SRIの正しい選択：チラシからユースケースまで

最近ベルが鳴ります：

-こんにちは！ Cisco ASAファイアウォールの仕様を受け取りたい。 会社<namerek>の仕様をすでに持っているので、それらを比較して適切なものを選択します。 これで私を助けてもらえますか？

「はい、もちろん。」 なぜCisco ASAが必要なのですか？

-Torをブロックする必要があります。

-これにはCisco ASAが必要ですか？

-まあ、どうやって？ ここで、会社<namerek>は、ファイアウォールがTorをブロックしていると言っています。 したがって、彼らの画面のコストをあなたのものと比較したい。

-それでは、Torをブロックする必要があり、これに必要なソリューションを探していますか？

-はい、はい（イライラ）。 それで、あなたは私を仕様にすることができますか？ どのソースデータが必要ですか？

-この特定の問題を解決するために、他の人があなたに直面していない場合、Cisco ASAを使用する必要はありません。 Cisco Web Security Applaince、Cisco Umbrella Security Internet Gateway、Cisco Cloud Web Security、Cisco Meraki MX、Cisco Firepower、Cisco AMP for Endpointsなど、さまざまなソリューションを使用してTorとの作業をブロックできます...結局、スクリプトでアドレスをロードできますTorはCisco ISRでホストし、ACLを使用してそれらをブロックします。 後者の場合、何も使う必要はありません。

-はい？ くそー 私はその後考える必要があります...

-一緒に解決する必要のあるタスクのリストと対処する必要のある脅威をまとめて、最適な製品を選択しますか？

-さて、やってみましょう。 明日の朝10時に来られますか？

-もちろん。



本質的に非常によく似た呼び出しを受け取り、問題を解決するのではなく、最もよく知られている製品の助けを借りて現在の問題を解決するという確立された実践を反映しています。 道路を建設するようなものです。 最初にそれらを正しく構築することができます（初期コストがより高くなる場合でも）、または損傷したアスファルトを毎年シフトするか、形成されたピットにパッチを置くことができます（最終的にはより高価です）。 ある時点で、そのような「穴」が多すぎて崩壊が起こります。すべてをやり直す必要があり、この「パッチワーク」の物語を始めた人はその地位を失います（または、問題を予想して彼自身がポストを辞めたかもしれません）。 企業の情報セキュリティシステムの構築に伴い。 私たちも製品カテゴリーで考えることに慣れています。 ここでは、Cisco ASAを購入します（おそらく、シスコの他のファイアウォールを知らないため）、ここでは、Cisco Webセキュリティアプライアンスをインストールします（ただし、Cisco Umbrellaはバイパスできます）、ウイルス対策<namerek>が必要です（ただし、ファイルフリー攻撃が発生しましたが） ）、ここに認定された暗号ゲートウェイを配置します（ただし、ルーターまたはオペレーティングシステムに組み込まれたVPN機能を使用して取得できます）...それは、特定の問題を解決する1つの製品を市場に出したプレイヤーがいた昔から始まりました。 そのため、概念の代替がありました-「問題解決」は「製品」に置き換えられました。 しかし、時間が経つと、メーカーのポートフォリオが拡大し、製品の機能性も拡大しましたが、「製品が欲しい」というアプローチは残りました。



ニッチなサイバーセキュリティベンダーがうらやましい。 彼らとの良い仕事は何ですか？ 非常に特定の問題を解決する製品の小さなセット。 たとえば、顧客にはファイアウォールが必要です。これがファイアウォールです。 矛盾や不一致はありません-すべてが非常に明確です。 論争が起こる最大の理由は、毎秒250メガビットまたは600メガビットで必要なモデルです。 たとえば、顧客は自分のネットワークでSkypeをブロックする必要があります-再び、対応する機能を備えたファイアウォールがあります（もちろん、ITUに存在する場合）。 誰もが幸せです。 一括でコマーシャルオファーにスタンプを押すベンダー（製品は1つだけです-逃げられません）。 顧客は、要求に応じて、特定の価格で既製のオファーを受け取ります。 さまざまな決定の能力を必要としないパートナー。



