Upgrade to Pro — share decks privately, control downloads, hide ads and more …

【shownet.conf_2023】ShowNetを守るセキュリティ〜広帯域化するネットワー...

ShowNet
October 02, 2023

 【shownet.conf_2023】ShowNetを守るセキュリティ〜広帯域化するネットワークを守る新たな挑戦〜

shownet.conf_ での講演資料(セキュリティ)

ShowNet

October 02, 2023
Tweet

More Decks by ShowNet

Other Decks in Technology

Transcript

  1. アジェンダ 昨今のセキュリティの脅威 ShowNetにおける課題 広域化するバックボーンネットワーク ShowNetにおけるセキュリティの課題 ShowNetにおけるセキュリティ対策 ShowNet 2023 セキュリティのテーマ 出展社へのセキュリティサービス

    ShowNet全体のセキュリティ監視 セキュアオペレーション まとめと今後の展望 • ShowNetトラフィックの集約と分配 • 多種多様のセキュリティアプライアンスによ る脅威検出 • SIEM / XDRによるアラート分析 • インテリジェンス駆動型のセキュリティオペ レーション • 外部攻撃対象領域管理(EASM) • 攻撃の顕在化 • オペレータ向けリモートアクセスサービス • マネジメントネットワークのセキュリティ • パスワードマネージャの運用 • 生活用ネットワークのセキュリティ
  2. セキュリティ対策全体像 12 NPB バックボーン トラフィック  NGFW  IPS 

    NDR  Forensics NGFW + Sandbox NGFW + Sandbox TAP  SIEM  XDR  XSOAR  TIM 脅威検出アラート 脅威情報 マネジメントネットワーク セキュリティ リモートアクセスサービス 外部攻撃対象領域管理 Deception デコイ(攻撃のおとり) アラート分析・自動化 脅威検出 Script インディケータ 出展社向けセキュリティサービス 出展社ブース  SASE  ZTNA  Remote Access GW  EASM  SASE 生活用ネットワークセキュリティ 感染端末
  3. セキュリティ対策全体像 13 NPB バックボーン トラフィック  NGFW  IPS 

    NDR  Forensics NGFW + Sandbox NGFW + Sandbox TAP  SIEM  XDR  XSOAR  TIM 脅威検出アラート 脅威情報 マネジメントネットワーク セキュリティ リモートアクセスサービス 外部攻撃対象領域管理 Deception デコイ(攻撃のおとり) アラート分析・自動化 脅威検出 Script インディケータ 出展社向けセキュリティサービス 出展社ブース  SASE  ZTNA  Remote Access GW  EASM  SASE 生活用ネットワークセキュリティ 感染端末 ShowNet全体を守るセキュリティ 出展社を守るセキュリティ セキュアなオペレーションを 実現するセキュリティ
  4. Palo Alto Networks PA-5430 Fortinet FortiGate 4801F インラインファイアウォール構成 18 Palo

    Alto Networks PA-5430 Fortinet FortiGate 4801F インターネット FortiSandbox WildFire クラウドサンドボックスと連携 クラウドサンドボックスと連携 出展社 ホール4・5 など 出展社 ホール6・7 など 出展社収容ルータ mx10004, ne8000m4-2
  5. 多種多様のセキュリティアプライアンスによる脅威検出 vision400 agg-c32 omnia120 PA-5450 FortiGate4801F FortiNDR SRX380 ISNG9895 w/

    OCI CheckPoint ArborEdgeDefense NIRVANA改 Synesis 複製トラフィック 検出アラート SIEM / XDR TAP dedup stripping 脅威検出 ネットワークフォレンジック DDoS攻撃検知 トラフィック、アラート可視化 25
  6. NPB構成 2 3 5 6 n TAP vision400.sec omnia120.sec pa5450.sec

