Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【shownet.conf_2023】ShowNetを守るセキュリティ〜広帯域化するネットワー...
Search
ShowNet
PRO
October 02, 2023
Technology
0
2.5k
【shownet.conf_2023】ShowNetを守るセキュリティ〜広帯域化するネットワークを守る新たな挑戦〜
shownet.conf_ での講演資料(セキュリティ)
ShowNet
PRO
October 02, 2023
Tweet
Share
More Decks by ShowNet
See All by ShowNet
【shownet.conf_】ShowNet 2024 ~ Inter * Network ~
shownet
PRO
0
600
【shownet.conf_】ShowNet伝送改めShowNet APN 2024
shownet
PRO
0
520
【shownet.conf_】コンピューティング資源を統合した分散コンテナ基盤の進化
shownet
PRO
0
490
【shownet.conf_】ShowNet x 宇宙ネットワーク
shownet
PRO
0
470
【shownet.conf_】多様化するネットワーク環境を柔軟に統合するルーティングテクノロジー
shownet
PRO
0
450
【shownet.conf_】3Dアプローチで守るセキュリティ
shownet
PRO
0
450
【shownet.conf_】トポロジ図の歩き方
shownet
PRO
0
600
【shownet.conf_】AI技術とUX監視の応用でShowNetの基盤を支えるモニタリングシステム
shownet
PRO
0
450
【shownet.conf_】ローカル5Gを活用したウォーキングツアーの体感向上
shownet
PRO
0
420
Other Decks in Technology
See All in Technology
プロンプトエンジニアリング入門 Rev.3
seosoft
0
120
Nuxt × Vue Router の力を最大限に引き出す機能を紹介
ytr0903
2
480
生成AI入門
shukob
0
170
人工衛星開発のための C2A フレームワークとその開発体験
sksat
1
120
Delta Commit…の最近...
akuwano
2
140
40代後半で開発エンジニアからクラウドインフラエンジニアにキャリアチェンジし、生き残れる自信がようやく持てた話
iwamot
9
8.3k
SOLID - Architecture and Architectural Decisions - Devfest Goa 2024
rivuchk
0
180
The road to green code (with Sonar)
bluehats
0
190
XSS攻撃から考察するAWS設定不備の恐怖/20241012 Hironobu Otaki
shift_evolve
0
180
自動テストの信頼性を高めるミューテーションテストの活用に向けて
tarappo
2
110
Covariance, Contravariance & Diamond
alexdaubois
1
120
プログラミング写経のすすめ
natsutan
0
190
Featured
See All Featured
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
43
6.6k
Happy Clients
brianwarren
97
6.7k
Thoughts on Productivity
jonyablonski
67
4.3k
A Modern Web Designer's Workflow
chriscoyier
692
190k
Intergalactic Javascript Robots from Outer Space
tanoku
268
27k
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3.5k
Fireside Chat
paigeccino
32
3k
Being A Developer After 40
akosma
85
590k
Imperfection Machines: The Place of Print at Facebook
scottboms
264
13k
Optimizing for Happiness