シスコでは、状況は少し異なります。 まず、同じ7つのファイアウォールがあります。

• Cisco ASA 5500-X
• シスコの火力
• Cisco ASAv
• Cisco Virtual Security Gateway
• Cisco IOSファイアウォール
• Cisco Meraki MX
• Catalyst用のCisco ASA SM。

これは、10年前に廃止されたものの、一部のお客様であるCisco Pix、およびさまざまな「適用された」ITU（たとえば、 Cisco Umbrella DNSフィルター、 Cisco Webセキュリティアプライアンス HTTPフィルターなど） 。、ある程度の広がりはありますが、特定のタスク用のファイアウォールの誇りのタイトルを運ぶこともできます。



したがって、「通常のファイアウォールを使用する」という通常のリクエストに対しても、単に答えることはできません。 そして、それは正しくありません。 保護手段をその名前や種類ではなく選択することは非常に重要です（たとえば、多くのメーカーはNGFWを持っていますが、NGFWとは何か、誰もが異なるアイデアを持っていることを理解しています）または製品のアイデアを、解決されている問題と利用可能な特性と機能の詳細な研究からポートフォリオのメーカーで。 シスコの場合、当社の製品は多くの分野横断的または本質的に同様の技術を使用しているため、メーカーの代表者または認定パートナーとの正しい選択について話し合うことをお勧めします。 さらに、私たちは常に相談に応じており、お客様とパートナーを支援する準備ができています。



したがって、上記のような呼び出しを行う場合、「退屈」し始め、顧客が解決するためにファイアウォールが必要なタスクを指定します。 ネットワークレベルでアクセスを区別するためにファイアウォールが必要ですか？ 仮想化環境を保護するには？ アプリケーションを制御するには？ ユーザーアカウントへのバインドルールの有無 トランクチャネルまたはリモートサイトにインストールする場合 そしてすべては、サイバーセキュリティに関するポートフォリオが十分に広く、「ファイアウォールを購入すれば幸せになる」という単純な答えを出すことができないためです。 私たちは、解決されるタスクが使用される製品を決定するという原則によって導かれ、その逆は成り立ちません。 他のメーカーがファイアウォールまたは攻撃検出システムを1つしか持っていないため、顧客が「内部を含めてすべてのトラフィックを境界ITU経由で運転するのは正常」または「各トランクまたはSPANポートに境界IDを設定して、あなたの問題を解決します」、そして、私たちはそのように働きません。 最初に、解決する問題および（または）脅威モデルを決定し、次にそれらに対して適切なソリューションを選択します。これは、顧客が当初意図したものとは異なる場合があります。



しかし、ファイアウォールだけを超えて行こうではありませんか？ 結局、私たちはより広い範囲のサイバーセキュリティソリューションを手に入れており、ファイアウォールの助けを借りなければ解決できない、また解決すべきものはまったくありません。 たとえば、Webリソースへのアクセスを制御するタスクを考えてみましょう。 シスコの場合、さまざまな方法で解決できます。 少なくとも4つの製品を使用して、インターネットリソースへのアクセスを制御できます。

• ハードウェアまたは仮想Cisco Webセキュリティアプライアンス（WSA）
• 曇ったCiscoクラウドWebセキュリティ （CWS）
• クラウドベースのCisco Umbrella（以前のOpenDNS Umbrella）またはSecure Internet Gateway（SIG）
• URLフィルタリングを備えたCisco Firepowerハードウェアまたは仮想ファイアウォール（またはCisco ASAとCisco Meraki MX）。

