプリケーションソフトウェアのセキュリティ19. インシデントレスポンス能力20. ペネトレーションテストおよびレッドチーム(擬似攻撃チーム)の訓練
手軽にできる Cyber Hygiene (サイバー・ハイジーン)https://www.cisecurity.org/training/hygiene.cfm
• 米国各地の政府組織に対して施行されたキャンペーン• サイバーセキュリティのベストプラクティス• あらゆる組織がサイバー攻撃に対する迅速かつ効果的な防御を実現するために採用することができる低コストのプログラムサイバー・ハイジーン5つの優先事項1. カウント ネットワークに繋がって動作しているものを把握2. 設定 重要なセキュリティ設定でシステムを保護3. 制御 管理者権限の変更やバイパスおよびセキュリティ設定の変更権限を持つものを制限し管理4. パッチ アプリケーションやオペレーティングシステムを定期的に更新5. 継続 組織のサイバーセキュリティ基盤を強固にするために上記の優先事項を継続
デバイススキャン
(ホスト + 脆弱性 + 構成 + イベント)データベース
ログ収集トラフィックススキャンNessus PVS LCE
アセット管理 データの可視化 コンプライアンスチェック アラート /チケット発行 リポート
SecurityCenter CV のアーキテクチャ
脆弱性検査 コンプライアンス構成監査 マルウエア・ボット検知イベント解析
CV
SecurityCenter
Nessus Agent
Nessus Scanner
スキャンエージェントスキャナー(オンプレミス or AWSクラウド)監視ユーザ1監視ユーザ2監視ユーザ3
管理ユーザ
詳細なユーザロールとリソースの割り振りが可能
矢印はセッションの方向リモート監視ユーザ
スキャンデータ(暗号化保存)
認証スキャン管理アカウントでログイン
イベントログ(リアルタイム異常検知)トラフィックデータ(リアルタイム脆弱性、コンプライアンス違反検知)
リモート拠点、 AWS、プライベートクラウド、等
Cyber Hygiene ダッシュボードセット
NIST 800-53 PCI DSS
CIS Critical Security Controls
2.1. 経営陣によるリスク管理の実現と情報セキュリティ活動の徹底企業が情報セキュリティガバナンスの確立に取り組むことによって得られる第一の効果 は、経営陣が主導する形で情報資産に係るリスク管理を実施することで、情報セキュリテ ィに関わる意識、取組及びそれらに基づく業務活動を組織内に徹底させることが可能とな ることにある。 情報セキュリティの領域では、経営陣と管理者層・従業員層との間で、リスクや対策に ついての共通認識が乏しく、事実上、経営陣がリスクを管理できないことも少なくない現 状を鑑みれば、この効果は極めて重要である。経営陣がリスクの現状を把握できず適切な 対応をとることができない状況は極めて危険な状態といえ、セキュリティ事故が企業経営 に与える影響を考慮すれば、経営陣が自らリスクを判断せず、部下に判断を委ねた状況を 放置している状態を健全とは言いがたい。 情報セキュリティガバナンスの確立は、こうした状況を解消し、情報セキュリティにつ いて、経営陣がリスク管理を主導する、本来の形を実現することができる。
http://www.meti.go.jp/policy/netsecurity/downloadfiles/securty_gov_guidelines.pdf
情報セキュリティガバナンス導入ガイダンス(平成 21 年 6 月経済産業省)より抜粋
Tenable Critical Cyber Controls = CCC ( 5 領域 33項目)CCCで常にセキュリティレベルを診断し、全社で継続的なレベルの向上に努める
ARC
ダッシュボード
解析
経営者向けの情報必要な対策を認識し予算を配分
担当部署および技術者向けの情報必要な対策を実施。必要ならリソースや予算を算出
同じデータから得たセキュリティ情報を異なるプロトコルで表示
インジケート + アラート + チケットアサイン
アタックサーフェス(インシデントの発生場所)を
継続的にモニタリング
迅速な意思決定のもとにインシデントの発生を抑制し
発生した場合の迅速な対応を実現する
・
先ずはモニタリングを開始することが重要
SecurityCenter 管理コンソール + Nessus スキャナー( 512 付属)+ PVS ネットワークセンサー( 512 付属)+ LCE ログ収集サーバ( 1TB 付属)+エージェント(ターゲットホスト分付属)ライセンス(ターゲットホスト 512 IP 〜)
コンポーネント
継続的ネットワークモニタリング で ITセキュリティ を レベルアップ!
PILOT フリクションボールペン
https://twitter.com/TenableJapan
https://www.tenable.com/blog
https://www.tenable.com/JP/
http://enterprisezine.jp/author/481