標的型攻撃対策 製品 Lastline

Lastline 標的型攻撃対策 製品 概要

マルウェアはあなたのネットワークに潜んでいます

なぜ標的型攻撃対策が必要なのか?

従来のアンチマルウェア/アンチウイルス対策では包括的な標的型攻撃対策とは言えません。

近年のマルウェアは、度重なる標的型攻撃の被害報告が従来の防御システムでは守れないことを証明しているように、ファイアウォール・アンチウイルスソフト・IDS/IPSなどの従来の防御システムでは回避できません。

ネットワーク上で発生する脅威を正確に判断するには、事象の評価とマルウェア研究が不可欠です。しかし、全ての会社がセキュリティ専門チームがあるわけではありませんし、専門家が不足しているという現実があります。

どのように標的型攻撃から守るか?

IT管理者が標的型攻撃対策で直面するチャレンジ:

ユーザ シグネチャ モバイル
警告を無視し、セキュリティを無効にする一部ユーザによる混乱 シグネチャベースでは、最新の脅威への対策が遅れる 感染したモバイル端末はネットワーク防御だけでは防げない

防御システムを確立し、セキュリティ・ポリシーやトレーニングなどを実施しても、従業員の不注意でネットワークが脅威にさらされる危険がある事を、まず、認識すべきです。

ではどうするべきか?標的型攻撃対策の必要性

マルウェア識別に関する研究開発と、年間1万人以上のセキュリティ専門家に利用されている解析ツールの開発により、マルウェアをダウンロードしたサイトや、ボットネットをコントロールするサーバや個人情報を収集するサーバなどの悪意のあるインフラ(Malscape)の特定が重要であることが分かった。

Lastlineはセキュリティ専門チームを持っていない企業に対し、従来にはない包括的で、常に最新情報を保つことが可能な標的型攻撃対策ソリューションを提供します。

マルウェアが侵入しても、情報は漏えいさせない!!

Previct™ 標的型攻撃対策ゲートウェイ

Previctは“リバース・ファイアウォール”として動作するソフトウェアベースの標的型攻撃対策センサーです。Previctは外部へ出ていくネットワークトラフィックをモニタリングし、マルウェアのダウンロード要求、悪意のあるサイトへのアクセス、C&Cサーバへの通信、盗まれた情報のアップロードなどの行動を識別します。

Previctの標的型攻撃対策センサーの機能
  • コンピュータとマルウェアインフラ(Malscape)間のコミュニケーションの防御と警告
  • 感染したホストの特定
  • 検出された脅威について実用的なインテリジェンスを提供

マルウェアが侵入・・・→しかし、外部に情報は漏らさない!!

Previctの標的型攻撃対策センサーの動作

Previctは標的型攻撃対策に対する最終防衛ラインです。ファイアウォールやアンチウィルスなどの従来の防御システムをすり抜けてしまった「悪意あるアクティビティ」を監視し、マルウェアとC&Cサイト間の通信を遮断します。

(1)モニタ→(2)脅威検知→(3)悪意あるサイト→(4)C&Cサイト→(5)ブロック→(6)報告→(7)脅威レポート

  1. Previctはインターネットへの出口でネットワークトラフィックを監視します。
  2. 企業内部のホストからの接続要求と、Lastline独自の脅威リポジトリにある既知のC&Cサイトや悪意のあるサイト比較し、脅威を検知します。
  3. センサーが既知の悪意のあるサイト、または
  4. C&Cサイトへの接続要求を検出します。
  5. Previctからホストにコマンドを発行し、接続をブロックします。
  6. アラートが送信され、脅威レポートとして記録されます。

ページのトップへ

Lastline 標的型攻撃対策ソリューションの特徴

高いマルウェア検知率
  • 全世界のマルウェア情報を自動収集
    マルウェアが潜在するサイトをクロール機能で自動的に発見、
  • 高いマルウェア検知率
    常に最新のマルウェア情報をアップデートされるため、悪意あるインターネット通信を検知
マルウェア分析
  • マルウェアの実際の動作をサンドボックス内で詳細分析
    高度なエミュレーション・テクノロジーにより、ステルス型マルウェアを検知
  • C&C(Command and Control)への偽のインターネット接続を行い、C&Cサイトを特定する独自の振る舞い分析
マルウェア防御
  • マルウェアのネットワーク通信をリセットパケットで中断し、様々な脅威から防御
  • マルウェアが潜む悪意のあるファイル、メール、ウェブページ、ドキュメントからユーザを保護
  • モバイルデバイスを含むマルチOS環境をサポートし、外部への機密情報の流出をブロック
拡張性
  • 企業ネットワークの規模に応じて柔軟に標的型攻撃対策センサーを拡張可能
レポート表示

利用状況の集計レポートと個々のイベントを表示

  • 各イベントがインシデントに相関づけられ、脅威の現状把握と状況判断が容易
  • マルウェア検知時にはアラート情報をメール通知
  • 駆除可能なアンチウィルスソフトウェアを確認できる

ページのトップへ

アンチマルウェア・標的型攻撃対策テクノロジー

テクノロジー: Hunt, Crack, Track, Block

Hunt: インターネットの悪意のあるインフラストラクチャ・コンポーネントを発見(Malscape™)
Crack: 日々、数百万のウェブページとバイナリを分析
Track: 自動的に更新され、Malscapeは進化
Block: ネットワークを保護

Lastlineの革新的な標的型攻撃対策ソリューションは、広範囲かつ高精細度のマルウェア解析を行うことで、悪意のあるサイトに関する正確なリストを提供しています。これにより、見落としや誤検知の少ないシステムを実現しています。

