ここ数年で悪意のある第三者からの攻撃は巧妙化しており、既存のウイルス対策で防ぐことが大変困難になってきております。また最近のセキュリティ対策では、本来あってはならないことかもしれませんが、侵入されることが前提となり、エンドポイントセキュリティにはマルウェアの侵入兆候を察知し、被害を最小限に食い止め、さらに事後対応のために被害の範囲や原因を特定し二次被害を食い止めることも必要とされています。
攻撃の巧妙化という点であれば、ファイルレス攻撃という手法が多く用いられております。この手法はWindowsに組み込まれているexe(Windows Powershell)などを利用し、情報を盗み出そうとする手法です。この場合、exe自体はWindowsの正常なモジュールとなるため、既存のセキュリティソフトでは検知が困難となります。また、拡散させないという点であれば、既存のセキュリティソフトの場合、実際にLANを抜く作業が必要となり、PCの把握ができていなければその分拡散が広がるリスクが高まります。
Carbon Black社のCB Defenseであれば、ファイルレス攻撃に対しては特許技術である『ストリーミングプリベンション(Streaming Prevention)』によって各プロセスの相関関係をチェックし、不正な動作をブロックすることができます。
ストリーミングプリベンションの詳細はこちらまた、インシデントから通常業務にいかに早く復帰させるかといったことも求められます。CB Defenseには管理画面から対象PCを理論的にネットワークから切り離す『EDR』の機能も持ち合わせており、EDR実行後にも『フォレンジック調査』を行うことが可能です。
VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。
詳しくはこちら