ソリューション企画推進部 2016年10月28日 (C) Copyright 2016 CTCSP Corporation All rights reserved. 多層防御アプライアンス CounterACT エージェントレス ゼロデイ対応 検疫 IPS (C) Copyright 2016 CTCSP Corporation All rights reserved. 1 1 # 強固な経営基盤 マーケットリーダー 多数の導入実績 創業: テルアビブ大学のコンピュータサイエンス分野の研究者・教授らによる、クラッカーや ワームの動きの研究を母体(研究としては4年以上)とし、2000年4月にアメリカで登記。 CEO:Michael DeCesare (元McAfee CEO) 所在地: 本社 アメリカ カリフォルニア のほか、ヨーロッパ、アジア各地に拠点。 R&Dはイスラエルのテルアビブ。 スタッフ:約600名以上 導入実績: 世界で2000社以上の導入実績(金融、政府、ヘルスケア、製造、流通、教育業界で 1組織で500,000以上のエンドポイントの導入実績あり) 2 (C) Copyright 2016 CTCSP Corporation All rights reserved. 現在のCounterACT 国内総代理店:ソリトン社 国内導入数:450社 800台以上 主な業態: 【企業】 丸紅様、クラボウ様、サイバーエージェント様 【教育機関】 武蔵大学様、一橋大学様、文教大学様 【公共】 世田谷区役所様 …など 製造・金融・メディア・医療など、特に業態問わず 多くのお客様に採用実績あり。 ForeScout製品の国内取扱い 2003年より本格販売開始 IPS機能から検疫機能まで幅広く提案 ※CounterACTは、1台のみ導入いただくケースと、 数台~数十台ベースで複数台導入いただくケースがあります。モデルによっ てもお客様の規模は異なるため、あくまで上記は台数ベースの実績概要です。 (C) Copyright 2016 CTCSP Corporation All rights reserved. 3 検疫で対策出来ること → 攻撃の予防(攻撃に利用されるものを排除) 不正(管理外)デバイスの接続を禁止 不正アプリの利用を検知/制限 OSやアプリの脆弱性対策アップデート確認 不正デバイス(WPDなど)の利用を検知/制限 → 接続デバイスの可視化(シャドーIT対策) 0 1 2 3 4 5 6 7 EST R O M CounterACT SAS SAS 600 GB 10k SAS 600 GB 10k 600 GB 10k intel inside Xeon ※検疫(NAC)の実施は、セキュリティ対策としての前提条件。 (C) Copyright 2016 CTCSP Corporation All rights reserved. 4 サイバー攻撃対策として必要な検疫に対するニーズの高まり ワールドワイドでの導入実績 大規模(数百万端末)から中小規模(数百端末)までカバー 近年は大規模導入事例が非常に多くなっている 他の検疫製品に比べて低コスト/短期間で導入可能 ネットワーク機器の入替え不要 豊富なポリシー作成テンプレート ライセンス不要(※他社セキュリティ製品の連携除く) 不正端末検知とブロックが可能 エージェントレスでの情報収集が可能 IP通信を行うデバイスは不正端末含めて検知して可視化 IPS(マルウェアによる攻撃検知/ブロック)も可能 (C) Copyright 2016 CTCSP Corporation All rights reserved. 5 CounterACTはユーザの利用中に検疫! ユーザ利用中に検疫 検疫用の別ネットワーク(VLAN)は不要 検疫合格後も定期的にチェックしている 不正端末に自動対処(更新/遮断など)可能 管理画面から直近の端末情報を一元確認 一般の検疫製品は利用前に検疫を実施 検疫終了まで使えない→ストレス 運用する側にも負担が掛かる (C) Copyright 2016 CTCSP Corporation All rights reserved. 6 • • スマートフォン普及などで、ネットワークに接続されている機器の把握と 管理に悩む管理者に朗報! 「シャドーIT」のリスク対策 手に取るように分かる 管理できる 検疫サーバ CounterACT ? ? ? ? エージェント型・ブラウザ利用型 検疫システム ? プリンター CounterACT 無線AP スマートフォン タブレットPC (C) Copyright 2016 CTCSP Corporation All rights reserved. 7 拠点のサマリが表示されます ホストのIPアドレスを右ク リックすると、詳細な情報を 参照したり、さまざまなアク ションを実行できます。 