これらの各ソリューションにより、特定のサイトへのアクセス試行を記録し、必要に応じてそれらをブロックできます。 しかし、彼らはそれを異なって行います。 たとえば、Cisco Umbrellaは、企業ネットワークまたはモバイルデバイスからのすべてのDNSクエリを監視します。 また、CWS（またはCisco Securu Internet Gatewayの新しい生まれ変わり）は、すべてのHTTP / HTTPS要求を最も近いクラウドに渡します。これは特にモバイル従業員に役立ちます。 WSAとFirepowerは、CWS（分類されたURLのベース）と同様のテクノロジーで動作しますが、保護されたネットワークの境界にインストールする必要があります。 ただし、4つの名前付き製品の違いはこれに限定されません。 同じFirepowerは、URLフィルタリングに加えて、訪問したページからダウンロードされた悪意のあるファイルを検出できます。WSAは、Webページをその場で分析および解析する機能（URLデータベースにない場合）、および送信する前にページをスキャンする機能も追加しますユーザーへのアクセスと悪意のあるコンテンツや広告の排除。 また、Webリソースへのアクセスを制御するタスクが、企業ネットワーク外にいる従業員の個人用デバイスからクラウドサービス（Amazon、Google.Doc、Azureなど）へのアクセスを制御するタスクに変換されると、別のソリューションが登場しますCisco- CloudLock 、Cloud Access Security Broker（CASB）クラスのメンバー 。 つまり、Cisco Webアクセス制御ソリューションは、その主な機能に加えて、それらを互いに区別する高度な機能も備えています。 そして、選択に影響を与えるのは、まさにソリューション機能の全範囲と顧客が直面するタスクです。



別の例を見てみましょう-C2コマンドサーバーに接続して、新しい機能のロード、コマンドの受信、データリークの整理を試みるランサムウェアプログラムとの戦い。 シスコでは、さまざまなソリューションにそのような保護機能があります。

• Cisco Stealthwatchネットワーク異常監視システム。NetFlowテレメトリを分析し、（安全でないWi-Fiまたは3G / 4Gモデムを介して）境界を巡回するコマンドサーバーとの通信試行を検出できます。
• よく知られているC2サーバーへの接続試行を識別するために、65,000以上のすべてのTCPポートでネットワークからの発信とWSA通信の通過を監視する、前述のCisco WSAソリューション。
• また、既に述べたFirepower（またはASA、またはMeraki MX）はすべてのネットワーク接続を制御し、組み込みのNGIPS侵入防止テクノロジーと定期的に更新されるC2サーバーのリストのおかげで、それらへの接続をブロックできます。
• すべてのDNSトラフィックを通過させるCisco Umbrellaクラウドサービスは、セキュリティ機能を備えていないモバイルデバイスまたはリモートサイトからの企業ネットワーク内外の悪意のあるノードとの接続を識別します。
• ネットワークおよびエンドポイントのマルウェア対策システム向けのCisco Advanced Malware Protection （AMP）は、ファイルの異常な動作と、見知らぬ人への接続試行を制御します。 および悪意のあるノード。
• Cisco Cognitive Threat Analyticsソリューションを使用すると、プロキシまたはファイアウォールからのWebログでマルウェアを追跡できます。
• 最後に、 Cisco Email Security Applianceは、ランサムウェアがメールボックスを介してユーザーのコンピューターに侵入することを許可しません（これは、 WannaCryの歴史にもかかわらず、依然としてユーザーの主要な感染経路の1つです）。

ランサムウェアによる感染をブロックし、マルウェア管理サーバーと対話するために、上記の7つのソリューションのどれを選択する必要がありますか？ 繰り返しますが、それはすべて、情報セキュリティの観点から他のどのタスクを解決したいかによって異なります。 ランサムウェアとの闘いだけが必要なのでしょうか、それとも境界を「オールインワン」で保護するソリューションが必要なのでしょうか（ここではFirepowerの方が優れています）。 それとも、モバイルデバイスの保護が必要なのでしょうか？ その場合、Cisco Umbrellaが最適です。 最後に、すべてのトラフィックが境界のみを通過することを確信できない場合、Cisco Stealthwatchなしでは実行できません。 そして、おそらくここでの1つのソリューションでは不十分であり、いくつかのテクノロジーの複合体が必要になります。



