Cybereason EDR
「Cybereason EDR」は、お客様のネットワーク環境内での不審者の活動を常に監視し、リアルタイムにサイバー攻撃を検知。
攻撃の全体像を即座にビジュアライズし、迅速に対処することができるサイバーセキュリティプラットフォームを提供します。
サイバー攻撃の現状
-
暗号化通信を
悪用した攻撃- 従来のゲートウェイセキュリティでは見抜けないTCP443を使用する遠隔操作ツール(RAT)の増加
- Sony Pictures を狙った北朝鮮製と考えられるマルウェアなど
-
攻撃は静かに実行
= 見えない攻撃の増加- 感染したユーザー側からは気づけない
- 従来のセキュリティでも見抜けないファイルレス攻撃
-
ターゲットの業務を
研究し尽くした攻撃- インターネット上のオープンソースを調査し、外部サーバーのシステム構成を把握
- 取引先企業との人間関係も把握し、取引先に装った標的型メール
-
攻撃者を支援する
アンダーグラウンド市場- 攻撃代行業、攻撃者用サーバーのレンタル
- 攻撃者への通信先を隠蔽する攻撃者を守る防弾サービス
- 盗んだ個人情報/マルウェアの売買
- 仮想通貨の支払いで誰でも簡単に利用可能
-
公開された脆弱性を突く
無差別攻撃- パッチ管理の難しさを悪用。公開された既知の脆弱性を用いた攻撃
- ・SMB V1 (MS17-010)
・Apatch Struts2
・Word Press Plug-in など
侵入は100%防げない
侵入を前提とした
エンドポイント対策(EDR)の必要性
*EDR: Endpoint Detection and Response
- 気付いていない事故の検出
- 侵入を許した攻撃の封じ込め
- セキュリティ侵害の調査
- セキュリティ侵害からの復旧
侵入後のダメージを制御するセキュリティ対策
組織がどれだけ対策しても、いつかは侵入されていまいます。これまでのセキュリティ対策は、攻撃の侵入を食い止めることにばかり焦点があてられてきました。しかしながら、攻撃者はますます高度に洗練した攻撃手法を用いており、それらのセキュリティ製品をすり抜けてしまいます。
つまり、攻撃を防げないことを前提に、侵入後の侵害の拡大防止と監視強化を目的とした対策を考える必要があります。
エンドポイント・ソリューションによって、攻撃の侵入状況を把握し、攻撃の全体像を即座に捕えながら、侵害の拡大や情報流出、システムの破壊を食い止めることが重要です。
組織内のあらゆるエンドポイントをリアルタイム監視
- 数千、数万のセンサーがリアルタイムに送り続けるデータを解析サーバーが調査。
- Windows, Mac OS, Linuxに対応。サーバーを含むすべてのエンドポイントをリアルタイムで監視。
機械学習と意思決定アルゴリズムを用いて脅威を特定
- クラウドに収集されたデータを1秒あたり
800万の問い合わせを行いビッグデータ解析。 - 異常な振る舞いを
絞り込み、検知します。
遠隔にある端末にも、即座に対処
- 端末隔離
- プロセス停止
- 検体(マルウェア)隔離
- レジストリ削除
アーキテクチャ
お客様におこなっていただくメインのタスクは、サイバーリーズンのセンサーを各端末にインストールしていただくことです。
Windowsの業務端末はもちろん、Windowsのサーバー、MacOS、Linuxにも入れていただくことができます。
アーキテクチャ
Cybereason センサーは、利用ユーザーの
「端末に影響を与えない」ように設計されています。
-
ユーザーモードで動作
→ PCクラッシュ無し
ユーザーモードで動作し、万が一、センサーに問題が発生した場合も、他のアプリケーションおよびOSには、影響を与えない設計。
※実行防止ドライバ及びNGAV機能はカーネルモードを使用します。
-
端末へのCPU負荷が低い