IPアドレス、MACアドレス、ホスト 名、ユーザ名のほか、ホストが接続さ れているスイッチのポート番号や VLAN情報も表示(スイッチ連携時) (C) Copyright 2016 CTCSP Corporation All rights reserved. 8 (C) Copyright 2016 CTCSP Corporation All rights reserved. 9 CounterACT7.0.0 管理コンソール 通信監視により、PCだけではなく、 スマートフォンの、OSや利用ブラウザ種別も把握! iPhone Android (C) Copyright 2016 CTCSP Corporation All rights reserved. 10 エージェントレス検疫 Windowsドメイン環境なら エージェントは一切不要! CounterACT Windows ドメイン コントローラ 簡易エージェント検疫 SecureConnector CounterACT (CounterACTのエージェント) ドメイン環境がない場合やMac/Linuxなどで利用。 ユーザ自身でインストール可能。 →ブラウザをハイジャックしてインストール画面を表示 (もちろんバッチやファイル配布も可能) (C) Copyright 2016 CTCSP Corporation All rights reserved. 11 1. 2. 3. 4. PCが接続されると、管理PCかどうか判別。管理PCは即ポリシーチェック。 管理外PCにはSecure Connectorダウンロードページを表示。 SecureConnectorが実行されると、CounterACTがポリシーチェック開始。 ポリシーに違反していたら、設定した対応を実行。 (通信制御、修正など) 動作モードを選択してインストール可能(3種類) ・ 一時(ゲスト用)・・・一時動作。ログオフで消去 ・アプリケーション・・・ログオン時にアプリとして動作 ・サービス・・・起動時にサービスとして動作 ○ 管理PC Active Directoryなど 内部サーバセグメント × 管理外PC インターネットに接続しようとすると、SecureConnectorのダウン ロードページが表示されます。クリックして実行すると自動的にポリ シーチェックが実施されます。 (C) Copyright 2016 CTCSP Corporation All rights reserved. 12 「通信パケットの収集」だけで可能なものと、「端末内部 をのぞいて」可能なものが存在。 検疫条件 判別方法 MACアドレス・IPアドレス・ホスト名・ドメイン名 認証有無 スマートフォン、プリンターも含めたデバイス種類の判定 トラフィック監視などで判別 攻撃元かどうか?(IPS判定結果) Windows/MacOSセキュリティパッチ適用状況 AntiVirus更新状況 ファイル・レジストリ・サービス・プロセス・アプリでの セキュリティポリシー準拠状況 各種セキュリティソフト・パーソナルFWの稼働有無 端末の内部検疫で判別 エージェントレス エージェント使用 Mac OS・Linux OSのファイル・プロセス状況 (C) Copyright 2016 CTCSP Corporation All rights reserved. 13 ポリシー違反端末に様々なアクションを実行可能 種類 アクション内容 管理 SecureConnectorインストール用Webページの表示 SecureConnectorのアンインストール 認証ログインページの表示、ゲストユーザ登録、グループ登録など ユーザ通知 Webページでのメッセージ表示 バルーン表示(SecureConnector利用時) Microsoft Exchange参照してのユーザへのメール通知 管理者へ通知 GUI表示、メール通知、Syslog通知 修正/治癒 AntiVirusサービス起動・パターン更新 プロセス強制終了、レジストリ強制追加 Windows Update/Microsoft Updateの実行、適用後の再起動確認 未適用パッチへのリンク表示、バッチスクリプト実行、 外部接続デバイスの利用禁止 通信制御 バーチャルファイアウォール(TCP RSTでの通信ブロック) LAP連携 スイッチ・無線LAN連携 (C) Copyright 2016 CTCSP Corporation All rights reserved. 14 HTTPでのメッセージ レポート(PDF,CSV。定期実行&メールも可能) E-mailでの管理者への通知 ※Exchange利用時は、ユーザ名からメールアドレスを参照し、ユーザにメール送信も可能。