Cb Defenseとは

ファイルレス攻撃の増加

Cb Defenseは、クラウド上でビッグデータの解析の一つであるイベントストリーミング処理を利用してリアルタイムにファイルだけでなくイベントの流れ(関係性)を分析してセキュリティリスクを判断する「ストリーミングプリベンション」機能を採用しています。

そのため、未知のマルウェアやファイルレス(非マルウェア)攻撃であっても検出が可能です。また、EDR(エンドポイントでの検知と対応)機能によりエンドポイントのイベント情報を収録していますので、セキュリティインシデントに繋がる可能性のあるイベントへの対応の優先づけや万一の感染時には、被害が拡大する前の早期検知と初期対応から復旧までをも実現します。

EDRを統合した次世代アンチウイルスが必要な理由

次世代アンチウイルス Cb Defenseの特長

クラウド&ビッグデータ解析によるエンドポイントセキュリティ

Carbon Blackのクラウド基盤上でビッグデータの解析テクノロジーの1つであるイベントストリーミング技術を利用した”ストリーミングプリベンション”は、エンドポイント上のイベントをリアルタイムで解析しセキュリティインシデントにつながる兆候をいち早く察知。既知・未知を問わずマルウェア・ランサムウェア・ファイルレス攻撃からエンドポイントを保護します

クラウド&ビッグデータ解析によるエンドポイントセキュリティ

エンドポイントのログをクラウドのビッグデータでリアルタイムに解析

Cb Defense Cloud上にてセンサーから送られてくる大量のデータを「イベントストリーミング処理」を使いリアルタイムに解析。全ての処理はクラウド上で実施され、エンドポイントの負荷は最小限に抑えられます。

イベントストリーミング処理

従来型アンチウイルスや機械学習型アンチウイルスは実行可能ファイルが悪意のあるファイルかどうかを静的解析によって判定するのに対し、次世代アンチウイルス製品のCb Defenseでは個々のイベントだけではなく、プロセス、アプリケーション、ネットワーク、ファイルなど一連のイベントの流れ(イベントストリーム)をリアルタイムで解析し、セキュリティ侵害の可能性を評価する「ストリーミングプリベンション」技術を実装しております。この機能により、ファイルレス攻撃など新たな脅威からも防御します。

ストリーミングプリベンションの詳細はこちら

ファイルだけでなく、イベントの流れを分析して「新たな脅威」をブロック

次世代アンチウイルスにEDR機能を実装

「攻撃は防ぎきれない」を想定し、Cb Defenseでは次世代アンチウイルス機能だけでなく、EDR(Endpoint Detection & Response)を実装。インシデント発生時の単純な調査に留まらず、優先順位づけや再発防止にも活用できます。

●マルウェアによる感染・攻撃の流れを可視化

侵害を受けたというインシデントをいち早く検知し、その侵害がどこまで広がっているのか、どのようなルートで侵害が行われたのか、これによってどのような影響が出ているのか、などの調査を支援するため、攻撃の経路を可視化し、感染ポイントを特定します。

マルウェアによる感染・攻撃の流れを可視化

また、攻撃の詳細内容も確認することが可能です。

・実行されたプロセス名 ・実行日時 ・評価
・攻撃ステージ ・電子署名情報 ・ファイル消去の有無
・ハッシュの詳細 ・TTP ・マルウェアの既知/未知の大別
・プロセスの起点となるアプリケーション

●感染・攻撃時の初期対応

侵害を受けた端末の隔離、マルウェアの削除、ブラックリストへの登録、リモートからのプロセス遮断等の初期対応が可能です。

セキュリティ担当者は必要であれば、アラートトリアージ画面から当該のPCをネットワークから隔離したり、当該PCにアクセスし、プロセスの停止を行ったりメモリダンプなども実行できます。

●再発防止の対策

再発防止の支援のために使われるのが「IOCファイル」です。IOCファイルは侵害を受けた端末で見つかった「侵害の痕跡(Indicator of Compromise)」を定義するファイルであり、IOCファイルを作成・共有することで、同様の侵害をより短時間で検出できるようになります。Cb DefenseではレジストリなどのIOCの収集やメモリダンプを採取できます。

