JA  /  EN

Cybereason

Cybereason

INTRODUCTION

サイバー攻撃の現状

  • 暗号化通信を
    悪用した攻撃
    • 従来のゲートウェイセキュリティでは見抜けないTCP443を使用する遠隔操作ツール(RAT)の増加
    • 新型コロナウイルスの感染拡大による在宅勤務者の増加に伴ったEmotetなど
  • 攻撃は静かに実行
    = 見えない攻撃の増加
    • 感染したユーザー側からは気づけない
    • 従来のセキュリティでも見抜けないファイルレス攻撃
  • ターゲットの業務を
    研究し尽くした攻撃
    • インターネット上のオープンソースを調査し、外部サーバーのシステム構成を把握
    • 取引先企業との人間関係も把握し、取引先に装った標的型メール
  • 攻撃者を支援する
    アンダーグラウンド市場
    • 攻撃代行業、攻撃者用サーバーのレンタル
    • 攻撃者への通信先を隠蔽する攻撃者を守る防弾サービス
    • 盗んだ個人情報/マルウェアの売買
    • 仮想通貨の支払いで誰でも簡単に利用可能
  • 公開された脆弱性を突く
    無差別攻撃
    • パッチ管理の難しさを悪用。公開された既知の脆弱性を用いた攻撃
    • ・SMB V1 (MS17-010)
      ・Apatch Struts2
      ・Word Press Plug-in など

侵入は100%防げない

従来のセキュリティ対策の限界

侵入を前提とした
エンドポイント対策(EDR)の必要性

*EDR: Endpoint Detection and Response

  • 複数端末にわたる相関分析
  • リアルタイム検知
  • 振る舞い分析
  • 攻撃の全体像を可視化
MEASURES

侵入前~侵入後まで包括的に対処できるセキュリティ対策

Cybereasonでは昨今の攻撃の進化に伴い、次世代の入口対策としてのEndpoint Preventionをリリースしました。
次世代の防御に加え、攻撃を防げないことを前提に、侵入後の侵害の拡大防止と監視強化を目的とした対策Endpoint Detection and Response により、同一の管理画面上で攻撃の侵入状況を把握し、攻撃の全体像を即座に捕えながら、侵害の拡大や情報流出、システムの破壊を食い止めることが可能になります。

これにより侵入前~侵入後までを一括してフォローすることが可能なセキュリティソリューションになります。

侵入後のダメージ防御・制御対策

組織内のあらゆるエンドポイントをリアルタイム監視

  • 数千、数万のセンサーがリアルタイムに送り続けるデータを解析サーバーが調査。
  • Windows, Mac OS, Linuxに対応。サーバーを含むすべてのエンドポイントをリアルタイムで監視。
侵入後のダメージ防御・制御対策

機械学習と意思決定アルゴリズムを用いて脅威を特定

  • クラウドに収集されたデータを1秒あたり
    800万の問い合わせを行いビッグデータ解析。
  • 異常な振る舞いを
    絞り込み、検知します。
悪性通信検知、  感染検知、権限の昇格検知、情報窃取検知など各種の異常を検知

遠隔にある端末にも、即座に対処

  • 端末隔離
  • プロセス停止
  • 検体(マルウェア)隔離
  • レジストリ削除
社内ネットワーク内にある端末から、海外拠点や移動中や自宅勤務で使われる端末にも対処

アーキテクチャ

お客様におこなっていただくメインのタスクは、サイバーリーズンのセンサーを各端末にインストールしていただくことです。
Windowsの業務端末はもちろん、Windowsのサーバー、MacOS、Linuxにも入れていただくことができます。

