Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【shownet.conf_2023】ShowNetを守るセキュリティ〜広帯域化するネットワー...
Search
ShowNet
PRO
October 02, 2023
Technology
0
2.7k
【shownet.conf_2023】ShowNetを守るセキュリティ〜広帯域化するネットワークを守る新たな挑戦〜
shownet.conf_ での講演資料(セキュリティ)
ShowNet
PRO
October 02, 2023
Tweet
Share
More Decks by ShowNet
See All by ShowNet
【shownet.conf_】ShowNet 2024 ~ Inter * Network ~
shownet
PRO
0
970
【shownet.conf_】ShowNet伝送改めShowNet APN 2024
shownet
PRO
0
810
【shownet.conf_】コンピューティング資源を統合した分散コンテナ基盤の進化
shownet
PRO
0
770
【shownet.conf_】ShowNet x 宇宙ネットワーク
shownet
PRO
0
730
【shownet.conf_】多様化するネットワーク環境を柔軟に統合するルーティングテクノロジー
shownet
PRO
0
710
【shownet.conf_】3Dアプローチで守るセキュリティ
shownet
PRO
0
710
【shownet.conf_】トポロジ図の歩き方
shownet
PRO
0
960
【shownet.conf_】AI技術とUX監視の応用でShowNetの基盤を支えるモニタリングシステム
shownet
PRO
0
710
【shownet.conf_】ローカル5Gを活用したウォーキングツアーの体感向上
shownet
PRO
0
660
Other Decks in Technology
See All in Technology
Amazon Kendra GenAI Index 登場でどう変わる? 評価から学ぶ最適なRAG構成
naoki_0531
0
140
組織に自動テストを書く文化を根付かせる戦略(2024冬版) / Building Automated Test Culture 2024 Winter Edition
twada
PRO
18
5.7k
日本版とグローバル版のモバイルアプリ統合の開発の裏側と今後の展望
miichan
1
140
PHP ユーザのための OpenTelemetry 入門 / phpcon2024-opentelemetry
shin1x1
3
1.5k
サーバーなしでWordPress運用、できますよ。
sogaoh
PRO
0
130
20241218_今年はSLI/SLOの導入を頑張ってました!
zepprix
0
180
1等無人航空機操縦士一発試験 合格までの道のり ドローンミートアップ@大阪 2024/12/18
excdinc
0
180
事業貢献を考えるための技術改善の目標設計と改善実績 / Targeted design of technical improvements to consider business contribution and improvement performance
oomatomo
0
160
How to be an AWS Community Builder | 君もAWS Community Builderになろう!〜2024 冬 CB募集直前対策編?!〜
coosuke
PRO
2
2.9k
多様なメトリックとシステムの健全性維持
masaaki_k
0
120
小学3年生夏休みの自由研究「夏休みに Copilot で遊んでみた」
taichinakamura
0
190
能動的ドメイン名ライフサイクル管理のすゝめ / Practice on Active Domain Name Lifecycle Management
nttcom
0
260
Featured
See All Featured
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
Statistics for Hackers
jakevdp
796
220k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
How to train your dragon (web standard)
notwaldorf
88
5.7k
How to Ace a Technical Interview
jacobian
276
23k
