ハッキングと防御、一見神秘的だが欠かせない分野。最近、ネットワークとセキュリティの統合分野の世界的リーダーであるフォーティネット (Nasdaq: FTNT) は、実践的な攻撃および防御訓練のフォーティネット DEMO DAY シリーズのオンライン ライブ ブロードキャストを開始し、ハッカーがどのように「ハッキング」し、破壊するかを誰もが視聴できるようにしました。 、Fortinet 一連の製品を 1 つずつ分解して解決する方法!
第 1 回では、フォーティネットの攻撃および防御の専門家チームのメンバーである Zhuang Zhehao 氏が、ハッカーの攻撃および防御のデモの後、オンラインの聴衆と詳細な Q&A を行いました。以下は、誰もが懸念している 7 つの関連する質問と回答です。について:
質問 1. ブルート フォース クラッキングとクレデンシャル スタッフィング攻撃の違いは何ですか?
一般に、この 2 つは 1 つとして考えられます。しかし、深く理解すると、この 2 つには類似点がある一方で、相違点もいくつかあることがわかります。
ブルート フォース クラッキングは実際には無差別攻撃に似ており、ターゲット サイトに関する明確な概念はありません。ただし、クレデンシャル スタッフィング攻撃は APT 攻撃に似ているため、攻撃は標的を絞らなければなりません。たとえば、エンタープライズ OA に対するクレデンシャル スタッフィング攻撃は、ブルート フォース クラッキングで使用される root、admin、admin123 などの単純で脆弱なパスワードとは異なり、ターゲットを理解するために多大な労力を費やします。
これには、採用、アフターセールス、マーケティングおよびその他の関連電子メール、会社がパブリック ネットワーク上に公開するアカウント番号およびその他の情報、および比較的明確な電子メールおよびアカウント データベースの確立が含まれます。一方で、インターネットからダウンロードした汎用のパスワード辞書をそのまま利用するのではなく、対象となる会社の略称や人名、会社名などに合わせたパスワードの組み合わせルールを追加するのが一般的です。
質問 2: フォーティネットはサードパーティ製品とどのように連携しますか?
まず、FortiAnalyzer のような製品やソリューションの場合、最も相乗効果をもたらすのはフォーティネット独自の製品でなければなりません。ただし、サードパーティがオープン API を持っている場合は、フォーティネット関連製品もリンクできます。たとえば、FortiSOAR は API を通じてサードパーティと連携し、さまざまな種類のイベントに応じて Playbook スクリプトを照合して、対応する処理を行うことができます。
質問 3: FortiSIEM は FortiAnalyzer を置き換えることができますか?
まず、この二つは部分集合と包含の関係だと思います。SIEM には、実際には FortiAnalyzer の機能が含まれています。第 2 に、FortiSIEM は、FortiGate、FortiWeb、FortiAnalyzer、SOC などのフォーティネット自社製品と互換性があるだけでなく、Cisco や FortiAnalyzer などの主流製品などのサードパーティ製品とも互換性があります。シマンテック。
ただし、FortiAnalyzer は異なります。ログ分析機能は SIEM に比べて弱く、Fortinet システム内の製品のログのみを分析できます。SIEM ほど包括的ではなく、他メーカーの複数の製品に接続できます。
これが二人の関係です。FortiAnalyzer は SOAR に少し似ていますが、FortiAnalyzer は SIEM と SOAR を統合した軽量な製品であり、よりフォーティネット製品に特化していることがわかります。
質問 4: FortiWeb の製品価値をどのように反映しますか?
これまで Web 保護をまったく導入していなかった企業にとって、FortiWeb の展開はその WAF 価値をどのように反映するのでしょうか? 各企業や各業界は異なるかもしれませんが、さらなる発展の余地はまだあります。
脆弱性スキャンの前後の比較。スキャンの欠落は客観的である必要があるため、これは単なる見た目に過ぎません。FortiWeb の導入後、脆弱性の数は直接減少します。この種の前後のデータ比較は非常に客観的です。
ただし、スキャン漏れは予防策であり、介入的な操作ではありません。したがって、FortiWeb 導入後、脆弱性スキャンの結果を比較することは、一定の参考意義があるとは言えますが、本製品の真価を完全に反映することはできません。
キーポイント 1: FortiWeb は通常の業務転送に影響を与えましたか? 多くの場合、セキュリティ製品の導入は事業部門との対応を意味するため、導入した機器がビジネスにどの程度の影響を与えるかを最初に判断する必要があります。 ASIC チップがビジネスに与える影響は最小限です。つまり、事業の正常な遂行に影響を及ぼさないように事業の継続性がまず保証され、その後、保護価値が議論される。
2 つ目の重要なポイントは、定期的なスキャンミスや侵入テストを通じて、導入されたセキュリティ保護機器がセキュリティ保護の役割を果たしているかどうかを確認することです。セキュリティ部門がその価値を反映するのは確かに困難ですが、完全に不可能というわけではありません。リーク スキャンと侵入テストに加えて、企業は定期的に赤と青の対決を実行することもできるため、導入された WAF は視覚化と保護データを通じて価値をより適切に反映できます。
赤と青の対立が常態化すると、企業の CEO や CFO は、毎年受ける攻撃の頻度が徐々に減少することに気づくでしょう。以前と同様に、毎年約 100 件のセキュリティ インシデントが処理され、その 100 件のインシデントがどの程度の損害を引き起こすかがわかりました。現在、WAF が導入され、赤と青の対立が常態化しているため、セキュリティ インシデントと損失の削減は、 WAF 導入の保護価値。
質問 5. FortiAnalyzer Playbook に対応するテンプレートはありますか?
FortiAnalyzer Playbook は実際には軽量で非常にシンプルですが、テンプレートとは実際にはもう少し重いため、テンプレートとは呼びません。百聞は一見に如かず、攻撃側と防御側のシナリオをいくつか用意してテストに興味のある企業様は、ぜひお問い合わせの上、実際のテストを体験してみてください。
質問 6: FortiWeb 転送と Nginx 転送はどちらが強力ですか?
実際、この 2 つは同じカテゴリーに属しません。転送パフォーマンスだけで言えば、FortiWeb の方が優れているはずです。しかし、Nginx のほとんどはサーバー上にデプロイされており、サーバー上の単なるコンポーネントにすぎません。仮想化展開に加えて、FortiWeb はハードウェア デバイスもサポートしており、このモードには実際にハードウェア アクセラレータ カードがあり、転送パフォーマンス、特に https パフォーマンスを高速化できます。また、Nginx は X86 アーキテクチャであり、基盤となる X86 プラットフォームのパフォーマンスに大きく依存するため、FortiWeb の方が強力だと思います。具体的な指標で測ることは難しいですが、技術的なアーキテクチャ設計の観点からは、実際に分析してその強さを判断することができます。
質問 7. FortiWeb は Exchange Server をどのように保護しますか?
FortiWeb が主に保護するのはメール サーバーではなく、外部公開サイトであるため、メール サーバーの場合、FortiWeb はメール サーバーのフロントエンド ページ (Exchange の OWA のフロントエンド ページなど) を保護する必要があります。具体的なメールの流れです。
フォーティネットは、プロフェッショナルな電子メール セキュリティ ゲートウェイ FortiMail が、デモ戦闘の攻撃と防御の第 2 段階で企業電子メールの内部および外部のセキュリティをどのように注意深く保護しているかを示します。下の画像の QR コードをスキャンしてフォローしてください。