少し前の例を取り上げましょう。 顧客は、インターネットへのアクセスを制御するためにCisco Webセキュリティアプライアンスを購入し、上記を非常によく実証するいくつかのコメントを行いました。 顧客は問題の解決策ではなく製品を選択しました。 「デブリーフィング」の過程で、顧客はSkypeのブロック機能を必要としており、Cisco WSAはそれをうまく利用していないことが判明しました。 顧客が満足していない理由を理解してみましょうか？



そもそも、状況の分析の時点で、Skypeはピアツーピアの原則に基づいて構築されており、その作業に中央サーバーを使用していませんでした（ただし、Microsoftはこの方向に進んでいます）。 したがって、通常のWebサイト（WSAは完全にアクセスします）にアクセスするときに、Skypeをブロックすることは、Skypeのさまざまな通信方法を理解し、巧みに必要です。

• ランダムに選択されたポート番号で他のサブスクライバーとUDP接続を使用する
• ランダムに選択されたポート番号での他のサブスクライバーとのTCP接続の使用
• ポート80/443での他のサブスクライバとのTCP接続の使用
• ポート443でHTTP CONNECTメソッドを使用して、Webプロキシを介してパケットをトンネリングします。

したがって、1〜3の場合、通常、トラフィックはCisco WSAを通過せず、その結果、トラフィックをブロックできません。 これはWSAの欠陥ではなく、企業ネットワーク上のインストール場所の特殊性です。 4番目のシナリオでは、SkypeがHTTP CONNECT内でクライアントに関する詳細を送信しないという事実に関連する問題もあります（HTTP User-Agent行はありません）。 したがって、HTTP CONNECTメソッドを使用してSkypeを別のプロトコルと区別することは困難です。 このような接続をブロックしようとすることもできますが、すべてのSkypeユーザー、および場合によっては同様の通信方法を使用する他のプロトコルが配布対象になります。



それではどうしますか？ 顧客が直面している問題をどのように解決しますか？ 上で書いたように、「説明の中にあるように見える」製品がそれを解決するのではなく、タスクの上に構築する必要があります。 Skypeで使用される上記の通信方法に基づいて、タスクを解決するための3つの候補があります。

• シスコステルスウォッチ
• シスコの火力
• NBAR2機能を備えたCisco ISR。

NBAR2（ネットワークベースのアプリケーション認識）は、IOSオペレーティングシステムを搭載したCiscoルーターの機能であり、ルーターを通過するアプリケーションを認識できます。 その助けを借りて、接続用の動的ポートを備えたピアツーピアテクノロジーを使用するトラフィックを含む、さまざまなタイプのトラフィックを簡単に識別できます（Skypeも適用されます）。 通常のルーターでSkypeをブロックするには、次のコマンドを入力するだけで十分です（「GigabitEthernet 0/2」の代わりにトラフィック制御用の正しいインターフェイスを指定します）。



(config)#class-map match-any blockskype

(config-cmap)#match protocol skype

(config)#policy-map blockskype

(config-pmap)#class blockskype

(config-pmap-c)#drop

(config)#interface GigabitEthernet 0/2

(config-if)#service-policy input blockskype

(config-if)#service-policy output blockskype







有効にしたポリシーの正しい動作を確認するには、show policy-map（またはshow class-map）コマンドを使用します。



1#show policy-map interface g0/2 input

GigabitEthernet0/2



Service-policy input: blockskype



Class-map: blockskype (match-any)

994 packets, 327502 bytes

30 second offered rate 43000 bps, drop rate 43000 bps

Match: protocol skype

994 packets, 327502 bytes

30 second rate 43000 bps

drop



Class-map: class-default (match-any)