Lastline社のクラウドではLLWEB、LLAMA、LLCHECKという3つのコンポーネントで高品質な標的型攻撃対策ソリューションを提供しています。

構成図

LLWEBは、悪意のあるサイトやダウンロードサイトを発見します。LLAMAは、マルウェアが接続するC&Cサイトを検出するためにマルウェアを解析します。LLCHECKはLLAMAとLLWEBからの出力を処理し、両方のツールによって検出された場所が実際に悪意のあるものであるかを確認します。これは脅威が依然としてアクティブであるかを確認し、誤検知を防ぐために必要な確認です。

LLWEB - 悪意のあるサイトやドライブ・バイ・ダウンロードサイトの検知

LLWEBはインターネットを巡回し、新たな脅威を識別します。ウェブページを訪問し、ブラウザのように振る舞い、Javaスクリプトコード、Flashコンポーネント、その他埋め込みオブジェクトなどのHTMLの要素を解釈し、それらが実行されている間に発生するイベントを記録、計測します。イベントを抽出し、悪意のある動作を識別する技術を用いて分析します。シグネチャベースのアプローチとは対照的に、この異常検出技術により、今まで検知できなかったゼロ・デイ・アタックを検出できます。LLWEBのユニークなブラウザ・エミュレーション技術により、ウェブベースのマルウェアの動作について、標的型攻撃対策に必要な詳細情報を提供することが可能となりました。

LLAMA - C&C(Command and Control)サイトの特定

LLAMAは自動化された高度なマルウェア解析エンジンです。Lastline社はハニーポット、スパムフィード、ユーザからの提供、LLWEBが検出したものなどの様々なソースから、マルウェアのサンプルを入手しています。 LLAMAはマルウェアプログラムを分析し、ホスト上でその動作を理解し、それらがどこに接続するのか明らかにします。この分析エンジンは実行レベルで、動的な分析を実施するためにプロセッサレベルのエミュレーションをしています。

残念ながら、既存の分析環境の多くは、コールレベルの情報のみを記録しており、正確な分析ができません。LLAMAは実行内容を忠実に分析可能です。個々のプロセッサの命令、メモリアクセス、システムコールレベルの記録情報のトレースを収集します。さらに、ダイナミック・データ・フロー分析を実行することでネットワークトラフィックを収集します。また、感染分析として、マルウェアがファイルシステムやネットワークから受信した情報をどのように使用するかを追跡します。これにより、LLAMAは情報が暗号化されている場合でも、ネットワーク経由で送信されたデータを特定でき、悪意のあるプログラムの行動を詳細に把握することができます。

LLAMAの強みの一つは、詳細な分析により、どのネットワークエンドポイントがC&Cと通信しているかを識別できることです。

LLCHECK - 検知結果の正確性

LLWEBとLLAMAは数百万のウェブページやバイナリサンプルを毎日分析しています。LLWEBとLLAMAによって作りだされた脅威インテリジェンスはさらに処理され、マルウェアの活動、IPアドレス、ドメイン名などが相関づけられています。LLCHECKは、これらの情報を分析し、一般的なブラックリストによくある誤検知を防いでいます。

古いエントリを削除するために、LLCHECKは定期的に悪意があるとされた全てのエントリを再確認しています。これらのチェックをするために、LLCHECKは感染したホストのふりをして以前発見した悪意のあるサーバへアクセスします。

さらに、LLCHECKはレピュテーションベースの分析を行います。このエンジンは、問題のないサイトはブロックされないようにします。また、悪意があるドメインにも良性ドメインにも存在するような混合サーバ群に対してはパッシブDNS情報で確認するヒューリスティックな手法を使用し、正確に処理します。

LLCHECKによって生成された脅威インテリジェンスの結果は、定期的にお客様のネットワークに設置された標的型攻撃対策センサー(Previct)に配信されます。センサーはネットワークコネクション(SYNパケットやDNSリクエストなど)のネットワークトラフィックを分析し、C&Cサイトへの接続を防ぎ、マルウェア感染に対する最後の防衛の役目を果たすのです。

ページのトップへ

Lastline 標的型攻撃対策サービスの内容

Previctセンサーを設置するだけで、先進的な標的型攻撃対策が実現します。

入口対策:入口で脅威を分析し、防御(マルウェア・感染したオブジェクト)
既知のマルウェアの検知(シグネチャとヒューリスティック)
マルウェアのオンデマンド分析(サンドボックス)
悪意のあるプログラムが埋め込まれたドキュメントの分析(PDF・Officeなど)
マルウェア・バイナリ、悪意のあるウェブの詳細な分析
高精度マルウェア分析(内部からの実行をモニタリング)
マルチOSエミュレーションのサポート(Windows、Android …)
顧客からの脅威情報の収集
Previct標的型攻撃対策センサーの脅威検知機能を利用した脅威情報の収集
クラウドを利用した柔軟なマルウェア分析
出口対策:ネットワーク可視化、C&Cへの接続や情報漏えいのブロック
既知の脅威や疑いのあるトラフィックをブロックするコンテンツルールとシグネチャ
既知の悪意のあるサイトへの通信をブロックするレピュテーション分析(URL、IPアドレス)
異常な通信の特定(domain name generation, fast fluxなど)
振る舞いによる攻撃検知とブロック(スパム、DoSなど)
マルウェア通信のパターン・振る舞いを検知(Network・Fingerprints)
設定の柔軟性
ハードウェアモデル(Previctセンサー+ハードウェア)
ソフトウェアモデル(Previctセンサーのみ)
お問い合わせ
  • お問い合わせフォーム
  • 資料請求フォーム
Lastline 標的型攻撃対策ソリューションに関するお問い合わせ
TEL:03-3237-3291

ページのトップへ