Being A Developer After 40
akosma
88
590k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
95
17k
Building a Scalable Design System with Sketch
lauravandoore
460
33k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
48
2.2k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
120k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
Transcript
shownet.conf_ 【01-06】 ShowNetを守るセキュリティ 〜広帯域化するネットワークを守る新たな挑戦〜 ShowNet NOC チームメンバー 神宮 真人
アジェンダ 昨今のセキュリティの脅威 ShowNetにおける課題 広域化するバックボーンネットワーク ShowNetにおけるセキュリティの課題 ShowNetにおけるセキュリティ対策 ShowNet 2023 セキュリティのテーマ 出展社へのセキュリティサービス
ShowNet全体のセキュリティ監視 セキュアオペレーション まとめと今後の展望 • ShowNetトラフィックの集約と分配 • 多種多様のセキュリティアプライアンスによ る脅威検出 • SIEM / XDRによるアラート分析 • インテリジェンス駆動型のセキュリティオペ レーション • 外部攻撃対象領域管理(EASM) • 攻撃の顕在化 • オペレータ向けリモートアクセスサービス • マネジメントネットワークのセキュリティ • パスワードマネージャの運用 • 生活用ネットワークのセキュリティ
昨今のセキュリティの脅威
昨今の脅威 直近の主なインシデント事例 【脆弱性悪用】政府組織における電子 メール関連システムの脆弱性を悪用され たメール流出 【ランサムウェア】港の管理システムに おけるランサムウェア感染によるシステ ム障害 【IoT機器】機器の管理不備による河川 監視カメラへの不正アクセス
【DDoS攻撃】渋谷区公式サイトにおけ るDDoS攻撃を起因とする閲覧障害 4 出典: 「情報セキュリティ10大脅威 2023」, IPA, https://www.ipa.go.jp/security/10threats/ps6vr70000009r3z-att/setsumei_2023_soshiki.pdf
必要とされるセキュリティ対策 脅威を検出、対処できる体制の構築 ネットワーク/サーバ/クライアントへのセキュリティ対策 セキュリティポリシの統一 パスワードの管理・認証の強化 脆弱性の管理 攻撃対象領域の管理 5
ShowNetにおける課題
広帯域化するバックボーンネットワーク 通信事業者やデータセンターのバックボーンでは 400G / 800G が あたりまえの時代に 広帯域化するネットワークでもセキュリティ対策は必要 広帯域化するネットワークを守るための技術や セキュリティ製品が登場
7
ShowNetにおけるセキュリティの課題 出展社ごとの需要に対して柔軟に対応する必要がある 短期間ゆえのセキュリティ対策の抜け漏れ 非常に膨大な数のセキュリティアラート 様々なバックグラウンドをもつオペレータが参集するためセキュリ ティポリシの統一が困難 遠隔地からの安全なオペレーションの必要性 機器を設定するための管理ネットワークを早急に構築する必要がある 大人数のオペレータへの認証情報(パスワード)の共有 8
ShowNetにおけるセキュリティの課題 出展社ごとの需要に対して柔軟に対応する必要がある 短期間ゆえのセキュリティ対策の抜け漏れ 非常に膨大な数のセキュリティアラート 様々なバックグラウンドをもつオペレータが参集するためセキュリ ティポリシの統一が困難 遠隔地からの安全なオペレーションの必要性 機器を設定するための管理ネットワークを早急に構築する必要がある 大人数のオペレータへの認証情報(パスワード)の共有 9
ShowNetにおける セキュリティ対策
今年のテーマ 広帯域化するネットワークを守る新たな挑戦 ついに来た!400G対応NGFWの時代 400Gパケットブローカーが拓く広帯域ネットワーク時代のSOC基盤 セキュアなオペレーションを実現する多様なリモートアクセスサービス インテリジェンス駆動型のセキュリティオペレーション 11
セキュリティ対策全体像 12 NPB バックボーン トラフィック NGFW IPS
