ネットワークとエンドポイント両面から...
TRANSCRIPT
![Page 1: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/1.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
2018年10月5日
NTTセキュリティ・ジャパン株式会社
柴田 龍平, CISSP
ネットワークとエンドポイント両面から見るサイバー攻撃 ~高機能エンドポイントセキュリティ(EDR)は必要か~
![Page 2: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/2.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
“今どき” のサイバー攻撃に対する EDRの有効性と SOCを使う利点をご紹介します
![Page 3: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/3.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
今どきのサイバー攻撃
ファイルレス マルウェア
攻撃のHTTPS化
執拗な標的型攻撃
![Page 4: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/4.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
今やアンチウイルスの検知率はとても低い
4
4種のアンチウイルスの いずれかで検知
4種とも検知せず
86%
14%
![Page 5: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/5.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
Sand box
Proxy +SIEM
IPS
攻撃フェーズの一例とネットワーク監視
1. 悪性スクリプト(圧縮)付きメールの受信
2. 添付ファイルのデスクトップへの展開
3. 悪性スクリプトの実行
4. マルウェアダウンロード
5. マルウェアのインストール
6. 潜伏
7. 感染後活動
![Page 6: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/6.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
Sand box
Proxy +SIEM
IPS
攻撃フェーズの一例とネットワーク監視
1. 悪性スクリプト(圧縮)付きメールの受信
2. 添付ファイルのデスクトップへの展開
3. 悪性スクリプトの実行
4. マルウェアダウンロード
5. マルウェアのインストール
6. 潜伏
7. 感染後活動
ネットワークでは そもそも見えない
痕跡も多い
![Page 7: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/7.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
Sand box
Proxy +SIEM
IPS
攻撃フェーズの一例とネットワーク監視
1. 悪性スクリプト(圧縮)付きメールの受信
2. 添付ファイルのデスクトップへの展開
3. 悪性スクリプトの実行
4. マルウェアダウンロード
5. マルウェアのインストール
6. 潜伏
7. 感染後活動
通信の暗号化により 検知できないことも
![Page 8: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/8.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
ネットワーク監視とEDRの違い
ファイルレス
暗号化通信
Mobile
端末上の脅威をネットワーク上で 間接的に捉えていることによる限界
![Page 9: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/9.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
ネットワーク監視とEDRの違い
ファイルレス
暗号化通信 Mobile
ネットワーク上ではなく端末の挙動から 直接脅威を見つけ出す
![Page 10: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/10.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
EDRを効果的に運用するために やらなきゃいけない3つのポイント
![Page 11: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/11.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
隠れた脅威の発見
11
様々なIOCを活用して 攻撃者の残す痕跡をより確実に捉える
マルウェア そのものを検知
EDR
他のプロセスへの攻撃挙動を検知
通常の利用では発生しないファイルの作成など不審な動作を検知
![Page 12: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/12.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
網羅的な調査
12
脅威の全体像を明らかにすることで 「対処したつもり」を防ぐ
感染PC
攻撃者サーバ
① ②
③
① メール添付の 悪性スクリプトを実行
② 攻撃者サーバから マルウェアをダウンロード
③ 他のホストへの横展開
![Page 13: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/13.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
即時の封じ込め
13
被害範囲を最小限にするために 感染した端末は即時封じ込める
感染PC
攻撃者サーバ EDRの機能により リモートから端末を封じ込め
![Page 14: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/14.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
WideAngleにおけるSOCでの取組
![Page 15: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/15.jpg)
Copyright © NTT Communications Corporation. All rights reserved. 15
WideAngle Managed Security Services
![Page 16: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/16.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
リアルタイム分析の全体像と仕組み
16
アナリストが独自の分析システムを活用し 高精度な脅威通知を実現
ログ お客様
カスタムシグネチャ・IOC
チューニング
ブラックリスト
ロジック
アナリスト
外部 情報
セキュリティ 機器
SIEM
![Page 17: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/17.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
US
分析と一体化したリサーチ体制
アナリストが交代で脅威をリサーチ さらに、各国のアナリストとも連携
日本
海外
情報交換
Sweden Norway
リアルタイム分析 バックヤード業務 (分析支援 + リサーチなど)
・・・
日ごとに交代
![Page 18: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/18.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
(再掲)EDRを効果的に運用するために必要な3つのポイント
18
• 隠れた脅威の発見
• 網羅的な調査
• 即時の封じ込め
![Page 19: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/19.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
例)EDR-NCS_Suspicious_Wscript_Exec
SOCアナリスト EDR Manager
カスタムIOCの配信
独自リサーチに基づくカスタムIOCにより ComのEDRでしか見えない脅威を29.6%発見
C:¥Windows¥System32¥wscript.exe "C:¥ProgramData¥******¥calc.txt" "diekd9ikeu8dlediee93j"
カスタムIOCを用いた端末側でのアノマリ検知
![Page 20: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/20.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
高度な相関分析に基づくレポーティング
EDRのログと NWなどの周辺ログ との突合により 攻撃の全体像を調査 攻撃の全体像と 具体的な推奨対策を 報告
![Page 21: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/21.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
24時間365日SOCからリモートでの隔離
感染PC
IDS
EDR
① ②
SOCアナリスト
④
⑤b
お客様
③
① マルウェアの感染後通信をIDSで検知
② アナリストによる調査
③ マルウェア感染を報告
④ SOCから隔離代行処理を実行
⑤ a: ネットワークで遮断 b: 端末隔離
お客様へのインシデント報告と連動して SOCからの迅速な隔離を実施
感染後通信
⑤a
![Page 22: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/22.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
まとめ
![Page 23: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/23.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
• 隠れた脅威の発見 カスタムIOCを用いた端末側でのアノマリ検知
• 網羅的な調査 高度な相関分析(EDR+NW等)に基づく
レポーティング
• 即時の封じ込め 24時間365日SOCからリモートでの隔離
![Page 24: ネットワークとエンドポイント両面から 見るサイバー攻撃24時間365日socからリモートでの隔離 感染pc ids edr ① ② socアナリスト ④ ⑤b](https://reader034.vdocuments.site/reader034/viewer/2022042307/5ed2e1ce4768b17a677424fa/html5/thumbnails/24.jpg)
Copyright © NTT Communications Corporation. All rights reserved.
本セミナーでご紹介しましたのは 「総合リスクマネジメントサービス WideAngle」です。 ぜひ展示エリアまでお越しください。
印の場所に展示しています。
ご清聴ありがとうございました。