クラウドサービスで連携、Cybereasonにて監視や診断を実施、お客様には最終判断、対処をいただきます

センサー

Cybereason センサーは、利用ユーザーの
「端末に影響を与えない」ように設計されています。

  • ユーザーモードで動作
    → PCクラッシュ無し

    ユーザーモードで動作

    ユーザーモードで動作し、万が一、センサーに問題が発生した場合も、他のアプリケーションおよびOSには、影響を与えない設計。

    ※実行防止ドライバ及びNGAV機能はカーネルモードを使用します。

  • 端末へのCPU負荷が低い
    → 通常業務に影響なし

    ユーザーモードで動作

    センサーは収集データのアップロード、管理コンソールからの指示による軽い処理のみをおこない、解析処理はCybereasonサーバー側で実施。

  • 通信量5-25MB/日以下
    (メール数通分)
    → 社内ネットワーク影響なし

    ユーザーモードで動作

    端末の振る舞いやイベント情報のメタ情報を圧縮し、サーバーへリアルタイムにアップロード。

    ※Cybereasonでの数値です。NGAVでシグネチャモードを使用する場合は、シグネチャ更新時などに通信が発生します。

進行する攻撃を直感的に可視化

インシデント時の
状況把握を効率化

一目で組織に広がる攻撃状況を把握し、
適切で素早い対応に導くインターフェイス

攻撃フェーズごとの感染状況や統計などを素早く把握 攻撃フェーズごとの感染状況や統計などを素早く把握
ダッシュボード

日本語レポートをボタンひとつで自動生成

セキュリティ業務の
負荷を軽減する
自動レポート生成機能

インシデント時の報告業務に
効果的に活用

日本語PDFレポートを自動生成 日本語PDFレポートを自動生成
PDFレポート自動生成機能
ADVANTAGES

Cybereasonの優位点(技術面)

検知

シグネチャをすり抜け、サンドボックスも回避した
侵入後の攻撃に対抗できる

  • 悪意ある振る舞いをエンドポイントでリアルタイム検知。
  • SSLを使ってすり抜けた攻撃、ファイルレスマルウェアによる
    攻撃など高度な攻撃も検知。
  • ランサムウェアを検知した場合は、即座にそのプロセスを停止し、
    被害を最小化。
調査

攻撃の全体像をリアルアイムに可視化、状況把握

  • ネットワーク内での攻撃の全体像、1つの攻撃の侵入から
    現在までをリアルタイムに解析。
  • 侵入のポイント、根本原因、影響を受けた端末、影響を受けた
    ユーザーを把握、攻撃の流れを自動分析、時系列で表示。
    短時間で攻撃の全体像を把握可能。
  • 影響範囲を調査コンソールから深堀でき、検知・分析から
    レスポンスまでの時間を短縮。
対応

攻撃された複数台の端末を遠隔から一度に対応可能

  • 影響を受けた端末に対して、遠隔から一度に端末の隔離、
    プロセス停止、ファイルの隔離、レジストリの削除を
    おこなうことが可能。
  • インシデントレスポンスにおいて対応スピードが重視される中で、
    同じ攻撃キャンペーンごとに、影響範囲を即座に把握し、
    同じ攻撃を受けた端末すべてに対して同時に対応することにより
    被害を最小化。

Cybereasonの優位点(運用面)

影響や負荷対策

業務端末に影響しない

  • CybereasonのEDR機能はユーザーモードで動作するため
    OSのアップデートのたびに影響を受けにくい。
    ブルースクリーンを引き起こさず、かつ業務アプリケーションにも
    影響を及ぼさない設計。
  • 低CPU使用率、低メモリ使用量、低ネットワーク負荷。VDIも可。
日本語で提供

日本語画面、日本語レポート

  • インシデントの際には矢継ぎ早に対策をおこなう必要あり。
    日本の組織においては、画面と自動生成レポートも日本語で
    提供されることは対応スピードの観点からも重要。
  • 管理ユーザーごとに、日本語と英語の切り替えが可能なため、
    状況/事象を即座に正確に把握可能。
サポート

グローバル体制の協力なサポート体制

  • MDR/マネージド・ディテクション&レスポンスによるセキュリティの専門家による監視/解析/報告
    (脅威解析レポート、月次レポートあり)
  • お客様担当のCS/カスタマー・サクセスによる導入/運用支援(製品トレーニング/運用に係る全般的なご相談窓口)