またEDRのイベント情報はSplunkなどのSIEMとも連携可能で、他の境界セキュリティのイベントログと統合しCSIRTやSOC運営の際のエンドポイントからのセキュリティインシデントとして活用できます。

クラウド形式

Cb Defenseはクラウド形式のため、従来のアンチウイルスのような管理サーバーや中継サーバーを社内に構築する必要はありません。PC、Macに導入するCb Defenseエージェントの導入もIT資産管理ソフトなどを利用することで数分で完了します。

超低負荷

Cb DefenseエージェントのCPUならびにメモリの利用率は1%以下と超低負荷です。定義ファイルも非常に小さい上にバックグラウンドで自動的に更新されます。EDR機能による取得されたログは通常1エンドポイントあたり1日あたり3MB程度となります。

SIEM・API連携

SplunkなどのSIEM連携が可能で、SOC、CSIRTのセンサーとしての利用もできます。また、REST APIにより他アプリケーションとの連携も可能です。


Cb Defenseのダッシュボードから現在のセキュリティ状況と対処すべき課題が可視化できます

@阻止した攻撃の一覧

阻止した攻撃ならびにその種類(マルウェア・非マルウェア・既知のマルウェア・危険なプログラム)を報告します。それぞれの内容をクリックすることで詳細なアラートリストのページに遷移します。

A検知した攻撃の一覧

検知のみを行った攻撃を報告します。それぞれの内容をクリックすることで詳細なアラートリストのページに遷移します。

B攻撃のステージごとの分布

攻撃のステージごとの件数を表示します。それぞれの攻撃のステージをクリックすることで詳細なアラートリストのページに遷移します。

RECON  ターゲットの探査・特定・選定を行っています
WEAPONIZE  マルウェアペイロードの生成
DELI/EXPLOIT  マルウェアの送信並びにコードの実行
INST/RUN  バックドアのインストールによるアクセス
CMD+CTRL  外部デバイスとのコードの通信
EXECUTE GOAL  目的達成

C侵入経路の一覧

攻撃の侵入経路を表示します。それぞれの経路をクリックすることで詳細なアラートリストのページに遷移します。

Dエンドポイントの状態把握

エンドポイントにインストールされたセンサーの状況を表示します。

タグ付けの可視化

攻撃のTTP(Tactics・戦術、Techniques・手法、Procedures・手順)がビジュアルで表示されます。それぞれのTTPは危険度に応じて緑から赤でハイライトされます。

エンドポイントセキュリティ市場のマーケットリーダー

2017年には調査会社GartnerのMagic Quadrant for Endpoint Protection PlatformsでVisionaryにエントリーしたほか、Forreter社の調査レポート“The Forrester Wave? Endpoint Security Suite, Q4 2016”では業界をけん引するリーダーに選出されるなど、マーケット・リーダーの評価をうけています。

エンドポイントセキュリティ市場のマーケットリーダー

機械学習型アンチウイルスとの違い

Cb Defenseのストリーミングプリベンションは既知および未知のランサムウェアを含むマルウェアに対応できるだけでなく、シグネチャーベースの従来型アンチウィルスやAIを活用した機械学習型アンチウイルスでの対応が難しいPowerShellやスクリプトベース、メモリベースアタックなどからもエンドポイントを保護します。同時にEDR機能が統合されているためセキュリティインシデント発生時の優先順位づけから原因追求までもを可能にします。

※Cb Defenseは既存AVソフトウェアとの併用も可能です

Cb Defense動作環境

WindowsクライアントOS Windows 7
Windows 8
Windows 10
Windows サーバーOS Windows Server 2008
Windows Server 2012
Windows Server 2016
Mac OSX 10.6.10(Yosemite)以上
関連セミナー
EDRを実装した次世代アンチウイルスとは?〜最新のマルウェア・ランサムウェア対策〜

 



お問い合わせ サイバネットシステム株式会社 ITソリューション事業部 TEL: 03-5297-3487 (平日 9:00-17:30)
お問い合わせ全般  資料ダウンロード