cisco umbrella ご紹介資料 · cisco umbrellaによって...
TRANSCRIPT
シスコシステムズ合同会社
Jan, 2017
Cisco Umbrellaご紹介資料
2 CONFIDENTIAL
脅威のトレンドDNS の盲点:DNS を使う攻撃
セキュリティ担当者と DNS 管理者が別であることが一般的なため、攻撃者はその盲点を突いてくる
DNSの監視や適切な防御策が必須
出典:シスコセキュリティ リサーチ
再帰的DNSの
監視をしていない企業
しかし
「既知の脅威」と判断された
マルウェアの
DNS使用率
91.3% 68%
3 CONFIDENTIAL
Products & Differentiators
4 CONFIDENTIAL
Cisco Umbrellaエンフォースメントネットワークセキュリティサービスは、任意のデバイスがどこにいても保護する
Cisco UmbrellaInvestigateインテリジェンス攻撃が始まる前に、その攻撃を検知・予測する
プロダクト & テクノロジー
Cisco Umbrella
5 CONFIDENTIAL
侵害検知の新しいレイヤ
Cisco Umbrella
Threat Prevention脅威の検出だけでなく防止も行う
Turnkey & Custom API Integrations導入に向けてプロフェッショナルサービスは不要
Protects On & Off Networkオンプレミスのアプライアンスを経由するトラフィックに限定されない
Always Up to Dateアップデートを行うためにアプライアンスへVPN接続をする必要はない
Block by Domains for All Ports 80/443ポートに関連するドメイン・IPアドレスだけではない
6 CONFIDENTIAL
複数の情報源を一元化
Cisco Umbrella
Investigate
WHOIS レコードデータ
Autonomous System Number 属性
IP ジオロケーション
IP レピュテーションスコア
ドメインレピュテーションスコア
悪性ドメインとの共起
異常検出 (DGAs, FFNs)
DNSリクエスト パターン/ジオ
パッシブ DNS データベース
8 CONFIDENTIAL
INTERNET
MALWARE
C2/BOTNETS
PHISHING
AV
AV
AV AV
ROUTER/UTM
AV AV
ROUTER/UTM
SANDBOX
PROXY
NGFW
NETFLOW
AV AV
AV AV
MID LAYER
LAST LAYER
MID LAYER
LAST LAYER
MID LAYER
FIRST
LAYER
Umbrellaはインターネットとの境界線における最初のレイヤでのセキュリティを提供
Perimeter
Perimeter Perimeter
Endpoint
Endpoint
10 CONFIDENTIAL
Review DNS
11 CONFIDENTIAL
DNSリカーシブはC2コールバック・マルウェア・フィッシングを防ぐ
権威DNSDNSの分散データベースを構成するサーバ。 権威ネームサーバやコンテ
ンツサーバとも呼ばれる。
ドメイン レジストラユーザからの要求を受けて、ドメイン名を地域インターネットレジストリに
登録を行うサービス
DNSリカーシブ再帰問い合わせ(Recursive)によって
完全にDNS解決を行うDNSサーバ
12 CONFIDENTIAL
DNS is Used by Every Device on your Network
全てのOSWin, Mac, iOS, Android,
Linux, カスタマイズされたアプリケーションサーバ、IoTなど
全てのトポロジーシンプルに動作するのでお客様のLAN/WANのセットアッ
プに影響しません
全ての所有者ネットワーク上のDHCPが全ての接続されたデバイスにDNSを
指すように支持する
13 CONFIDENTIAL
だれが貴方のDNSリクエストを解決しますか?
ISP 1
mobile
carrier
ISP 2
ISP 3
ISP ?
ISP ?
ISP ?
CHALLENGES
複数のインターネットサービスプロバイダ
直接インターネットへ出るブランチ
VPN接続を忘れてしまうユーザ
異なる形式のDNSログ
外向け権威 DNS
外向けリカーシブDNS
企業AInternal InfoBlox
Appliance
企業CInternal
BIND Server
企業BInternal Windows
DNS Server
在宅勤務
ローミング
モバイル
工場
14 CONFIDENTIAL
企業AInternal InfoBlox
Appliance
企業CInternal
BIND Server
企業BInternal Windows
DNS Server
在宅勤務
ローミング
モバイル
工場
ISP 1
mobile
carrier
ISP 2
ISP 3
ISP ?
ISP ?
ISP ?
Authoritative DNS for Intranet Domains
Recursive DNS for Internet Domains
BENEFITS
グローバルインターネット接続の可視性
レイテンシーの無いネットワークセキュリティ
一貫したポリシーの実行
インターネットを横断するクラウドアプリの可視性
ISP 1
mobile
carrier
ISP 2
ISP 3
ISP ?