脅威検知と対応のマネージドサービス/MDR

専門アナリストによるエンドポイント監視・解析サービス

システム全体を24時間365日リアルタイムで監視し、すべてのエンドポイントで収集されるデータを分析することで、攻撃者を絶え間なく追跡。当社の専門アナリストが、攻撃の規模と影響についてレポートすることで、セキュリティチームの理解を助け、脅威に対する素早い対策を行うお手伝いをします。

監視
監視

セキュリティ・アナリストが
お客様環境を監視

解析・リスク判断
解析・リスク判断

セキュリティ・アナリストが
速やかにリスクを判断

解決方法提示
解決方法提示

攻撃の解決と修正に必要な
推奨手順を提示

解析結果レポート
解析結果レポート

速やかに解析を完了し、
レポート

マネージド・セキュリティ・サービス
CHECK

Cyber Posture Assessment(セキュリティ・ヘルスチェック)で
社内環境の安全性を確認

監視
EDRの導入を
検討されているお客様
解析・リスク判断
既存セキュリティ対策の
効果を測定したいお客様
解決方法提示
端末の利用状況の
洗い出しをしたいお客様
  • 最新エンドポイント・セキュリティ・ソリューションCybereasonを用いて、
    約3週間でサイバー攻撃の起点、および侵害拡大のリスク有無をチェックします。
  • お客様にて、各エンドポイントへセンサーをインストール
    いただきます。
  • 端末数(PC/サーバー含む):5000台まで

ステップ
1

お客様にCybereasonセンサーを
エンドポイントへ
インストールいただきます

(サイレントインストール可)

ステップ
2

Cybereasonが収集しているデータをもとにサイバー攻撃の起点となりえるシステム運用事項をアナリストが分析いたします。

ステップ
3

セキュリティ診断結果を報告いたします。

セキュリティ・ヘルスチェック
CHECK

侵害調査サービス(Compromise Assessment)

侵害の証跡を調査し、効果的なセキュリティ対策を提案します。

隠れた敵を発見

⾼度なマルウェアは、セキュリティシステムの検知機能をすり抜け、痕跡を残しません。また正規のID/PWを⽤いたアカウントのなりすまし攻撃などもあります。侵害された危険な端末を特定することがサイバーセキュリティの第⼀歩です。

セキュリティの盲点を把握

サイバー攻撃における、侵入経路、攻撃の流れを解析し、セキュリティ侵害の範囲を特定します。そして、システムや端末上のセキュリティホールや、抜け穴を根絶します。

効果的なセキュリティ対策を提案

サイバー攻撃における、侵入経路、攻撃の流れを解析し、セキュリティ侵害の範囲を特定します。そして、システムや端末上のセキュリティホールや、抜け穴を根絶します。

ペネトレーションテストによる脆弱性診断とは異なり、侵害調査サービス(Compromise Assessment)ではお客様環境が実際に受けている脅威を特定することを⽬的としています。

実際の調査において、攻撃者の思考を理解しているサイバーリーズンのアナリストが環境の状況を深堀りすることから、通常のセキュリティ製品では検知できない⾼度な攻撃を数多く発⾒してきております。

侵害調査サービス(Compromise Assessment)の流れ

  • STEP1:収集

    サイレントセンサーはエンドポイント及びサーバーにすばやく導⼊できます。

  • STEP2:検知

    サイバーリーズンの解析エンジンは、1 秒に 800万以上のイベント解析を⾏い、悪意ある活動を⾒つけ出します。

  • STEP3:ハンティング

    解析エンジンによる自動検知以降、ハンティングチームがサイバー攻撃のノウハウに基づき環境の状況を更に深堀りし、脅威となり得る振る舞いを洗い出します。

  • STEP4:報告

    調査で確認された脅威、攻撃の痕跡についての調査結果を報告しつつ、攻撃への対応や以後のセキュリティ対策についてのアドバイスをレポートとして提供します。

CHECK

IR(インシデント対応)サービス

グローバルの専門チームが、ワンストップでインシデント対応を支援します。

CybereasonのIRチーム

軍事機関、政府関連機関、学術機関、民間のセキュリティ組織等、各領域の最前線で豊富な経験を培い、インシデント対応、脅威ハンティング、マルウェア解析、フォレンジック、脅威情報調査、セキュリティ監視などの、幅広いスキルを保持するインシデント対応のプロフェッショナルがお客様を支援します。