    isng9895.sec aed.sec srx380.sec fgt4801f-1.noc fdr3500f.sec synesis.sec 400G-FR4 100G-LR4 10G-LR cp-mho140.sec cp-sg16khs-1 cp-sg16khs-2 cp-sg16khs-3 nirvana-sensor01.sec nirvana-sensor02.sec インラインFW用の FortiGateと同一筐体 100G-SR4 10G-SR pm-ex5-1-traffic.mon 10G-T 100G-DAC 3rd party optics 9 10 sys-6028r-wtr.moip (KAIT TrafficMonitor) QSFP-DD x16 SFP56 x24 agg-c32.sec A B A B dedup QSFP28 x32 7 8 flowinspector100g.mon メディコン 100G-CWDM4 A B 1 4 Packet Trimming SFP+ x48 QSFP28 x4 flowmon-probe.mon P25 P26 P27 P28 P29 P30 P31 P32 P33 P34 P35 P36 P37 P38 P39 P40 P01 P02 P03 C1 C2 C3 C4 C5 C6 C7 C8 C9 C1 C2 C3 X1 X2 X3 X4 X5 X6 X7 X8 ラックまたぎ xg-0-50 xg-1-13 xg-3 xg-0-0-16 xg-2-3 xg-1 xg-2 xg-2 hg-1-56-1 hg-1 hg-1 hg-1 hg-1 hg-1-49-1 hg-1-50-1 hg-1-51-1 xg-0-0 xg-0-1 not multicast
  7. 検出アラート 検出アラート件数(脅威検出アラートのみを集計) 検出アラート抜粋 Zyxel Firewallのコマンドインジェクションの脆弱性 (CVE-2023-28771) • 本脆弱性を悪用するDDoSボットネットによる活動が5月末から観測されている • POCが公開されており、ホットステージ期間中にCISAのKEVカタログにも追加された

    • (参考)Fortinet様の解析レポート https://www.fortinet.com/blog/threat-research/ddos-botnets-target-zyxel-vulnerability-cve-2023-28771 従来から大量に検出される脆弱性スキャン • SIP VoIP/PBX のスキャン • RPC Portmapper DUMP のスキャン • Metasploit による VxWorks WDB エージェントのスキャン 29 6月14日 6月15日 6月16日 会期合計 2,634,343 4,553,739 1,736,846 8,924,928
  8. DoS攻撃の傾向 30 # 国名 ホスト数 1 中国 707 2 米国

    633 3 ニュージーランド 66 4 ドイツ 42 5 韓国 19 6 英国 17 7 香港 17 8 ロシア 16 9 日本 16 10 インド 16 送信元ホスト数(上位10ヶ国) # 攻撃種別 件数 1 TCP SYN Flood Detection 801 2 Invalid Packets 702 3 Block Malformed DNS Traffic 83 4 Malformed HTTP Filtering 26 5 Invalid Packets, Malformed HTTP Filtering 13 攻撃種別件数(上位5種) ※ 1分未満、10パケット未満の検出イベントは除外 # ポート 件数 1 6379/tcp 707 2 80/tcp 633 3 53/udp 66 4 22/tcp 19 5 443/tcp 17 宛先ポート別件数(上位10ヶ国) 通信量 [Mbps] 件数 1 Mbps 未満 1,646 1〜2 Mbps 1 2〜3 Mbps 3 3 Mbps 以上 2 攻撃の通信量 3.4 Mbps 1.2 Gbps Redis
  9. リモートアクセス構成 36 Duo SAML ShowNet IdP Device Posture Global Protect

    FortiClient TTDB SAML IdP SP SP SP 2FA SP SP pa3250 SMART-GW mgmt ShowNet構成機器 Prisma Access FortiGate Access Proxy fg600f Keeper Connection Manager
  10. セキュリティ対策全体像 43 NPB バックボーン トラフィック  NGFW  IPS 

    NDR  Forensics NGFW + Sandbox NGFW + Sandbox TAP  SIEM  XDR  XSOAR  TIM 脅威検出アラート 脅威情報 マネジメントネットワーク セキュリティ リモートアクセスサービス 外部攻撃対象領域管理 Deception デコイ(攻撃のおとり) アラート分析・自動化 脅威検出 Script インディケータ 出展社向けセキュリティサービス 出展社ブース  SASE  ZTNA  Remote Access GW  EASM  SASE 生活用ネットワークセキュリティ 感染端末