高度な検知と防御
今日の脅威は、あらゆる業種や規模の組織のセキュリティ対策を回避する能力を備えています。確認されたマルウェアの68%は1つの組織への感染に限られ、しかも80%は1回しか出現していないのが現状です。このような1回限りのマルウェアは、シグネチャベースのソリューションでは対処できません。さらに厄介なことに、ソーシャル・エンジニアリングなどの戦術を多用し、マルウェアを使わない攻撃も増えています。
標準的な検知手法の欠点
従来型の検知手法には次のような欠点があり、十分な保護は期待できません。
- 攻撃の痕跡から得られる情報は限定的です。遡って得られるのは、ある時点までのデータ・ポイントに関する情報に限られているのです。言わばパズルの1ピースに過ぎず、全体像までは把握できません。将来の攻撃の予測に必要なコンテキストを構築するためには、さらに多くの証拠が求められます。
- 統合型の境界管理。ファイアウォールやサンドボックスなどが代表的ですが、多くはサイロ化された環境でトラフィック・オブジェクトを1つずつ順番に実行するため、段階的に行われる攻撃や非デジタルな手法の攻撃には対応できません。
- セキュリティ解析を実施すれば、未知の異常な振る舞いやアクティビティも検知できます。ただし、そのアルゴリズムまでは突き止められません。攻撃者の行動に関する情報がなければ、このような対策も簡単に回避されてしまいます。
- 脅威インテリジェンスは、攻撃者の戦術や手法に関する知見をもたらすほか、進行中のアクティビティと攻撃者の相関分析も可能にします。しかし、単なるセキュリティ・プログラムでは、このような知識を活用した検知の実施は困難です。
Video
非マルウェア攻撃の概要とその検知方法
お客様のコメント
“FireEye製品は、ゼロデイのマルウェアや標的型攻撃の効果的な防御を実現する最善の選択肢です。”
- 清水邦夫氏, 広報担当者兼公認情報システム監査人(CISA)、アミューズ
Video
常時検知
斬新なアプローチを採用したFireEyeの検知技術
適切に設計されたセキュリティ・アーキテクチャには、誤検知によるアラートを排除しながら、高度な攻撃を検知する機能が求められます。FireEyeの定評ある検知技術は、検知、解析、機械学習を組み合わせ、脅威インテリジェンスを特許技術であるMVXエンジンに取り込みます。その結果、次のようなメリットをもたらします。
- 攻撃者のツール、技術、手順(TTP)を直感的に把握、体系化します。攻撃の証拠は細部まで分解され、製品に取り込まれます。また、検知、調査、解析、セキュリティ脅威トレンドの可視化を一本化して、未知の技術やツールの特定に効果的な洞察を提供します。大量のノイズに埋もれた攻撃を見つける際には、手動で非効率な解析作業を行う必要もありません。
- 継続的にチューニング、体系化されるインテリジェンスを活用して、攻撃者のTTPのリバース・エンジニアリングや攻撃元の追跡、その他の高度な検知を実施します。
自動化された検知エンジンは、世界各地の高度な攻撃のインシデント対応担当者が獲得したインサイトのナレッジ・エンジニアリング、攻撃者の内部システムの詳細な調査、世界中に設置された高度な攻撃の証拠の有無を監視する数百万台のセンサーをもとに、1時間おきに(またはそれよりも短い頻度で)更新されます。このような検知技術と情報源の組み合わせにより、未知の攻撃手法やツールも特定できるようになります。
関連する製品とサービス
Related blogs
2021/03/31
Back in a Bit: Attacker Use of the Windows Background Intelligent Transfer Service2021/01/19
Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC24522020/11/19
Purgalicious VBA: Macro Obfuscation With VBA Purging2020/11/09
WOW64!Hooks: WOW64 Subsystem Internals and Hooking Techniques2020/09/30
Detecting Microsoft 365 and Azure Active Directory Backdoors
ゼロデイ攻撃
ゼロデイ攻撃の概要とその検知が困難な理由、およびFireEye製品による検知と防御について解説します。
ゼロデイ攻撃に関するホワイトペーパー
FireEyeで検知されたゼロデイ攻撃の調査結果が示す、従来型セキュリティ・モデルの限界について説明します。