[PALO ALTO NETWORKS DAY 2019]防御網をすり抜ける脅威にはMSSで対応

PALO ALTO NETWORKS DAY 2019 Tokyoの参加レポートをお届けします。セッションタイトルは「防御網をすり抜ける脅威にはMSSで対応」。講演者は、トラストウェーブジャパン株式会社セールスエンジニアリング シニアセールスエンジニア山下 浩賢 氏です。

講演内容

Trustwave社について

2015年にSingtelに買収され、Singtel各子会社のセキュリティ事業を統合している。顧客は20万企業以上。MSSとしての顧客は1万件。従業員は2000人以上。250人以上のホワイトハッカーをかかえる。グローバルにSOCをかかえる。MSS(Managed Security)、Securityテスト、Securityコンサルティング、製品開発、従業員教育を提供する。

  • IDENTIFY → サイバーセキュリティリスクを見極める
  • PROTECT → セーフガードの実行と運用でユーザー、アプリ、データを保護
  • DETECT、RESPOND → お客様環境の監視、内部/外部によるサーバーセキュリティの脅威や侵害をリアルタイムに検知

SOCを「シカゴ、デンバー、トロント、メキシコ、ワルシャワ、ロンドン、シンガポール、シドニー、マニラ、東京」に持つ。ビジネスアワーで2箇所の拠点が活動している状態にしている。東京オフィスがクローズしている状況でも、通訳がいるため日本語でも対応できる。

SpiderLabs

ホワイトハッカー集団の研究所。エキスパートによるテスト、インシデント体制整備および対応、フォレンジック対応を行う。SOCから上がってくるデータの解析、ペネストレーションテストなどを行う。

Gartnerでは、2年連続でワールドワイドのLeaderとして認定されている。ビジョンの完全性と実行能力が評価された。BlackHatカンファレンスで、マイクロソフト社のMAPPの脅威情報提供指標でFirst Plaseを受賞した。

Trustwaveの脅威情報データベース

パートナーのデータソースや1万のお客様データを活用し、IPレピュテーションや問題のあるURLをデータベース化している。お客様環境に何かあった時は脅威情報データベースを参照する。データベースをFusion名付けている。

Fusionは、クラウドのAWS、Azure、GCP、Azure AD、Office 365、G Suite、Sales Forceなどに対応。もちろん、オンプレミスにも対応している。

Trustwaveマネージドセキュリティポータル

MSSに入ると、ポータルを提供する。アセットの状況、いつ何のイベントが発生したか表示する。ブラウザから利用できる。また、iOS用のアプリケーションも提供している。会社に行かなくてもスマートフォンで情報を確認できる。

Trustwave MSSのユニークな特徴

Trustwave SpiderLabsフュージョンセンターで、最終的な判断は人間が行う。グローバルなセキュリティオペレーションセンターを運用。やり取りはWeb経由のセキュリティポータルで対応。

Palo Ato社との関係

GartnerでPaloatoもTrustwaveもリーダーである。リーダー同士が手を組んでいる。Palo Atoのセキュリティエコシステムで、エンドポイント、ネットワーク、クラウドまで全体の脅威を管理できる。

通常のMSSではツールで脅威を検知したら、お客様に通知して終了する。連絡を受けた方は、何をしたら良いのかわからない状態になる。SIEMを入れても何を入れてもわからいお客様が多い。MDRプロセスを以下のように標準化している。

  • リアルタイムでの検知
  • 初期レスポンス
    • 通知アクション
    • お客様と事前に打ち合わせし、端末の隔離やアカウントの停止などをできる
  • 攻撃のスコープ解析
    • 何をいつどこでいつどのように
  • 修復
    • お客様にて対応
    • リモートアクション
  • 防御のアップデート
    • コンポーネントのアップデート

Palo Ato Cortex XDRでの検知対応アクションフローも用意している。

以上