NDR Forensics NGFW + Sandbox NGFW + Sandbox TAP SIEM XDR XSOAR TIM 脅威検出アラート 脅威情報 マネジメントネットワーク セキュリティ リモートアクセスサービス 外部攻撃対象領域管理 Deception デコイ(攻撃のおとり) アラート分析・自動化 脅威検出 Script インディケータ 出展社向けセキュリティサービス 出展社ブース SASE ZTNA Remote Access GW EASM SASE 生活用ネットワークセキュリティ 感染端末
セキュリティ対策全体像 13 NPB バックボーン トラフィック NGFW IPS
NDR Forensics NGFW + Sandbox NGFW + Sandbox TAP SIEM XDR XSOAR TIM 脅威検出アラート 脅威情報 マネジメントネットワーク セキュリティ リモートアクセスサービス 外部攻撃対象領域管理 Deception デコイ(攻撃のおとり) アラート分析・自動化 脅威検出 Script インディケータ 出展社向けセキュリティサービス 出展社ブース SASE ZTNA Remote Access GW EASM SASE 生活用ネットワークセキュリティ 感染端末 ShowNet全体を守るセキュリティ 出展社を守るセキュリティ セキュアなオペレーションを 実現するセキュリティ
ShowNet 2023 トポロジー図 14
ShowNet 2023 トポロジー図 15
出展社への セキュリティサービス
出展社へのセキュリティサービス ShowNetでは、出展社ブースでのデモンストレーション等 のために、インターネット接続を提供している インターネット接続を安心して使っていただくため、希望 する出展社はセキュリティサービスを利用可能 17
Palo Alto Networks PA-5430 Fortinet FortiGate 4801F インラインファイアウォール構成 18 Palo
Alto Networks PA-5430 Fortinet FortiGate 4801F インターネット FortiSandbox WildFire クラウドサンドボックスと連携 クラウドサンドボックスと連携 出展社 ホール4・5 など 出展社 ホール6・7 など 出展社収容ルータ mx10004, ne8000m4-2
セキュリティサービス実施内容 以下のセキュリティサービスを通信経路上で有効化し、リ アルタイムに悪性通信をブロック アンチウィルス サンドボックス Webフィルタリング アプリケーション識別 IPS 今年は最大で400Gbpsのインターフェイスを持つNGFW装置 をご提供いただき、広帯域化するバックボーンネットワー
クの上で高速なセキュリティサービスを実現 19
セキュリティサービスの検証 ShowNetで提供するネットワークは、アドレス種別(プライベート/グ ローバル)やセキュリティサービスの有効/無効、通るべきインライ ンファイアウォールの機器など、ネットワークごとに異なる要件を もつ これらの要件をすべてのネットワークが満たしているかを確認する ために、ShowNet Team Member(STM)やテスターによる確認に加え、 専用のテストツールを開発し、サービス提供開始前に検証している
20
セキュリティサービス運用結果 セキュリティサービス有効:199ドロップ(約82%) 検出アラート アラート全体数:489,496件 ブロックした通信:8,271件 • テスター機器からの通信以外でHigh以上のアラートは0件 21 Hall 4
Hall 5 Hall 6 Hall 7 合計 有効 48 73 54 24 199 無効 16 12 13 4 45 合計 64 85 67 28 244
ShowNet全体の セキュリティ監視
ShowNet全体のセキュリティ監視 ShowNetバックボーンを流れるトラフィックを複製 トラフィックを集約し、重複排除 多種多様のセキュリティ機器に分配し、脅威を検出 検出されたアラートを集約、分析 23
ShowNetトラフィックの集約と分配 Passive TAP TX RX TX RX TX TX A
B A B TAP接続場所 FlexTap 24
多種多様のセキュリティアプライアンスによる脅威検出 vision400 agg-c32 omnia120 PA-5450 FortiGate4801F FortiNDR SRX380 ISNG9895 w/
OCI CheckPoint ArborEdgeDefense NIRVANA改 Synesis 複製トラフィック 検出アラート SIEM / XDR TAP dedup stripping 脅威検出 ネットワークフォレンジック DDoS攻撃検知 トラフィック、アラート可視化 25
