Post on 23-Jan-2018
| 1 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
Inn
ova
tio
n-L
ead
ing
Co
mp
any
情報戦のサイバー攻撃にどう挑むのか?
アルゴリズムによるハンティング手法のご紹介
2017年08月24日
日商エレクトロニクス株式会社
ネットワーク&セキュリティ事業本部
坂口 武生,CISSP
©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
| 2 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
サイバー攻撃ソリューションのトレンド
ビックデータの限界
本当のインテリジェンスとは?
Vectra Networksのご紹介
何ができるのか?
どこに設置するのか?
何がインテリジェンスなのか?
日本での導入事例
今後の展開
目次
| 3 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
サイバー攻撃ソリューションのトレンド
DDoS IoT Bot
Malware Ransomware
SSL/TLS Encryption
Cloud
Risk CASB
| 4 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
アクティブディフェンス/侵入させない
ダメージコントロール/侵入されても早期封じ込め
サイバーレジリエンス/自動回復
サイバー攻撃ソリューションのトレンド
| 5 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
ビックデータの限界
サイバーセキュリティはビックデータ化(情報爆発)
脆弱性/脅威、セキュリティ情報が有象無象
アラート/インシデントが乱発
政府
研究
機関
ベンダー 専門家
海外
| 6 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
ビックデータの限界
ベンダーによっての得手不得手がある
カテゴリ(Web、Mail、Endpoit etc)
情報ソース(国・地域 etc)
脅威の重み付け(独自ルール)
既知から未知を類推の手法
情報量に依存
全ての脆弱性に対応することは不可能
脅威インテリジェンスの限界
| 7 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
本当のインテリジェンスとは?
脅威インテリジェンスでいいのか?
情報量とそれを分析する能力に依存(Big Data/AI)
ベンダーへの傾倒になってしまう
そもそも何が知りたいのか?
攻撃名(WannaCry、Petya etc) No!!
攻撃内容、世の中の被害状況 No!!
インテリジェンスの再定義
| 8 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
本当のインテリジェンスとは?
イタチごっこからの脱却
脆弱性や攻撃ツールはあまたあるが攻撃手法は?
何が重要なのか?
5W1Hは?
いつ?(when)、どこで/どのホストが?(Where)、
だれが/どこから?(Who)、なにを/トリガーは?(What)
なぜ/発症原因は?(Why)、どのように/状態は?(How)
インテリジェンスの再定義
| 9 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
Vectra Networksのご紹介
Automated Threat Management in Real Time
©2016 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
| 10 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
何ができるのか?
| 11 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
何ができるのか?
Automation Simplicity
Continuous Monitoring
Real-time Detection
Easy Deployment
Prioritized Contextual
Results
All packets
N-S, E-W traffic
Any OS, app, device
No signatures
No rules
No configuration
Behavioral
Machine learning
Data Science
Prioritized by risk
Correlated by host
Insight into attack
| 12 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
どこに設置するのか?
| 13 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
何がインテリジェンスなのか?
攻撃を受けているデバイスを特定
感染拡大を防ぐ
縦方向・横方向の両通信を捕獲(デバイス間通信を捕獲)
全てのパケットを対象(Any OS, App, Device)
アルゴリズムで自動検出
Machine learning
Data Science
| 14 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
何がインテリジェンスなのか?
攻撃テクニックの特徴点を捉まえる
(e.g. Ransomware)
Outbound Port Sweep
Port Sweep
Internal Darknet Scan
Automated Replication
File activity
File Share enumeration
Suspicious Remote Execution
| 15 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
Threat Certainty Index
| 16 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
Host Details view
| 17 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
Exfiltration detection – Data smuggler
| 18 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
Dashboard View
| 19 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
日本での導入事例
インシデントハンドリングの時短化
インシデントが爆発的に増加し、トリアージが難しい
※SIEMの限界
新しい脅威に関してセンサー追加?エンドレス
※SIEMの限界
SIEM基盤の有効活用&強化
CEFでトラフィックベースの脅威情報を相関対象
初動のサジェスションをVectra Networksで行う
※共存共栄
| 20 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
今後の展開
サイバー攻撃への
効果的な対処方法を
開発
日本独自の
脅威情報を広く共有
メイドインジャパンの
サイバーセキュリティ
対策製品提供
| 21 | ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED. ©2017 NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.
ご清聴頂きまして有難うございます。
ブース出展しておりますので お立ち寄り下さい。
cyber_security@nissho-ele.co.jp お問い合わせ
©20xx NISSHO ELECTRONICS CORPORATION ALL RIGHTS RESERVED.