このほかSyslog、SNMPなどを用いてイベントを送信することも可能です。SNMPトラップはポリ シーチェックイベントを送信しません。CSVレポートはUTF-8で出力されます。HTTPメッセージ、メール、PDF・CSVレポートは日本語にも対応しています。 (C) Copyright 2016 CTCSP Corporation All rights reserved. 15 バーチャルファイアウォール バーチャルファイアウォールの仕組み CTからのTCPリセットによる通信遮断! CounterACTは、RFCに基づいたリセットパケット (通信終了)を利用して通信切断を行います。 宛先・送信元IP、ポート番号で禁止可能。 既存環境やVLANに依存しない。 大幅なネットワーク構成変更が不要 スイッチ連携は必須ではない クライアント CounterACT SYN 障害ポイントにならない安全設計 導入/交換も容易 SYN+ACK ACK CounterACTに不具合 が発生しても、通信 に影響なし! アウトオブバンド型 (スパン型) (C) Copyright 2016 CTCSP Corporation All rights reserved. サーバ 通信ブロック! RST RST RST 正規の手順で、ブロック対象の通信をサーバ側で 終了させる方式のため、確実・安全に、他通信に 影響を与えることなく通信制御ができます。 16 端末をチェックし、違反を検知したらアクションを実行する流れ チェックだけでアクションをしない設定も可能 グループ毎のポリシー作成も可能 端末検知/チェック開始 30分毎 ドメイン参加 SC導入 No 即時 通信遮断 HTTPハイジャック メインポリシ− Yes 30分毎 アンチウイルス インストール No 即時 通信遮断 メッセージ表示 Yes 30分毎 アンチウイルス 稼働 即時 No 強制起動 Yes 30分毎 1日毎 アンチウイルス アップデート No 即時 No 強制アップデート No 1h後 通信遮断 メッセージ表示 1h後 通信遮断 メッセージ表示 Yes 合格! (C) Copyright 2016 CTCSP Corporation All rights reserved. サブポリシ− 17 近いセグメント内で攻撃されてしまうと。。。 CounterACT プリンター 無線AP スマートフォン タブレットPC (C) Copyright 2016 CTCSP Corporation All rights reserved. 端末情報の収集 L3スイッチのARPテーブル参照で端末認識 端末が接続されているスイッチの情報を表示 アクション スイッチのポートをリンクダウン VLANの変更(スイッチポートごと) ACL設定(Cisco, Brocade)※ バーチャルファイアウォールと、 スイッチ連携を併用した 通信ブロック例 監視ポート × ミラーリング 送信ポート 管理用ポート 対応スイッチベンダー スイッチとSNMPで連携して、 攻撃(違反)端末の Cisco Catalyst, Brocade(Foundry),Extreme Summit, HP 接続されたスイッチの ProCurve, Nortel, NEC QX, Enterasys SecureStack, Apresia, ポートをリンクダウンしたり VLAN変更が可能 Alcatel, AlaxalA, Juniper, H3C, Force10, D-Link, Hirschmann, 3com, Linksys, Dax, Dell, および Linuxベースの汎用ルータに対応(V6.3.4) その他の連携 × 無線LANコントローラ(Cisco, Aruba, Meru) VPN(Cisco, Juniper)や802.1xデバイス連携も可能 (C) Copyright 2016 CTCSP Corporation All rights reserved. 19 不正・ワーム感染デバイスの接続検知・ブロック CounterACTと連携して、端末の検知・ネットワーク接続のブロックを行う 小型アプライアンス。CounterACTの検疫範囲を広げます。 (C) Copyright 2016 CTCSP Corporation All rights reserved. 20 各拠点を始め、ブロードキャストドメインごとにNetAttest LAPを配置。 (VLANに対応している為、複数のブロードキャストドメインをLAP 1台に集約することも可能。) NetAttest LAPからの通知(認証要求)を受信できるよう、センターに認証サーバーを設置。 