NPB構成 2 3 5 6 n TAP vision400.sec omnia120.sec pa5450.sec
isng9895.sec aed.sec srx380.sec fgt4801f-1.noc fdr3500f.sec synesis.sec 400G-FR4 100G-LR4 10G-LR cp-mho140.sec cp-sg16khs-1 cp-sg16khs-2 cp-sg16khs-3 nirvana-sensor01.sec nirvana-sensor02.sec インラインFW用の FortiGateと同一筐体 100G-SR4 10G-SR pm-ex5-1-traffic.mon 10G-T 100G-DAC 3rd party optics 9 10 sys-6028r-wtr.moip (KAIT TrafficMonitor) QSFP-DD x16 SFP56 x24 agg-c32.sec A B A B dedup QSFP28 x32 7 8 flowinspector100g.mon メディコン 100G-CWDM4 A B 1 4 Packet Trimming SFP+ x48 QSFP28 x4 flowmon-probe.mon P25 P26 P27 P28 P29 P30 P31 P32 P33 P34 P35 P36 P37 P38 P39 P40 P01 P02 P03 C1 C2 C3 C4 C5 C6 C7 C8 C9 C1 C2 C3 X1 X2 X3 X4 X5 X6 X7 X8 ラックまたぎ xg-0-50 xg-1-13 xg-3 xg-0-0-16 xg-2-3 xg-1 xg-2 xg-2 hg-1-56-1 hg-1 hg-1 hg-1 hg-1 hg-1-49-1 hg-1-50-1 hg-1-51-1 xg-0-0 xg-0-1 not multicast
脅威アラート分析と自動化 脅威アラート分析 脅威インテリジェンス分析 プレイブックによる自動化 IoCの調査 Feed取得 ShowNet通信ログ照合 脅威アラート 27
インテリジェンス駆動型の セキュリティオペレーション 脅威情報のインディケータを定期的に取得 SIEM / XDR からインディケータに一致する通信を確認 インディケータに紐づく情報を取得 通信遮断の判断(手動) ブロック設定の実行
インシデントレポーティング 28
検出アラート 検出アラート件数(脅威検出アラートのみを集計) 検出アラート抜粋 Zyxel Firewallのコマンドインジェクションの脆弱性 (CVE-2023-28771) • 本脆弱性を悪用するDDoSボットネットによる活動が5月末から観測されている • POCが公開されており、ホットステージ期間中にCISAのKEVカタログにも追加された
• (参考)Fortinet様の解析レポート https://www.fortinet.com/blog/threat-research/ddos-botnets-target-zyxel-vulnerability-cve-2023-28771 従来から大量に検出される脆弱性スキャン • SIP VoIP/PBX のスキャン • RPC Portmapper DUMP のスキャン • Metasploit による VxWorks WDB エージェントのスキャン 29 6月14日 6月15日 6月16日 会期合計 2,634,343 4,553,739 1,736,846 8,924,928
DoS攻撃の傾向 30 # 国名 ホスト数 1 中国 707 2 米国
633 3 ニュージーランド 66 4 ドイツ 42 5 韓国 19 6 英国 17 7 香港 17 8 ロシア 16 9 日本 16 10 インド 16 送信元ホスト数(上位10ヶ国) # 攻撃種別 件数 1 TCP SYN Flood Detection 801 2 Invalid Packets 702 3 Block Malformed DNS Traffic 83 4 Malformed HTTP Filtering 26 5 Invalid Packets, Malformed HTTP Filtering 13 攻撃種別件数(上位5種) ※ 1分未満、10パケット未満の検出イベントは除外 # ポート 件数 1 6379/tcp 707 2 80/tcp 633 3 53/udp 66 4 22/tcp 19 5 443/tcp 17 宛先ポート別件数(上位10ヶ国) 通信量 [Mbps] 件数 1 Mbps 未満 1,646 1〜2 Mbps 1 2〜3 Mbps 3 3 Mbps 以上 2 攻撃の通信量 3.4 Mbps 1.2 Gbps Redis
