企業や民間団体そして官公庁等、特定の組織及びその委託先(サプライチェーン)に対して、機密情報等を窃取することを目的とした標的型攻撃やランサムウェアによる被害が相次いでいます。
いずれもメール、Webサイトを利用しPC(エンドポイント)をウイルスに感染させ、攻撃するものです。
■「情報セキュリティ10大脅威」組織編*
*IPA「情報セキュリティ10大脅威」から抜粋。
https://www.ipa.go.jp/security/vuln/
一方でエンドポイントへの高度な攻撃に用いられるのは、マルウェアを使わないファイルレス攻撃(マルウェアフリー)と呼ばれるものであり、従来のマルウェア対策で守ることができるのは、攻撃全体の半分程度と言われています。
また、攻撃に対処するためには、攻撃者が最初に侵入したエンドポイントからネットワーク内の他のシステムへの侵入を開始するまでの間(ブレイクアウトタイム)に、検知する必要があります。
CrowdStrikeは、クラウドに収集された全世界の端末の振る舞いログを監視し、標的型攻撃をリアルタイムに判断・通知します。
これにより、従来のマルウェア対策では検知できない攻撃を速やかに検知し、対処することが可能です。
CrowdStrikeは、Prevention機能により従来のマルウェアによる攻撃を防御します。加えて、EDR(Endpoint Detection and Responce)機能とOverwatch(後述)によりマルウェアフリー(マルウェアを使わないファイルレス攻撃)を含めた、エンドポイントに対するすべての攻撃を防御します。
CrowdStrikeはクラウド上にある最新の脅威インテリジェンスを利用し、EDRのアラートに対してリアルタイムに標的型攻撃かどうかの判断や、
攻撃者情報を確認することができます。攻撃者の目的や手法を知ることで、有効な防御策を検討することが可能です。
Overwatchとは、専門家が24時間365日ログを監視し、新しい脅威を常にハンティングする機能です。EDRでは自動的に検知できないような、高度な攻撃を検知することが可能です。
Overwatchでしか見つけられない例
以下のようなnet useやwhoamiというコマンドは、管理目的で日常的に利用されており、これだけでアラートを上げてしまうと、膨大な誤検知がでてしまうので、機械的には判断が難しい例になります。
しかし、Overwatchチームはこのコマンドの使用方法を、ツールで詳細確認することで、攻撃者による攻撃なのかどうかを判断してからアラートを生成します。
例えば、この前後に実行されているコマンドや、時間範囲内に同じコマンドが他のホストで実行されていないか、外部通信が行われているか、普段実行されているユーザと異なる権限で実行されていないか、など目視で確認します。
<ー
この調査用のコマンドはOverwatchチームが実際にユーザに送ったメールの例です。これらはすべて正規のコマンドになるため、このような攻撃者による環境の調査を機械的にすると誤検知が多く発生してしまう例になります。
CrowdStrikeのEDR機能は、攻撃の初期侵入から検知に至るまで、調査に必要な情報をプロセスツリーにより可視化します。
攻撃がいつ、どこから始まり、どのような影響を与えたかを、一つの画面内で確認することができます。
管理サーバーはクラウドサービスとして提供されるため、構築は不要です。
エンドポイントに導入するエージェントは軽量なカーネルモードで動作します。自動的にアップグレードされ、再起動は不要です。
CrowdStrike Falcon PlatformはPC端末(ワークステーション)をはじめ、サーバ、モバイル等、様々な環境を単一のエージェントでカバーできます。複数の管理コンソールは必要ありません。
MDR(Management Detection and Response)サービスは、CrowdStrike Falconにより検知・ブロックされたセキュリティ侵害の痕跡を分析し、具体的な影響の把握、当該エンドポイントの隔離による脅威の拡散抑止、脅威除去および復旧支援を行うサービスです。
本サービスによって、お客様のCrowdStrike Falconの運用負荷を大幅に軽減します。
アラート発生後、一次レポートまでの提出を24時間365日対応します。危険度の高いアラートが発生した場合でも即時対応が可能です。
アラート解析 危険度判定 |
CrowdStrike Falcon のアラート解析により危険度を判定し、現状把握と早期対応に必要な情報を通知します。 |
---|---|
エンドポイント隔離* | 危険度が「高」と判定されたエンドポイントを隔離し、CrowdStrike Falcon 管理サーバとの通信を除くネットワークアクセスを遮断します。 |
一次レポート | 発生後一時間以内に、危険度「高」「中」アラートの概要および推奨対応をレポートします。 |
二次レポート | 発生後翌営業日以内に、一次レポートの内容に加え、アラート解析結果と詳細分析情報をレポートします。 |
脅威除去・復旧支援 | エンドポイントに残存する脅威を除去するため、特定プロセス停止やファイル隔離を支援します。 |
月次レポート | 過去6ヶ月のアラート件数、および前月内に発生したアラートのサマリ情報をレポートします。 |
*アラート発生後即時隔離するか、電話連絡後許可を得て隔離するかは選択可能です。
一次レポート
二次レポート
月次レポート