本社 拠点A LAP Manager WAN 広域LAN 拠点B 拠点D 拠点C (C) Copyright 2016 CTCSP Corporation All rights reserved. LAPは、端末のネットワーク接続を検 知し、認証サーバーに正/不正の判断 を問合せます。不正な端末と判断され た場合は、その端末からの通信をジャ ミング(妨害)します。 21 主要拠点、およびデータセンターにCounterACTを設置しEnterprise Manager で各CounterACTを統合管理します。 小規模拠点はソリトン製NetAttest LAPを設置し連携させることも出来ます。 Enterprise Manager IP-VPN Data Center (C) Copyright 2016 CTCSP Corporation All rights reserved. 22 管理外PCの検知・適切な対処 MACアドレス、認証有無など条件に、管理外PCを検知 管理外PCへのWebメッセージ+通信制御、管理者への通知など MACアドレスリスト保持は2種: ・ CounterACT上にMACアドレスリストを持たせる ・ 外部FTPサーバのMACアドレスリストを定期参照 正規PC MACリスト CounterACT CounterACTでのMACアドレス把握 端末のMACアドレスは、ARPやDHCPリレート ラフィックの監視、NBT(NetBIOS over TCP/IP)での参照、スイッチのARPテーブル 参照、SecureConnector、NetAttest LAPの いずれかが利用できれば、別VLANの端末で あっても参照可能です。 MACアドレスリストを 定期参照することも可能 端末 DB サーバ等 ○ MACアドレスリストに 存在するMACのPC MACアドレスリストに 存在しないMACのPC (C) Copyright 2016 CTCSP Corporation All rights reserved. 正規PC MACリスト 管理者 × 管理外PCのネットワーク利用を禁止し 管理者にメール通知 セキュリティ対策が不十分の端末に制限・修正を実施 アンチウイルス稼動状況・パターン更新 セキュリティパッチ適用・WindowsUpdate設定状況 推奨アプリケーション稼動・禁止アプリケーション稼働状況など。 CounterACT ・資産管理ソフト稼働 ・ウイルス対策ソフト稼働 ・ウイルス定義ファイル最新 をチェック。全て満たしていればOK。 資産管理ソフト稼働 アンチウイルス稼働 ウイルス定義最新 正規PC 制限無し ○ 自動修正+メッセージ表示 × 資産管理ソフト稼働 アンチウイルス稼働 ウイルス定義最新 違反PC 違反PCには、修正方法を知らせ、 修正+制限ありアップデート用通信のみを許可したり、 (C) Copyright 2016 CTCSP Corporation All rights reserved. 強制的に修正を実施(AntiVirusサービス起動、 ウイルス定義ファイルの強制アップデートな ど) マルウェアの挙動から検知する特許技術(ActiveResponse™) CounterACTがオトリ(ハニーポット/デコイ)になる手法 パターンファイルやシグネチャに依存せず新種の攻撃にも対応 (×他製品では、パターンファイル更新の度にチューニングなどのメンテナンスが大変だった) 誤検知無しで、安全な自動防御が可能 (×他製品では大量のアラートの中から攻撃を探し出し、手動でブロックするのは手間だった) (1)攻撃者からのスキャンを検知 攻撃者や ワーム感染端末 (3)擬装情報へのアクセスを攻撃者と判断。 擬装サーバ CounterACT 攻撃者や ワーム感染端末 CounterACT 守りたいネットワーク 守りたいネットワーク (2)CounterACTから擬装応答を送信。 擬装サーバ 攻撃者や ワーム感染端末 (4)攻撃者が実在の端末にアクセスすると、 攻撃セッション確立前にブロック! CounterACT CounterACT 攻撃者や ワーム感染端末 守りたいネットワーク (C) Copyright 2016 CTCSP Corporation All rights reserved. 守りたいネットワーク 25 CounterACTログ分析ツール • • (C) Copyright 2016 CTCSP Corporation All rights reserved. CounterACTの情報を元に過去履歴の確認が可能 NetAttest BigData、あるいはSplunkのAppとして提供 26 複数CounterACTの統合管理だけでなく、IPS機能での攻撃情報、 CounterACT間での検疫情報・検疫アクションの共有を行い、一元的に動作します。 