195253 packets, 51828774 bytes

30 second offered rate 7282000 bps, drop rate 0 bps

Match: any







ただし、この方法には1つしかありませんが、重大な欠点があります。すべてのSkypeトラフィックを無差別にブロックします。 実際には、より柔軟にする必要があるかもしれません。 たとえば、ネットワーク上の特定のユーザーのみにSkypeの使用を許可し、他のすべてのユーザーを禁止するとします。 または、Skype自体内の特定の機能（チャット、音声、ビデオ、ファイル転送）を禁止し、これらのポリシーを特定のユーザーアカウントにリンクする必要があります。 Cisco WSAもCisco NBAR2もこの定式化の問題を解決できません-Cisco Firepowerテクノロジーのみ（Cisco ASA ITUのアドオンとして、独立したハードウェアまたは仮想デバイスとして、またはCisco ISRルーターのアドオンとして）。 このソリューションにより、時間、ユーザー、Skypeでの操作、方向など、さまざまな属性でSkypeをフィルタリングするタスクに対して最も柔軟なソリューションが可能になります。 ただし、さらに進んだ場合、Skypeアプリケーションがユーザーのコンピューターで実行されるのを防ぐことができ、グループポリシーと独立した情報保護ツール（たとえば、Cisco AMP for Endpoints）の両方でこれを行うことができます。



最後の例を取り上げます。これは、多くの場合、顧客との会話でポップアップし、このメモの始まりです。 お客様は、「Torをブロックしたい。 ITUはこれを行う方法を知っていますか？」 ここでは、ITUの助けだけでなくTorをブロックできますが、これは最も明白なオプションです。 ITUにTorネットワークの出力ノードまたはディレクトリサーバーのアドレスの定期的に更新されたリストを提供すれば、問題は解決したと推測できます。 しかし... ...これが唯一のオプションですか？ もちろん違います。 Cisco ISRを使用してTorをブロックし、一致するアドレスのリストを提供してから、ACLに変換できます。 通常のスクリプトhttps://github.com/RealEnder/cisco-tor-blockを使用して、このタスクを自動化できます 。 また、たとえば、Cisco Stealthwatchは、出力だけでなく、Torネットワークの入力ノードとの相互作用を監視できます。 また、Cisco AMP for Endpointsでは、このタスクをハングさせることができます。 多くのオプションがあります-初期条件を満足させるには、どれが良いかを理解する必要があります。



そのため、常にパートナーと顧客の両方にタスクを明確に定式化し、必要なシスコ製品について話さないよう促します（ただし、顧客はポートフォリオに精通しており、必要なものを完全によく知っていることもあります）彼らがどんな問題と戦いたいかについて。 そうでない場合、顧客/パートナーはシスコのソリューションに不満を感じる可能性があり、これはおそらくタスクを非効率的に解決します。 しかし、誰もタスクを設定しませんでした:-(会社は、そのビジョンに基づいてソリューションを獲得することがよくありますが、その後、タスクに対処できないことがわかります。この場合、誰が責任を負いますか？



言い換えれば、外国人がファッショナブルな用語「ユースケース」（ユースケース）と呼んでいるものの上に構築する必要があります。 サイバーセキュリティで発生するこのようなシナリオの4つのタイプを選びます。

• 特定の脅威（情報漏洩、ランサムウェア、DDoS攻撃、フィッシングなど）の中和
• 特定のテクノロジ（たとえば、仮想化されたデータセンター、Skype、クラウド、境界など）の保護/ブロック
• サイバーセキュリティの要件を含む規範的な行為または基準の要件の実装（たとえば、FSTECの31次またはロシア銀行の新しいGOST）
• 情報セキュリティ（たとえば、インシデント対応、セキュリティ認識、情報セキュリティ監視など）のプロセスの実装。

これらの4つの各カテゴリには、ユニバーサルリストが存在しないシナリオが多数あります（最も一般的なシナリオがあります）。



記事の終わりに近づいて、私は再び始めたところに戻りたいと思います。 企業で情報セキュリティシステムを適切に構築するために、製品A、B、またはCを探すために実行する必要はありませんが、最初に初期データのリストを作成します-解決すべきタスク（保護されたプロセス、サポートされるプロトコルとシステム、パフォーマンスなど）、脅威が反映され、規制要件、つまり使用シナリオに基づいて構築します。 そして、これを理解して初めて、適切なソリューションを選択するプロセスに進むことができます（そして再び-製品ではなくソリューション）。 あなたの選択で頑張ってください！ ユースケースのトピックをもう少し広くするために、次の記事ではいくつかの典型的なシナリオを検討します。