mojombo
376
69k
5 minutes of I Can Smell Your CMS
philhawksworth
202
19k
Transcript
shownet.conf_ 【01-06】 ShowNetを守るセキュリティ 〜広帯域化するネットワークを守る新たな挑戦〜 ShowNet NOC チームメンバー 神宮 真人
アジェンダ 昨今のセキュリティの脅威 ShowNetにおける課題 広域化するバックボーンネットワーク ShowNetにおけるセキュリティの課題 ShowNetにおけるセキュリティ対策 ShowNet 2023 セキュリティのテーマ 出展社へのセキュリティサービス
ShowNet全体のセキュリティ監視 セキュアオペレーション まとめと今後の展望 • ShowNetトラフィックの集約と分配 • 多種多様のセキュリティアプライアンスによ る脅威検出 • SIEM / XDRによるアラート分析 • インテリジェンス駆動型のセキュリティオペ レーション • 外部攻撃対象領域管理(EASM) • 攻撃の顕在化 • オペレータ向けリモートアクセスサービス • マネジメントネットワークのセキュリティ • パスワードマネージャの運用 • 生活用ネットワークのセキュリティ
昨今のセキュリティの脅威
昨今の脅威 直近の主なインシデント事例 【脆弱性悪用】政府組織における電子 メール関連システムの脆弱性を悪用され たメール流出 【ランサムウェア】港の管理システムに おけるランサムウェア感染によるシステ ム障害 【IoT機器】機器の管理不備による河川 監視カメラへの不正アクセス
【DDoS攻撃】渋谷区公式サイトにおけ るDDoS攻撃を起因とする閲覧障害 4 出典: 「情報セキュリティ10大脅威 2023」, IPA, https://www.ipa.go.jp/security/10threats/ps6vr70000009r3z-att/setsumei_2023_soshiki.pdf
必要とされるセキュリティ対策 脅威を検出、対処できる体制の構築 ネットワーク/サーバ/クライアントへのセキュリティ対策 セキュリティポリシの統一 パスワードの管理・認証の強化 脆弱性の管理 攻撃対象領域の管理 5
ShowNetにおける課題
広帯域化するバックボーンネットワーク 通信事業者やデータセンターのバックボーンでは 400G / 800G が あたりまえの時代に 広帯域化するネットワークでもセキュリティ対策は必要 広帯域化するネットワークを守るための技術や セキュリティ製品が登場
7
ShowNetにおけるセキュリティの課題 出展社ごとの需要に対して柔軟に対応する必要がある 短期間ゆえのセキュリティ対策の抜け漏れ 非常に膨大な数のセキュリティアラート 様々なバックグラウンドをもつオペレータが参集するためセキュリ ティポリシの統一が困難 遠隔地からの安全なオペレーションの必要性 機器を設定するための管理ネットワークを早急に構築する必要がある 大人数のオペレータへの認証情報(パスワード)の共有 8
ShowNetにおけるセキュリティの課題 出展社ごとの需要に対して柔軟に対応する必要がある 短期間ゆえのセキュリティ対策の抜け漏れ 非常に膨大な数のセキュリティアラート 様々なバックグラウンドをもつオペレータが参集するためセキュリ ティポリシの統一が困難 遠隔地からの安全なオペレーションの必要性 機器を設定するための管理ネットワークを早急に構築する必要がある 大人数のオペレータへの認証情報(パスワード)の共有 9
ShowNetにおける セキュリティ対策
今年のテーマ 広帯域化するネットワークを守る新たな挑戦 ついに来た!400G対応NGFWの時代 400Gパケットブローカーが拓く広帯域ネットワーク時代のSOC基盤 セキュアなオペレーションを実現する多様なリモートアクセスサービス インテリジェンス駆動型のセキュリティオペレーション 11
セキュリティ対策全体像 12 NPB バックボーン トラフィック NGFW IPS
NDR Forensics NGFW + Sandbox NGFW + Sandbox TAP SIEM XDR XSOAR TIM 脅威検出アラート 脅威情報 マネジメントネットワーク セキュリティ リモートアクセスサービス 外部攻撃対象領域管理 Deception デコイ(攻撃のおとり) アラート分析・自動化 脅威検出 Script インディケータ 出展社向けセキュリティサービス 出展社ブース SASE ZTNA Remote Access GW EASM SASE 生活用ネットワークセキュリティ 感染端末