ISP ?
ISP ?
外向け権威 DNS
外向けリカーシブDNS
単一のグローバルなリカーシブDNSサービスを活用する
15 CONFIDENTIAL
DNSレイヤで情報を集め、セキュリティを強化する
阻止するために使う:
• 危険なシステム
• C2サーバへのコールバック• マルウェア・フィッシングトライ
• アルゴリズムで作られたドメイン
• ドメインの共起
• 新しくレジストされたドメイン
Any Device
Authoritative Logs
Recursive DNS Authoritative DNS
root
com.
domain.com.
見つけるために使う:
• 新しく準備されたインフラ
• 疑わしいドメイン・IP・ASN
• DNS ハイジャッキング
• Fast flux ドメイン
• 関連ドメイン
Request Patterns
16 CONFIDENTIAL
Internet
0
+
Webrep
Webrep
domain age: 3 mins
0
domain age: 2 mins
-domain age: 5 hours
-domain age: 2 days
ドメイン生成アルゴリズム(DGA)
URL越しのトンネリング(C&C)
DGA
C&C
DGA
DGA
DGA
C&C
攻撃者の手法: アクティブチャネル
①レピュテーションすり抜ける攻撃手法Domain Generation Algorithm(DGA)DGAは攻撃者がランダムにDomainを生成し感染した端末やメールやWebサイトから不正なリダイレクトを介して、C&Cサーバへの通信を確立しようとする手法
C&C
domain age: 4 days
17 CONFIDENTIAL
攻撃者が特定のアルゴリズム(ハッシュ値など)により、日付や入力した数値を元に自動生成されたホスト名を利用して、悪意のあるサーバ群を用意
①DGA作成のサンプル
18 CONFIDENTIAL
②レピュテーションをすり抜ける攻撃手法Fast Flux Network (FFN)/Domain Shadowing
攻撃者はBotnetを利用して、Fast-FluxはサーバのIPを次々と変化させフィッシングサイトなど不正なサイトの存在を管理者から隠す手法Domain Shadowingも同様に短時間のローテーションでサブドメインを変化させ不正なサイトの存在を管理者から隠す手法
Bad.domain.com
150.23.4.1
148.222.5.78
64.55.2.3
192.168.0.4
60.100.24.12
160.22.0.1
Fast Flux Network
Hijacked Domain
DecgDojangEasick-dksSpectabamusNiezgrabnosciaBrowserupbtionKlassikkonjnnri-photoxi
Domain Shadowing
19 CONFIDENTIAL
1日あたりのリクエスト
80Bヶ国160
1日あたりのユーザ数
65Mエンタープライズカスタマー
10K
Our View様々な データとグローバルインターネットビジビリティ
22 CONFIDENTIAL
将来を見据えた拡張性
ANY NETWORK
Routers, Wi-Fi, SDN
ANY ENDPOINT
VPN, IoE ANY TECHNOLOGY
Firewalls, Gateways
全てに開放されたSECURE APIs
SECURITY PROVIDERS
FireEye, Cisco, Check Point
NETWORK PROVIDERS
Meraki, Aruba,Aerohive
CUSTOMERS
In-houseSecurity Systems
Cisco Umbrellaは、既存製品と連動しますOur Security Platform Works With What You Have
23 CONFIDENTIAL
Threat Gridとのシームレスな連携AMP Threat Grid + Cisco Umbrella
24 CONFIDENTIAL
適合統計的解析手法
と知性
識別不正である可能性が
高いサイト
摂取1秒あたり
数百万のデータ
a.ru
b.cn
7.7.1.3
e.net
5.9.0.1
p.com/jpg
How Our Security Classification Works
27 CONFIDENTIAL
18
27
20
26
30
43
55
48
136
44
36
35
39
41
52
94
147
53
65
56
83
85
201
215
241
247
316
154
70
134
118
141
126
180
154
247
102
21
94
165
166
168
217
267
212
NORTH
AMERICA
EUROPE /
EMEA
ASIA /
APAC
LATIN
AMERICA AFRICA
CiscoUmbrella
Neustar
Dyn
Level3
Comodo
SafeDNS
OpenNIC
FreeDNS
高速なリカーシブDNSを提供Thousand Eyes Blog Post, May 2015https://blog.thousandeyes.com/comparing-latency-top-public-dns-providers/
34 CONFIDENTIAL
Coverage & Enforcement
35 CONFIDENTIAL
VIRTUAL APPLIANCEビジビリティコントロールを
したい時のベストな構成
Any Device
@ 10.1.2.2
Global Network 208.67.222.222
DNS Server
@ 10.1.0.1
Gateway
@ 8.2.0.1
DNS SERVERイントラドメインを管理する
シンプルな構成
Any Device
@ 10.1.2.2
DNS Server
@ 10.1.0.1
Global Network 208.67.222.222
Gateway
@ 8.2.0.1
No
DNS Server
DHCP SERVERイントラドメインの無い
シンプルな構成
ON-Production-NET:パブリック/インターナルのネットワークを制御する方法
Any Device
@ 10.1.2.2
Global Network 208.67.222.222
EXTERNAL DNS=
208.67.222.222
DHCP’s DNS =
10.1.0.1
DHCP’s DNS =
10.1.0.2
Cisco
Umbrella VA
@ 10.1.0.2INTERNAL DNS=
10.1.0.1
Policy for public network ID @ 8.2.0.1
no NAT or proxy
Policy for public network ID @ 8.2.0.1
Policy for internal network ID @ 10.1.2.2
Gateway
@ 8.2.0.1
DHCP’s DNS =
208.67.222.222
36 CONFIDENTIAL
簡単な導入(可視化無しの場合)
ローカルのDNSサーバ or ルーターをUmbrellaに向けるだけ!