攻撃情報を共有し、 他のCounterACTでも防御準備 CounterACT-B 常時情報共有 × 感染端末からの攻撃は Bだけでなく、Aでも ブロック可能。 感染端末 Enterprise Manager CounterACT-A × IP-VPN 出張などで移動したら、 移動先の担当CounterACTでチェック! SecureConnector端末が移動しても、 移動先ネットワークを担当する CounterACTで実施するように Enterprise Managerが誘導。 (C) Copyright 2016 CTCSP Corporation All rights reserved. 新規PC検知(Admission)・検疫情報・ アクションなど、EM経由で各 CounterACTと共有し、担当 CounterACTだけで実施 新規接続PC。Bで検知しても、 AのCounterACTでチェック。 27 ATD(Advanced Threat Detection)製品から 脅威情報を受け取り、CounterACTで初動対応を自動化 ③ CounterACTから 初動対応のアクション CounterACT (IOCを元に端末を検索し プロセス終了や通信制御など) ② ATD製品で検知 CounterACTに IOC通知 ① マルウェアの ダウンロード 初動対応の自動化 (C) Copyright 2016 CTCSP Corporation All rights reserved. 28 FireEyeから受領したIOCを利用 アクション実施 (C) Copyright 2016 CTCSP Corporation All rights reserved. 29 29 サイバーセキュリティ経営ガイドライン(経産省)より リーダーシップの表明と体制の構築 (1) サイバーセキュリティリスクの認識、組織全体での対応の策定 (2) サイバーセキュリティリスク管理体制の構築 サイバーセキュリティリスク管理の枠組み決定 (3) サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定 (4) サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示 (5) 系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握 リスクを踏まえた攻撃を防ぐための事前対策 インシデント初動対応の自動化 (6) サイバーセキュリティ対策のための資源(予算、人材等)確保 ・システム内部での感染端末の洗い出し ・初動対応(不審プロセス終了、通信制御等のアクション) (7) ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保 (8) 情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備 サイバー攻撃を受けた場合に備えた準備 (9) 緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施 (10) 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備 (C) Copyright 2016 CTCSP Corporation All rights reserved. P.30 30 既存検疫システムからCounterACTへ移行 1週間でハード設置完了、約3ヶ月間状態確認と検証に 検疫不具合の洗い出しと負荷状況を把握 当初始業時間から1時間、CPU負荷が100%。チューニングで約5分に。 検疫NG端末が約300台 → 3台に減少(PCの問題で交換実施) 平日昼間に本番切替。不具合対処済だったため問題なく完了。 運用負荷が大幅に軽減。 (C) Copyright 2016 CTCSP Corporation All rights reserved. 31 ウイルスの検疫専用アプライアンス(インライン型)から移行。 現状のネットワークを大きく変更せず導入が可能な点が選定ポ イント。 検疫と不正デバイスブ ロックを同時に実装するソリューションは他にない。 低コストのNetAttest LAPを分散配置してCounterACTと同等機能を実現。 2012年12月に導入決定し、2013年4月に本番稼働。 運用負担が大きく軽減された。 (C) Copyright 2016 CTCSP Corporation All rights reserved. 32 ご清聴ありがとう ございました (C) Copyright 2016 CTCSP Corporation All rights reserved. 33
© Copyright 2025 Paperzz
