Upgrade to Pro — share decks privately, control downloads, hide ads and more …

【ShowNet Stage】3DアプローチでShowNetを守るセキュリティ

【ShowNet Stage】3DアプローチでShowNetを守るセキュリティ

2024年6月に幕張メッセで実施されたInterop Tokyo ShowNetブース内ステージでのNOCチームメンバーによる講演資料

ShowNet

June 12, 2024
Tweet

More Decks by ShowNet

Other Decks in Technology

Transcript

  1. 2

  2. セキュリティ対策全体像 5 NPB バックボーン トラフィック  NGFW  IPS 

    NDR  Sandbox  Forensics NGFW + Sandbox NGFW + Sandbox TAP  SIEM  XDR  XSOAR  TIM 脅威検出アラート 脅威情報 マネジメントネットワーク セキュリティ リモートアクセスサービス 外部攻撃対象領域管理 Deception デコイ(攻撃のおとり) アラート分析・自動化 脅威検出 Script インディケータ 出展社向けセキュリティサービス 出展社ブース  SASE  ZTNA  VPNaaS  Remote Access GW  EASM  SASE 認証情報管理 被疑端末特定支援 感染端末 統合認証 ****  SSO
  3. セキュリティ対策全体像 6 NPB バックボーン トラフィック  NGFW  IPS 

    NDR  Sandbox  Forensics NGFW + Sandbox NGFW + Sandbox TAP  SIEM  XDR  XSOAR  TIM 脅威検出アラート 脅威情報 マネジメントネットワーク セキュリティ リモートアクセスサービス 外部攻撃対象領域管理 Deception デコイ(攻撃のおとり) アラート分析・自動化 脅威検出 Script インディケータ 出展社向けセキュリティサービス 出展社ブース  SASE  ZTNA  VPNaaS  Remote Access GW  EASM  SASE 認証情報管理 被疑端末特定支援 感染端末 統合認証 ****  SSO 攻撃者視点のアプローチ オペレータ視点のアプローチ 俯瞰的視点のアプローチ 回線利用者視点のアプローチ
  4. インラインファイアウォール構成 9 Palo Alto Networks PA-5445 Fortinet FortiGate 3201F Cisco

    Systems Secure Firewall 4245 Juniper Networks SRX2300 インターネット クラウドサンドボックスと連携 クラウドサンドボックスと連携 FortiNDR WildFire Secure Malware Analytics ATP Cloud 出展社 ホール2・4 出展社 ホール3 出展社 ホール5 出展社 ホール6
  5. 脅威検出とアラート分析対処 12 複製 • 監視すべき接続ポイントに光TAPを配置 集約 • 複製トラフィックを集約 処理 •

    パケットブローカで重複排除やパケット処理 分配 • 多種多様のアプライアンスに分配 検知 • アプライアンスで脅威を検知 集約 • 膨大な検知アラートを集約 分析 • アラートを分析し、要対処インシデントを検出 ト ラ フ ィ ッ ク 処 理 ア ラ ー ト 処 理
  6. トラフィック複製 Passive TAP TX RX TX RX TX TX A

    B A B FlexTap 11箇所のリンクに光TAPを接続
  7. トラフィック集約 / 処理 / 分配 14 Vision400 VisionE100 Profitap PA-5450

    FG3201F FortiNDR FortiNDR Cloud ISNG9895 w/ OCI CheckPoint ArborEdgeDefense NIRVANA改 Synesis TAP dedup trimming 脅威検出 ネットワークフォレンジック DDoS攻撃検知 可視化 処理済み トラフィック 複製 トラフィック Secure Network Analytics
  8. アラート検知 / 集約 / 分析 15 Cortex XDR / XSOAR

    NIRVANA改 Splunk Enterprise Security 脅威アラート 集約 PacketMaster 脅威アラート 分配 脅威検出機器群 SIEM / XDR オペレータ 対処が必要な インシデントを確認
  9. 終端装置 5種のサービスを運用 19 Duo SAML IdP Device Posture TTDB SAML

    IdP SP SP 2FA 管理ネットワーク Prisma Access SMART Gateway Keeper Connection Manager Cisco Secure Access FortiSASE リモートアクセスサービス  SSO  利用者情報 AnyConnect FortiClient GlobalProtect Agent Free Agent Free SASE SASE ZTNA Remote Desktop Remote Desktop pa3440.sec fg901g.sec c8500.svc smart-gw.sec keeper-cm.sec VPNaaS The Internet
  10. ZTNAとVPNaaS 21 HTTPS HTTPS ポスチャチェック + 認可 ポスチャチェック + 認可

    Device1 Device2 IPsec IPsec TLS ポスチャチェック + 認可 ZTNA:セッションごとにポスチャチェックと認可を実施 VPNaaS:トンネル接続時にポスチャチェックと認可を実施 Device1 Device2
  11. 管理用ネットワークのセキュリティ マネジメントネットワークからのインターネットアクセスを制御 SASEを用いることでセキュアなインターネット接続をクイックに提供 SASEのセキュリティコンポーネントで悪性通信を検出 管理ネットワーク ShowNet構成機器 Umbrella Secure Internet Gateway

    C8500 The Internet CDF/IPS SWG アセット情報ベースで アクセス制御 TTDB asset 参照 Anti-malware TI TTDB/SD-WAN Connector Catalyst SD-WAN API DNS Security Internet OK Internet NG Internet OK - switch X - server Z Internet NG - router Y Internet OK
  12. 外部攻撃対象領域管理(EASM) 26 Cortex Xpanse Pentera Surface Tenable ASM ULRTA RED

    ネットde診断 OSINT Exploit PortScan ・・・ EASMサービス 攻撃可能な領域を通知 VulnScan 対処 オペレータ ShowNetに設置したデコイを含めた 攻撃対象領域を様々なEASM製品で管理 攻撃可能な領域を検出 深刻な攻撃対象が検出された 場合は是正対処を実施 様々なアプローチで検出 ShowNetのドメイン / IPアドレスを登録
  13. 攻撃の顕在化 27 受けた攻撃をレポート  RedHat  macOS  IoT (ルーター)

     IoT (スイッチ)  IoT (プリンター)  IoT (IPカメラ)  SAP  VoIP (4G/5G)  Webmin  Citrix ShowNetで稼働するデコイ 攻撃者の行動を監視 攻撃者 攻撃 ShowNetオペレータ ShowNetの潜在的な 攻撃リスクを認識 FortiGate901G FWと連携して攻撃者を隔離
  14. 認証情報管理 Keeper Password ManagerによりShowNetを 構成する全ての機器の認証情報を管理 認証情報の共有  個人から個人へ共有  NOCから全員へ共有

     NOCからコントリビュータ、NOCからSTMへ共有 権限管理  チームで権限を管理  指定条件によりBotがチームを自動割り当て 利便性向上  ブラウザ拡張機能サポート  フォームへの自動入力 29 NOC Team Contributor Team STM Team **** Write Read Read NOC→全員 共有ボルト User B **** Write Read 個人→個人 共有ボルト User A NOC Team STM Team Contributor Team STM Activate 条件により Botがチームを 自動割り当て User A **** 個人用ボルト