例)ISR G2 command
37 CONFIDENTIAL
ON-Production-NET:AD User/Device/Groupによって制御する方法
VIRTUAL APPLIANCE AND CONNECTORビジビリティコントロールをしたい時のベストな構成(ADがある場合)
Any Device
@ 10.1.2.2
Global Network 208.67.222.222
DNS Server
@ 10.1.0.1
Cisco
Umbrella VA
@ 10.1.0.2
Policy for Active Directory IDs Bill, Bill’s PC, or All The Bills
AD Domain
Controller(s)
Cisco Umbrella
Connector
Cisco Umbrella
Script
Gateway
@ 8.2.0.1
Bill’s PC=10.1.2.2
Bill=10.1.2.2
device=Bill’s PC
user=Bill
38 CONFIDENTIAL
STEP 1新しいNWと連続して設定した
DNSの設定を監視
Cisco
Umbrella
Roaming
Client
Built-in OS
Operational
Parameters
Any
Running
App
Global Network 208.67.222.222
YOUR DNS SERVER
customer’s internal domain list
set DNS server to
127.0.0.1DNS server
STEP 2aCisco Umbrellaによって
インターネットドメインを解決
orSTEP 2b
既存のDNSサーバによってインターナルドメインを解決
Cisco
Umbrella
Roaming
Client
Built-in OS
Operational
Parameters
YOUR DNS SERVER
Any
Running
App
Global Network 208.67.222.222
Cisco
Umbrella
Roaming
Client
Built-in OS
Operational
Parameters
Any
Running
App
Global Network 208.67.222.222
YOUR DNS SERVER
OFF-Production-NET: DNSレイヤを制御する方法
encrypted EDNS request
w/device ID
forwards the identical DNS request
enforces security policy based on threat intel & device ID
response from your DNS server
returns IP to requested domain, block page, or proxy
DNS requests
to internaldomains START HERE!
DNS requests
to Internetdomains START HERE!
39 CONFIDENTIAL
STEP 1継続的にリストを更新し、疑わしいトラフィックを監視
STEP 2a安全な通信は直接インターネット
へルーティング
orSTEP 2b
疑わしいトラフィックはCisco Umbrellaを経由
Cisco
Umbrella
Roaming
Client
Internet
Built-in OS
Networking
Stack
Any
Running
App
Global Network 208.67.222.222
Global Network 208.67.222.222
Cisco
Umbrella
Roaming
Client
Built-in OS
Networking
Stack
Any
Running
App
Internet
Cisco
Umbrella
Roaming
Client
Built-in OS
Networking
Stack
Any
Running
App
Global Network 208.67.222.222
Internet
send suspect IPs to watch for
safe IP or URLbad IP or URL
safe traffic
OFF-Production-NET: IPレイヤを制御する方法
tunnel IP connection
if traffic destination
matches a suspect IP, we inject a route to
208.67.222.222
suspecttraffic
Cisco Umbrella’s suspect IP list
40 CONFIDENTIAL
Cisco Umbrella Roaming208.67.222.222
マルウェア
フィッシング
C2 コールバック
ブロック
Cisco Umbrella Roaming クラウドで提供するセキュリティサービス
VPNをオフにしたときの保護:追加のエージェントが不必要
可視化とポリシーの徹底:DNSレイヤーで実現
ブロック・リクエスト:不正なドメインとIPに適用
予防するインテリジェンス:現在および急進な脅威を
検出
41 CONFIDENTIAL
どのように機能するのかVPNのON/OFFともに護るセキュリティ