外部攻撃対象領域管理(EASM) 攻撃者視点でShowNetの 攻撃対象領域を監視 ShowNetオペレータ 攻撃対象領域を検出した場合 攻撃ステップとExploitコードを提示 ShowNetのリスクを 管理コンソールで確認 31
攻撃の顕在化 デコイ(攻撃のおとり) 攻撃を誘引 受けた攻撃の詳細をレポート ShowNetオペレータ ShowNetの潜在的な 攻撃リスクを認識 32
セキュアオペレーション
オペレータ向けリモートアクセスサービス 目的 ShowNetオペレータ向けにセキュアなリモートアクセスサービス を提供 展示会期にはブース連携デモアクセスサービスにも利用 構成 TTDBを中心としたSSO環境 なりすまし防止のための二要素認証 デバイスポスチャによる健全性担保 多様なアクセス手段
• SASE、ZTNA、アクセスゲートウェイ(Webターミナル) 34
TTDBとは? トラブルチケットデータベースの略 ShowNet内製のチケットシステム 実際にはチケットだけではなく、機器情報や配線、出展社の VLANやIPアドレスといったShowNetの構成情報の大部分を管理 TTDBにはShowNetに接続する関係者すべてのアカウントと、 すべての機器の情報が存在する →TTDBの情報を基に、一元的なアクセス制御を実施 35
リモートアクセス構成 36 Duo SAML ShowNet IdP Device Posture Global Protect
FortiClient TTDB SAML IdP SP SP SP 2FA SP SP pa3250 SMART-GW mgmt ShowNet構成機器 Prisma Access FortiGate Access Proxy fg600f Keeper Connection Manager
Out-Of-Band回線による継続的な接続性の提供 構築が始まっていないホットステージ初期やバックボーン切替試験 時でもリモートオペレーションを継続するために、専用回線を利用 37 Backbone ShowNet構成機器 S-OCN FC リモートオペレータ マネジメントネットワーク
リモートアクセスサービス運用結果 合計:2,229件(前年比 103%) Day3, 4 の利用が特に多い 38 リモートアクセスサービス利用者数
パスワードマネージャによるパスワード共有 ShowNet機器の認証情報をオペレータ間で安全に共有 ネイティブアプリやブラウザ拡張機能によりシームレスに連携 39 パスワードマネージャ利用者数
マネジメントネットワークのセキュリティ マネジメントネットワークからのインターネットアクセスを制御 SASEを用いることでセキュアなインターネット接続性をクイックに実現 SASEのセキュリティコンポーネントで悪性通信を検出 mgmt ShowNet構成機器 Secure Edge SRX1500 The
Internet IPS SWG mgmtのアセット 情報ベースで アクセス制御 TTDB asset 参照 Anti- malware TI 40
生活用ネットワークのセキュリティ ShowNetオペレータ端末の接続情報を可視化 不正な端末の接続を検知 .life 構成情報収集 (snmp) .mgmt DHCP Discover (broadcast)
デバイス情報 可視化 Life SW群 FortiNAC 41
生活用ネットワークのセキュリティ ShowNetオペレータ端末の脅威検出時に遮断命令を実施 エンドポイントのソフトウェアに依存しないセキュリティ .life 感染端末 構成情報収集 (snmp) 構成可視化 &自動遮断 .mgmt
セキュリティアラート Life SW群 AX-NM 遮断命令 42
セキュリティ対策全体像 43 NPB バックボーン トラフィック NGFW IPS
NDR Forensics NGFW + Sandbox NGFW + Sandbox TAP SIEM XDR XSOAR TIM 脅威検出アラート 脅威情報 マネジメントネットワーク セキュリティ リモートアクセスサービス 外部攻撃対象領域管理 Deception デコイ(攻撃のおとり) アラート分析・自動化 脅威検出 Script インディケータ 出展社向けセキュリティサービス 出展社ブース SASE ZTNA Remote Access GW EASM SASE 生活用ネットワークセキュリティ 感染端末
まとめと今後の展望 実機検証、セキュリティ技術活用例の提示 ShowNetという特殊な環境での実機検証 最新技術の活用例を世の中に提示 セキュリティは適材適所 対策が必要となる場所を適切な技術で守る 最新のネットワークを最新のセキュリティ技術で守る 44
ご協力いただいたコントリビュータ様 ※ 五十音順