セキュリティ対策全体像 13 NPB バックボーン トラフィック NGFW IPS
NDR Forensics NGFW + Sandbox NGFW + Sandbox TAP SIEM XDR XSOAR TIM 脅威検出アラート 脅威情報 マネジメントネットワーク セキュリティ リモートアクセスサービス 外部攻撃対象領域管理 Deception デコイ(攻撃のおとり) アラート分析・自動化 脅威検出 Script インディケータ 出展社向けセキュリティサービス 出展社ブース SASE ZTNA Remote Access GW EASM SASE 生活用ネットワークセキュリティ 感染端末 ShowNet全体を守るセキュリティ 出展社を守るセキュリティ セキュアなオペレーションを 実現するセキュリティ
ShowNet 2023 トポロジー図 14
ShowNet 2023 トポロジー図 15
出展社への セキュリティサービス
出展社へのセキュリティサービス ShowNetでは、出展社ブースでのデモンストレーション等 のために、インターネット接続を提供している インターネット接続を安心して使っていただくため、希望 する出展社はセキュリティサービスを利用可能 17
Palo Alto Networks PA-5430 Fortinet FortiGate 4801F インラインファイアウォール構成 18 Palo
Alto Networks PA-5430 Fortinet FortiGate 4801F インターネット FortiSandbox WildFire クラウドサンドボックスと連携 クラウドサンドボックスと連携 出展社 ホール4・5 など 出展社 ホール6・7 など 出展社収容ルータ mx10004, ne8000m4-2
セキュリティサービス実施内容 以下のセキュリティサービスを通信経路上で有効化し、リ アルタイムに悪性通信をブロック アンチウィルス サンドボックス Webフィルタリング アプリケーション識別 IPS 今年は最大で400Gbpsのインターフェイスを持つNGFW装置 をご提供いただき、広帯域化するバックボーンネットワー
クの上で高速なセキュリティサービスを実現 19
セキュリティサービスの検証 ShowNetで提供するネットワークは、アドレス種別(プライベート/グ ローバル)やセキュリティサービスの有効/無効、通るべきインライ ンファイアウォールの機器など、ネットワークごとに異なる要件を もつ これらの要件をすべてのネットワークが満たしているかを確認する ために、ShowNet Team Member(STM)やテスターによる確認に加え、 専用のテストツールを開発し、サービス提供開始前に検証している
20
セキュリティサービス運用結果 セキュリティサービス有効:199ドロップ(約82%) 検出アラート アラート全体数:489,496件 ブロックした通信:8,271件 • テスター機器からの通信以外でHigh以上のアラートは0件 21 Hall 4
Hall 5 Hall 6 Hall 7 合計 有効 48 73 54 24 199 無効 16 12 13 4 45 合計 64 85 67 28 244
ShowNet全体の セキュリティ監視
ShowNet全体のセキュリティ監視 ShowNetバックボーンを流れるトラフィックを複製 トラフィックを集約し、重複排除 多種多様のセキュリティ機器に分配し、脅威を検出 検出されたアラートを集約、分析 23
ShowNetトラフィックの集約と分配 Passive TAP TX RX TX RX TX TX A
B A B TAP接続場所 FlexTap 24
多種多様のセキュリティアプライアンスによる脅威検出 vision400 agg-c32 omnia120 PA-5450 FortiGate4801F FortiNDR SRX380 ISNG9895 w/
OCI CheckPoint ArborEdgeDefense NIRVANA改 Synesis 複製トラフィック 検出アラート SIEM / XDR TAP dedup stripping 脅威検出 ネットワークフォレンジック DDoS攻撃検知 トラフィック、アラート可視化 25
NPB構成 2 3 5 6 n TAP vision400.sec omnia120.sec pa5450.sec