→ 通常業務に影響なし
センサーは収集データのアップロード、管理コンソールからの指示による軽い処理のみをおこない、解析処理はCybereasonサーバー側で実施。
-
通信量5-25MB/日以下
(メール数通分)
→ 社内ネットワーク影響なし
端末の振る舞いやイベント情報のメタ情報を圧縮し、サーバーへリアルタイムにアップロード。
※Cybereason EDRでの数値です。NGAVでシグネチャモードを使用する場合は、シグネチャ更新時などに通信が発生します。
進行する攻撃を直感的に可視化
インシデント時の
状況把握を効率化
一目で組織に広がる攻撃状況を把握し、
適切で素早い対応に導くインターフェイス
日本語レポートをボタンひとつで自動生成
セキュリティ業務の
負荷を軽減する
自動レポート生成機能
インシデント時の報告業務に
効果的に活用
Cybereasonの優位点(技術面)
シグネチャをすり抜け、サンドボックスも回避した
侵入後の攻撃に対抗できる
- 悪意ある振る舞いをエンドポイントでリアルタイム検知。
- SSLを使ってすり抜けた攻撃、ファイルレスマルウェアによる
攻撃など高度な攻撃も検知。 - ランサムウェアを検知した場合は、即座にそのプロセスを停止し、
被害を最小化。
攻撃の全体像をリアルアイムに可視化、状況把握
- ネットワーク内での攻撃の全体像、1つの攻撃の侵入から
現在までをリアルタイムに解析。 - 侵入のポイント、根本原因、影響を受けた端末、影響を受けた
ユーザーを把握、攻撃の流れを自動分析、時系列で表示。
短時間で攻撃の全体像を把握可能。 - 影響範囲を調査コンソールから深堀でき、検知・分析から
レスポンスまでの時間を短縮。
攻撃された複数台の端末を遠隔から一度に対応可能
- 影響を受けた端末に対して、遠隔から一度に端末の隔離、
プロセス停止、ファイルの隔離、レジストリの削除を
おこなうことが可能。 - インシデントレスポンスにおいて対応スピードが重視される中で、
同じ攻撃キャンペーンごとに、影響範囲を即座に把握し、
同じ攻撃を受けた端末すべてに対して同時に対応することにより
被害を最小化。
Cybereasonの優位点(運用面)
業務端末に影響しない
- CybereasonのEDR機能はユーザーモードで動作するため
OSのアップデートのたびに影響を受けにくい。
ブルースクリーンを引き起こさず、かつ業務アプリケーションにも
影響を及ぼさない設計。 - 低CPU使用率、低メモリ使用量、低ネットワーク負荷。VDIも可。
日本語画面、日本語レポート
- インシデントの際には矢継ぎ早に対策をおこなう必要あり。
日本の組織においては、画面と自動生成レポートも日本語で
提供されることは対応スピードの観点からも重要。 - 管理ユーザーごとに、日本語と英語の切り替えが可能なため、
状況/事象を即座に正確に把握可能。
日本法人による強力なサポート体制
- MSS/マネージド・セキュリティ・サービスによるセキュリティの
専門家による監視/解析/報告
(インシデントレポート、月次レポートあり) - お客様担当のCS/カスタマー・サクセスによる導入/
運用支援(製品トレーニング/定期ミーティング/
運用に係る全般的なご相談窓口)
マネージド・セキュリティ・サービス /MSS
専門アナリストによるエンドポイント監視・解析サービス
システム全体をリアルタイムで監視し、すべてのエンドポイントで収集されるデータを分析することで、攻撃者を絶え間なく追跡。当社の専門アナリストが、攻撃の規模と影響についてレポートすることで、セキュリティチームの理解を助け、脅威に対する素早い対策を行うお手伝いをします。
セキュリティ・アナリストが
お客様環境を監視
セキュリティ・アナリストが
速やかにリスクを判断
攻撃の解決と修正に必要な
推奨手順を提示
速やかに解析を完了し、
レポート
