リアルタイムセキュリティ監視リポート&メジャメントツールSecurityCenter CVの紹介

SecurityCenter CV総合セキュリティ監視ソリューションRev 3.1

Tenable Network Security Japan K.K.

2002 年の設立以来、継続的なネットワーク監視と脆弱性管理を行う製品を提供しています。製品は 165 カ国で 100 万以上のユーザが利用しておりフォーチュングローバル 500 企業米国国防総省各国政府組織などが含まれます。

1. 既存の環境に導入2. IP デバイスを検出3. 脆弱性を検出（ソフトウエアと設定の脆弱性）4. インシデントを検出5. 経営者から現場まで共通したリスクの把握が可能6. 対策を実施しセキュアな環境を構築し継続的に維持• スキャン（管理者ログイン、エージェント）• スニッフ（ミラーポート）• ログ（ Syslog 、エージェント）• アラート、モニタ、リポート

＜管理アセット＞明確なリスク• オペレーティングシステム• アプリケーション• プロセス• 脆弱性• セキュリティ設定• パッチ情報• マルウエア• ボットネット• イベントログ• 送受信先及び通信内容

＜非管理アセット＞不明なリスク

＞攻撃を受けやすい箇所（アタックサーフェス）を減らすことでリスクを減らす

0001110101101001011010100100110111011001110100010111010111110101

＞ 100% アセット管理の手法（リアルタイムに変化する環境を継続的に監視）環境に合わせて管理の方法を選ぶ• ネットワークトラフィックをモニタして情報を収集• ネットワークを定期的にスキャンして情報を収集• システムへ管理者権限でログインしシステムコマンドを使い収集• インストールしたエージェントがシステムコマンドを使い収集• イベントログを収集

デバイススキャン

（ホスト＋脆弱性＋構成＋イベント）データベース

ログ収集トラフィックススキャンNessus PVS LCE

アセット管理　データの可視化　コンプライアンスチェック　アラート / チケット発行　リポート

SecurityCenter CV のアーキテクチャ

脆弱性検査コンプライアンス構成監査マルウエア・ボット検知イベント解析

CV

SOC-2

DMZ

本社ネットワーク

リモートオフィス

Nessus クラウド

SOC-1

GEO 1

GEO 2

SecurityCenter CV コンソール Nessus スキャナーLCE （ Syslog コレクター）

PVS （トラフィックスキャナー）

LCE エージェント

Nessus エージェントNessus エージェント

AWS クラウドなど

製品の配置展開

SOC-2

DMZ

本社ネットワーク

リモートオフィス

Scan

Sense

Scan

Scan

Collect

Sense

Collect

SOC-1

GEO 1

GEO 2

Nessus クラウド

Nessus エージェントAWS クラウドなど

Scan

アセットに対するスキャンの開始と継続

Scan

Collect

Organization AGroup A-1

Group A-2

Group A-3

User 1User 2

User 3User 4

User 5User 6User 7

Organization BGroup B-1

Group B-2

User 1User 2

User 3User 4

Repository A-1

Repository A-2

Repository A-3

Repository B-1

Repository B-2

Organization ZGroup Z-1Security Admin User

LCE

SecurityCenter 管理コンソール＋ Nessus スキャナー（ 512 付属）＋ PVS ネットワークセンサー（ 512 付属）＋ LCE ログ収集サーバ（ 1TB 付属）＋エージェント（ターゲットホスト分付属）ライセンス（ターゲットホスト 512 IP 〜）

アタックサーフェスの削減100% アセット管理迅速な脆弱性対策脆弱な設定の排除

攻撃の検知（システム内部）マルウエア検知

プロセスレピュテーションボットネット通信

異常の検知（システム全体）異常監視変更監視証跡管理

あらゆるアタックサーフェスに備えたリアルタイム多層監視！攻撃をあらゆるフェーズでキャッチし見逃さない！

> SecurityCenter CV のソリューション

収集した情報を組み合わせることにより的確なリスク管理が可能アタックサーフェスを監視することで次に起こるインシデントを予測

リモートから攻撃可能な脆弱性がある → インターネットに接続されている → ボットネットとの通信がある

リモートから攻撃可能な脆弱性がある → インターネットに接続されている → 不明なプロセスを発見

認証設定が脆弱 → 不明なログインを確認 → 不明なファイルアクセスを確認 → 外部通信の増加

不明な USB 接続を確認 → マルウエアプロセスを検知

ログインエラーが頻発 → 不明な設定変更を確認 → ポリシー違反の通信を検知

経営者から現場までに対応したリスクリポートおよび解析ツールを提供

> SecurityCenter CV により得られる利益

ソフトウエアと設定の脆弱性を排除し常に強固なシステム環境を維持システム内部を詳細にチェックすることで侵入の痕跡を見逃さない様々なイベント情報をもとに外部からの侵入や内部の不正行動の証拠を保存アラートルールを作成しチケットアサインを自動化することで迅速なインシデントレスポンスを実現

テクニカルアライアンスパートナー

有効なセキュリティガイドラインを活用しセキュリティレベルを高める（ Policy Compliance ）NIST SP 800-53 連邦政府情報システムにおける推奨セキュリティ管理策（ 240 項目）CIS Critical Security Controls NIST SP 800-53 のサブセット（効果的な 20 項目を抽出）Cyber Hygiene サイバー攻撃に対する迅速かつ効果的な防御を実現するための低コストプログラムPCI DSS Payment Card Industry データセキュリティ基準HIPAA 電子的に保持・移動される健康情報のセキュリティに関する国家基準