主な機能• VPNがオフの時やスプリット・
トンネル構成の時に保護する
• 統一ポリシーをすべてのローミング・ラップトップに展開する
• 1ブロックページをカストマイズする
• ドメイン・ホワイトリストを構成する
• ホストネームによる基本的なレポーティングをおこなう
• **AnyConnectやすべてのモ
ジュールに対する自動アップデート
本社
ローミングラップトップ
オフ・ネットワーク
オン・ネットワーク
境界防御セキュリティ
セキュリティ・サービス
42 CONFIDENTIAL
AnyConnectクライアントに統合
AnyConnect 4.3.01095
Release Note:http://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect43/release/notes/b_Release_Notes_AnyConnect_4_3.html
43 CONFIDENTIAL
Cisco Umbrella Branch
ブランチオフィスの最前線の防御策
Cisco Umbrella Branch208.67.222.222
ブランチ・ネットワーク上のデバイス
• 可視化&ポリシーをDNSレイヤで実現
• 不正ドメインや不正IPのリクエストをブロック
• ゲスト&企業従業員向けのコンテンツフィルタリング
マルウェア
C2 コールバック
フィッシング
ブロック
Cisco ISR
44 CONFIDENTIAL
Reporting & Logs
45 CONFIDENTIAL
S3 BENEFITS
3箇所で冗長・暗号化されたストレージ
SIEM/ログ解析インテグレーション
使用するストレージのみ課金
every 10min
HTTPS
pre-built
integrations
Amazon
APIs
AWSとのクラウド間ログストレージソリューション
47 CONFIDENTIAL
THREAT INTEL PLATFORMS
CUSTOM+
Indicators of
Compromise
UmbrellaEnforcement & Visibility
パートナーやカスタマイズされたシステムから送信されたログ
またはブロックドメイン
THREAT ANALYSIS & INTEL FEEDS
OTHERS+
THREAT DETECTION
OTHERS+
簡易なAPIベースのインテグレーション
48 CONFIDENTIAL
Positioning
49 CONFIDENTIAL
アーキテクチャ内の Cisco Umbrella:相乗効果
開始:アプリケーションがインターネットへの接続を試みる
利点:大部分の脅威を迅速かつ正確にブロック
結果:効率的で導入が容易な、ベストオブブリードの Web 脅威防御
DNS が URL の解決を要求する
1
DNS トラフィックが Cisco
Umbrella にリダイレクトされ
る
2
Cisco Umbrella
が要求を解決する
3
アプリケーションによる Web 要求の送信が許可
される
4
Web トラフィックがWSAを通じてリダイレクトされる
5
WSAが Web とファイルを検査する
6
Cisco Umbrella
DNS トラフィック
CiscoWSA
インターネット
その他のWeb トラフィック
50 CONFIDENTIAL
インターネット
LAN
その他全ての
トラフィック
WEBトラフィック
メールトラフィック
インターネット
その他全ての
トラフィックWEB
トラフィックメール
トラフィック
リモートアクセス
ASAIP・URL・パケットごとにインラインブロック
ESA/CES送信者・コンテンツを
ブロック
WSA/CWSURL・コンテンツをプロキシ経由でブロック
ESA/CES送信者・コンテンツを
ブロック
CWSURL・コンテンツをプロキシ経由でブロック
Cisco UmbrellaIP・URL・ドメインごとにブロック
Cisco UmbrellaIP・URL・ドメインごとにブロック
Webセキュリティや他の全ての通信の前に
52 CONFIDENTIAL
Recap DifferentiatorsNote: This is usually our first slide in intro decks
+
世界最大のセキュリティプラットフォーム
80M+疑わしいリクエストのブロック数/日
=
Cisco Umbrellaネットワーク
• 80B+ DNSリクエスト/日• 65M+ 法人・個人 ユーザ
• 100% アップタイム• 全てのポート・プロトコル・アプリに対応
ユニークな分析手法
• リサーチチーム• 自動分類• BGPピアとの関係• 3次元可視化エンジン
53 CONFIDENTIAL
インテリジェント プロキシとは?
Umbrella www.grey-site.com/grey.pdf
DNS リクエスト
インテリジェント プロキシ
ハンドル HTTP
• DNSレベルでホワイトであれば、Umbrellaは通常のDNSと同様にDNSレスポンスを返す。• DNSレベルでブラックであれば、ブロックページを返す。• DNSレベルでグレーの場合、Umbrellaが代わりにフルドメインをチェックする。
• 全ての通信をプロキシしない。キャッシュを溜めない。グレーのWebアクセスログだけ記録する。
〜グレーサイトに通信した場合〜