isng9895.sec aed.sec srx380.sec fgt4801f-1.noc fdr3500f.sec synesis.sec 400G-FR4 100G-LR4 10G-LR cp-mho140.sec cp-sg16khs-1 cp-sg16khs-2 cp-sg16khs-3 nirvana-sensor01.sec nirvana-sensor02.sec インラインFW用の FortiGateと同一筐体 100G-SR4 10G-SR pm-ex5-1-traffic.mon 10G-T 100G-DAC 3rd party optics 9 10 sys-6028r-wtr.moip (KAIT TrafficMonitor) QSFP-DD x16 SFP56 x24 agg-c32.sec A B A B dedup QSFP28 x32 7 8 flowinspector100g.mon メディコン 100G-CWDM4 A B 1 4 Packet Trimming SFP+ x48 QSFP28 x4 flowmon-probe.mon P25 P26 P27 P28 P29 P30 P31 P32 P33 P34 P35 P36 P37 P38 P39 P40 P01 P02 P03 C1 C2 C3 C4 C5 C6 C7 C8 C9 C1 C2 C3 X1 X2 X3 X4 X5 X6 X7 X8 ラックまたぎ xg-0-50 xg-1-13 xg-3 xg-0-0-16 xg-2-3 xg-1 xg-2 xg-2 hg-1-56-1 hg-1 hg-1 hg-1 hg-1 hg-1-49-1 hg-1-50-1 hg-1-51-1 xg-0-0 xg-0-1 not multicast
脅威アラート分析と自動化 脅威アラート分析 脅威インテリジェンス分析 プレイブックによる自動化 IoCの調査 Feed取得 ShowNet通信ログ照合 脅威アラート 27
インテリジェンス駆動型の セキュリティオペレーション 脅威情報のインディケータを定期的に取得 SIEM / XDR からインディケータに一致する通信を確認 インディケータに紐づく情報を取得 通信遮断の判断(手動) ブロック設定の実行
インシデントレポーティング 28
検出アラート 検出アラート件数(脅威検出アラートのみを集計) 検出アラート抜粋 Zyxel Firewallのコマンドインジェクションの脆弱性 (CVE-2023-28771) • 本脆弱性を悪用するDDoSボットネットによる活動が5月末から観測されている • POCが公開されており、ホットステージ期間中にCISAのKEVカタログにも追加された
• (参考)Fortinet様の解析レポート https://www.fortinet.com/blog/threat-research/ddos-botnets-target-zyxel-vulnerability-cve-2023-28771 従来から大量に検出される脆弱性スキャン • SIP VoIP/PBX のスキャン • RPC Portmapper DUMP のスキャン • Metasploit による VxWorks WDB エージェントのスキャン 29 6月14日 6月15日 6月16日 会期合計 2,634,343 4,553,739 1,736,846 8,924,928
DoS攻撃の傾向 30 # 国名 ホスト数 1 中国 707 2 米国
633 3 ニュージーランド 66 4 ドイツ 42 5 韓国 19 6 英国 17 7 香港 17 8 ロシア 16 9 日本 16 10 インド 16 送信元ホスト数(上位10ヶ国) # 攻撃種別 件数 1 TCP SYN Flood Detection 801 2 Invalid Packets 702 3 Block Malformed DNS Traffic 83 4 Malformed HTTP Filtering 26 5 Invalid Packets, Malformed HTTP Filtering 13 攻撃種別件数(上位5種) ※ 1分未満、10パケット未満の検出イベントは除外 # ポート 件数 1 6379/tcp 707 2 80/tcp 633 3 53/udp 66 4 22/tcp 19 5 443/tcp 17 宛先ポート別件数(上位10ヶ国) 通信量 [Mbps] 件数 1 Mbps 未満 1,646 1〜2 Mbps 1 2〜3 Mbps 3 3 Mbps 以上 2 攻撃の通信量 3.4 Mbps 1.2 Gbps Redis
外部攻撃対象領域管理(EASM) 攻撃者視点でShowNetの 攻撃対象領域を監視 ShowNetオペレータ 攻撃対象領域を検出した場合 攻撃ステップとExploitコードを提示 ShowNetのリスクを 管理コンソールで確認 31