Cybereason IRメソドロジー(方法論)

侵害範囲の特定を最も重要なフェーズとして位置付け、徹底的な侵害調査を実施します。また、サイバー脅威の調査研究チームとして知られているCybereason Nocturnusチームと連携し、最先端のサイバー攻撃手法などに基づいた調査を実施することで、早期の侵害範囲の特定、攻撃の封じ込め、復旧に導きます。

Cybereason IRテクノロジー

サイバーリーズンのAIを活用したIRテクノロジーの自動解析機能を最大限に活用したインシデント調査を実施します。また、インシデント対応と並行してリアルタイム脅威監視サービスを提供することで、現在進行形の不審な通信を遮断する等、お客様環境に対する攻撃を未然に防ぎます。テクノロジーを活用して、効果的・効率的にインシデント対応を実施することで、調査時間の大幅な短縮、調査コストの削減が可能となります。

迅速に対応できるグローバルな体制

インシデント発生時に対応支援を迅速に開始できるよう、グローバル規模で体制を整備しています。サイバーリーズンのGlobal SOCの拠点である日本、イスラエル、米国に加え、世界各地のインシデント対応専門メンバーが連携して対応にあたります。バイリンガル人材により構成されたIRチームの日本のメンバーは、お客様の海外拠点先との円滑なコミュニケーションも直接支援します。

定期報告資料

調査結果レポート

IRサービスの流れ

  • STEP1:
    Kick Offと
    環境準備

    IRテクノロジーの展開と24/7環境監視開始

  • STEP2:
    影響範囲特定と
    原因調査

    IRテクノロジーを用いた脅威・影響範囲の網羅的な特定

  • STEP3:
    封じ込めと
    復旧支援

    特定した影響範囲に対する封じ込めと復旧に必要な推奨策提示

  • STEP4:
    最終報告と
    セキュリティ改善策提示

    調査内容のご報告および今後のセキュリティ強化に向けた改善策の提示

ご担当者様と状況報告ミーティングを定期的に実施
電話/メール/オンラインのリモートコンサルティング
Cybereason Endpoint Prevention

専用の防御層で既知・未知のマルウェアを未然に防止し
アナリストの分析作業を効率化

既知のマルウェアの効率的な検知

コモディティ化した既知のマルウェアは従来型のウイルス定義ファイルを利用し、効率的に検知・ブロックします。

機械学習による未知のマルウェアの検知

何十万もの既知マルウェア/未知のマルウェアで訓練した高度な機械学習アルゴリズムにより、ウイルス定義ファイルで検知できない未知のマルウェアを最高の検知率と最も低い誤検知率で検知・ブロックします。

ファイルレスマルウェアの防止

悪意のあるPowershellや.NETなどOSの正規ツールを⽤いたファイルレスマルウェアによる攻撃を、プロアクティブに検知・ブロックします。

ランサムウエアの防止

ユニークなおとりのテクニックと、エンドポイントにおけるふるまい分析で、重要なファイルが暗号化される前に、未知のランサムウェア、ファイルレス・ランサムウェア、MBRベースのランサムウェアを検知・ブロックします。

振る舞いベースのドキュメント保護

マクロなどのスクリプトがドキュメント内に含まれている場合、解析し、悪意のあるスクリプトの実行を防止します。

脆弱性を悪用する攻撃を防御

OS、プログラムなど様々な脆弱性をついた攻撃(エクスプロイト)を防御します。

セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。