CyberEdge Group2015 CYBERTHREAT DEFENSE REPORT

• 定期的なモニタリングのみ• 継続的なモニタリングのみ• 両方

63%が継続的モニタリングを実施

セキュリティレベルの維持が目的

様々なスキャンオプションを用意（カスタム可能）！複雑な設定は不要！

様々な設定監査用テンプレートを用意独自の説低テンプレートも作成可能！PCI DSS, HIPPA, FISMA, NERC CIP, GLBA, CSCs, COBIT, CIS, NIST SP 800-53, ISO 27001

必要な情報を集約して見れる管理コンソール（アセットビュー）！サマリーから詳細までドリルダウンで解析

必要な情報を集約して見れる管理コンソール（ホストビュー）！サマリーから詳細までドリルダウンで解析

柔軟なフィルタで必要な情報を素早く取得！リスクを判断するために必要な情報が集約！

詳細な脆弱性情報でリスク評価をサポート！CVEその他の標準に準拠！

優先対応が必要な脆弱性情報をリスト表示更に優先度が高いデバイスやアプリケーションでフィルタ可能！

様々なイベント情報を正規化し保存（証跡管理に最適）！システムの様々な変化を見逃しません！

データベース化された情報を可視化！セキュリティの問題点をカラーで警告！必要に応じてアラートとチケットを発行！

スキャンデータからインシデントに関連する情報を抽出してインジケートするダッシュボード

アラートルールを設定することでセキュリティ対応のワークフローを自動化！

アセット担当者にチケットを作製し脆弱性対応を管理！

セキュリティポリシーの実行状況を可視化！経営層に向けて有効な情報を提供！

http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html





方向性

メジャーメント

解析

経営者向けの情報必要な対策を認識し予算を配分

担当部署および技術者向けの情報必要な対策を実施。必要ならリソースや予算を算出

https://www.tenable.com/sc-dashboardsダッシュボードテンプレート集（編集可能）！

https://www.tenable.com/sc-report-templates

リポートテンプレート集（編集可能）！

https://twitter.com/TenableJapan

https://www.tenable.com/blog





https://www.tenable.com/blog

Back-Up

技術連携Patch Auditing• Operating

Systems• Applications• Virtual

Infrastructure• Network

Equipment• Databases

Configuration Auditing• Network

Infrastructure• Anti-Virus• Sensitive Content• Center for

Internet Security• DOD• NIST• PCI• HIPAA

Intruder Detection• Intrusion• Botnets• Indicators of

Compromise• Suspicious Activity• Exploitable Clients• Access Control

Anomalies • Network Anomalies• Malicious Process

DetectionCloud• Virtualized

Infrastructure• Firewall Monitoring• Software Audit• Mobile Monitoring• Boundary Audit

Critical Infrastructure• SCADA• Industrial

Control System• Digital Bond• NERC

Mobile• Phones• Tablets• MDM

• 100% Asset Discovery• In-Depth Patch &

Configuration Auditing• Agent & Agentless

Vulnerability Detection• Mobile Device Auditing• Network Forensics

• Malware & APT detection

• Attack Path & Boundary Auditing

• Reporting, Dashboards and Analytics

• Automated Policy Analysis

Continuous View Use Cases

• Distributed Nessus Scanners– No extra charge– Virtual Appliances

• Nessus Cloud– Internet Scanning as

a service– PCI ASV Assessments

• Distributed PVS sensors– Monitors perimeter,

internal or datacenter traffic

– Finds every device, port, application, .etc which has network traffic

• Log Analysis– Asset & Vuln Discovery

100% Asset Discovery

• Nessus Credentialed & Agent audits– OS, App, Router, DB,

Switch, FireWall, IDS• Nessus Offline Audits

– Router, Switch, Firewall

• Nessus Patch Management Audit– SCCM, Tivoli,

RedHat– Mobile Iron, Good

In-Depth Patch & Config Auditing

• Nessus Credentialed and Uncredentialed Scans

• Passive Network Traffic monitoring with PVS

• Real-time Log Processing

• Reactive Nessus scanning to new devices or ports

Agentless Vulnerability Detection

• Nessus Auditing of MDM data

• PVS Auditing of Mobile Device Network traffic

Mobile Device Auditing

• PVS logs meta-data as text for network sessions– Meta-data is 20x to

200x less data than full packet storage

• LCE provides compression, search, anomaly detection, botnet correlation and 100s of rules looking for malware and insiders

Network Forensics

• Nessus Credentialed & Agent Scans

• Nessus Web App Scans

• Systems Monitoring with LCE Client

Malware and APT Detection

• Distributed Nessus Scanners – Identify line of site

open ports• Public Exploit

Correlation– Which Vulns are

exploitable and Internet facing

• Distributed PVS sensors– Identify All internal

trust relations– Identify line of site

open ports– Identify all browsers

ports– Realtime alerting

Attack Path and Boundary Auditing

• Tenable Data Scientists write new content every day

• Easy to create new reports, dashboards and assets and share them

Reporting, Dashboards & Analytics

• Beyond vulns, patches and configurations

• Can you measure the controls you have in place?

Automated Policy Analysis