攻撃の顕在化 デコイ(攻撃のおとり) 攻撃を誘引 受けた攻撃の詳細をレポート ShowNetオペレータ ShowNetの潜在的な 攻撃リスクを認識 32
セキュアオペレーション
オペレータ向けリモートアクセスサービス 目的 ShowNetオペレータ向けにセキュアなリモートアクセスサービス を提供 展示会期にはブース連携デモアクセスサービスにも利用 構成 TTDBを中心としたSSO環境 なりすまし防止のための二要素認証 デバイスポスチャによる健全性担保 多様なアクセス手段
• SASE、ZTNA、アクセスゲートウェイ(Webターミナル) 34
TTDBとは? トラブルチケットデータベースの略 ShowNet内製のチケットシステム 実際にはチケットだけではなく、機器情報や配線、出展社の VLANやIPアドレスといったShowNetの構成情報の大部分を管理 TTDBにはShowNetに接続する関係者すべてのアカウントと、 すべての機器の情報が存在する →TTDBの情報を基に、一元的なアクセス制御を実施 35
リモートアクセス構成 36 Duo SAML ShowNet IdP Device Posture Global Protect
FortiClient TTDB SAML IdP SP SP SP 2FA SP SP pa3250 SMART-GW mgmt ShowNet構成機器 Prisma Access FortiGate Access Proxy fg600f Keeper Connection Manager
Out-Of-Band回線による継続的な接続性の提供 構築が始まっていないホットステージ初期やバックボーン切替試験 時でもリモートオペレーションを継続するために、専用回線を利用 37 Backbone ShowNet構成機器 S-OCN FC リモートオペレータ マネジメントネットワーク
リモートアクセスサービス運用結果 合計:2,229件(前年比 103%) Day3, 4 の利用が特に多い 38 リモートアクセスサービス利用者数
パスワードマネージャによるパスワード共有 ShowNet機器の認証情報をオペレータ間で安全に共有 ネイティブアプリやブラウザ拡張機能によりシームレスに連携 39 パスワードマネージャ利用者数
マネジメントネットワークのセキュリティ マネジメントネットワークからのインターネットアクセスを制御 SASEを用いることでセキュアなインターネット接続性をクイックに実現 SASEのセキュリティコンポーネントで悪性通信を検出 mgmt ShowNet構成機器 Secure Edge SRX1500 The
Internet IPS SWG mgmtのアセット 情報ベースで アクセス制御 TTDB asset 参照 Anti- malware TI 40
生活用ネットワークのセキュリティ ShowNetオペレータ端末の接続情報を可視化 不正な端末の接続を検知 .life 構成情報収集 (snmp) .mgmt DHCP Discover (broadcast)
デバイス情報 可視化 Life SW群 FortiNAC 41
生活用ネットワークのセキュリティ ShowNetオペレータ端末の脅威検出時に遮断命令を実施 エンドポイントのソフトウェアに依存しないセキュリティ .life 感染端末 構成情報収集 (snmp) 構成可視化 &自動遮断 .mgmt
セキュリティアラート Life SW群 AX-NM 遮断命令 42
セキュリティ対策全体像 43 NPB バックボーン トラフィック NGFW IPS
NDR Forensics NGFW + Sandbox NGFW + Sandbox TAP SIEM XDR XSOAR TIM 脅威検出アラート 脅威情報 マネジメントネットワーク セキュリティ リモートアクセスサービス 外部攻撃対象領域管理 Deception デコイ(攻撃のおとり) アラート分析・自動化 脅威検出 Script インディケータ 出展社向けセキュリティサービス 出展社ブース SASE ZTNA Remote Access GW EASM SASE 生活用ネットワークセキュリティ 感染端末
まとめと今後の展望 実機検証、セキュリティ技術活用例の提示 ShowNetという特殊な環境での実機検証 最新技術の活用例を世の中に提示 セキュリティは適材適所 対策が必要となる場所を適切な技術で守る 最新のネットワークを最新のセキュリティ技術で守る 44
ご協力いただいたコントリビュータ様 ※ 五十音順