CB Defenseとは

ファイルレス攻撃の増加

CB Defenseは、クラウド上でビッグデータの解析の一つであるイベントストリーミング処理を利用してリアルタイムにファイルだけでなくイベントの流れ(関係性)を分析してセキュリティリスクを判断する「ストリーミングプリベンション」機能を採用しています。

そのため、未知のマルウェアやファイルレス(非マルウェア)攻撃であっても検出が可能です。また、EDR(エンドポイントでの検知と対応)機能によりエンドポイントのイベント情報を収録していますので、セキュリティインシデントに繋がる可能性のあるイベントへの対応の優先づけや万一の感染時には、被害が拡大する前の早期検知と初期対応から復旧までをも実現します。

次世代アンチウイルス CB Defenseの特長

クラウド&ビッグデータ解析によるエンドポイントセキュリティ

Carbon Blackのクラウド基盤上でビッグデータの解析テクノロジーの1つであるイベントストリーミング技術を利用した”ストリーミングプリベンション”は、エンドポイント上のイベントをリアルタイムで解析しセキュリティインシデントにつながる兆候をいち早く察知。既知・未知を問わずマルウェア・ランサムウェア・ファイルレス攻撃からエンドポイントを保護します

クラウド&ビッグデータ解析によるエンドポイントセキュリティ

CB PSCとは

Carbon Blackのセキュリティクラウド基盤PSCは、5,000社以上のお客様のエンドポイントからもたらされる毎日60TB以上のログデータ、1.75兆ものセキュリティイベントから脅威検出・レピュレ-ション・攻撃分類を実行する世界有数のセキュリティインテリジェンスです。

イベントストリーミング処理

従来型アンチウイルスや機械学習型アンチウイルスは実行可能ファイルが悪意のあるファイルかどうかを静的解析によって判定するのに対し、次世代アンチウイルス製品のCB Defenseでは個々のイベントだけではなく、プロセス、アプリケーション、ネットワーク、ファイルなど一連のイベントの流れ(イベントストリーム)をリアルタイムで解析し、セキュリティ侵害の可能性を評価する「ストリーミングプリベンション」技術を実装しております。この機能により、ファイルレス攻撃など新たな脅威からも防御します。

ストリーミングプリベンションの詳細はこちら

ファイルだけでなく、イベントの流れを分析して「新たな脅威」をブロック

次世代アンチウイルスにEDR機能を実装

従来のアンチウイルスはマルウェアからの防御に機能の主軸が置かれていました。そのため一度侵入されてしまうと対処が困難という弱点がありました。

CB Defenseは強力な防御機能に加えEDR(Endpoint Detection & Response)を統合することで、EDRがエンドポイントの「監視カメラ」として機能します。エンドポイントのイベントを記録しながら脅威づけを行います。万一のインシデントの際にはトリアージとしてのエンドポイントの検疫から感染範囲の特定、さらに侵入経路の特定などを実施します。最終的にエンドポイントを復旧させるための支援機能も装備しています。

●マルウェアによる感染・攻撃の流れを可視化

侵害を受けたというインシデントをいち早く検知し、その侵害がどこまで広がっているのか、どのようなルートで侵害が行われたのか、これによってどのような影響が出ているのか、などの調査を支援するため、攻撃の経路を可視化し、感染ポイントを特定します。

マルウェアによる感染・攻撃の流れを可視化

また、攻撃の詳細内容も確認することが可能です。

・実行されたプロセス名 ・実行日時 ・評価
・攻撃ステージ ・電子署名情報 ・ファイル消去の有無
・ハッシュの詳細 ・TTP ・マルウェアの既知/未知の大別
・プロセスの起点となるアプリケーション

●感染・攻撃時の初期対応

侵害を受けた端末の隔離、マルウェアの削除、ブラックリストへの登録、リモートからのプロセス遮断等の初期対応が可能です。

セキュリティ担当者は必要であれば、アラートトリアージ画面から当該のPCをネットワークから隔離したり、当該PCにアクセスし、プロセスの停止を行ったりメモリダンプなども実行できます。

●再発防止の対策

再発防止の支援のために使われるのが「IOCファイル」です。IOCファイルは侵害を受けた端末で見つかった「侵害の痕跡(Indicator of Compromise)」を定義するファイルであり、IOCファイルを作成・共有することで、同様の侵害をより短時間で検出できるようになります。CB DefenseではレジストリなどのIOCの収集やメモリダンプを採取できます。

またEDRのイベント情報はSplunkなどのSIEMとも連携可能で、他の境界セキュリティのイベントログと統合しCSIRTやSOC運営の際のエンドポイントからのセキュリティインシデントとして活用できます。

クラウド形式

CB Defenseはクラウド形式のため、従来のアンチウイルスのような管理サーバーや中継サーバーを社内に構築する必要はありません。PC、Macに導入するCB Defenseエージェントの導入もIT資産管理ソフトなどを利用することで数分で完了します。

超低負荷

CB DefenseエージェントのCPUならびにメモリの利用率は1%以下と超低負荷です。定義ファイルも非常に小さい上にバックグラウンドで自動的に更新されます。EDR機能による取得されたログは通常1エンドポイントあたり1日あたり3MB程度となります。

SIEM・API連携

SplunkなどのSIEM連携が可能で、SOC、CSIRTのセンサーとしての利用もできます。また、REST APIにより他アプリケーションとの連携も可能です。


CB Defenseのダッシュボードから現在のセキュリティ状況と対処すべき課題が可視化できます

@阻止した攻撃の一覧

阻止した攻撃ならびにその種類(マルウェア・非マルウェア・既知のマルウェア・危険なプログラム)を報告します。それぞれの内容をクリックすることで詳細なアラートリストのページに遷移します。

A検知した攻撃の一覧

検知のみを行った攻撃を報告します。それぞれの内容をクリックすることで詳細なアラートリストのページに遷移します。

B攻撃のステージごとの分布

攻撃のステージごとの件数を表示します。それぞれの攻撃のステージをクリックすることで詳細なアラートリストのページに遷移します。

RECON  ターゲットの探査・特定・選定を行っています
WEAPONIZE  マルウェアペイロードの生成
DELI/EXPLOIT  マルウェアの送信並びにコードの実行
INST/RUN  バックドアのインストールによるアクセス
CMD+CTRL  外部デバイスとのコードの通信
EXECUTE GOAL  目的達成

C侵入経路の一覧

攻撃の侵入経路を表示します。それぞれの経路をクリックすることで詳細なアラートリストのページに遷移します。

Dエンドポイントの状態把握

エンドポイントにインストールされたセンサーの状況を表示します。

タグ付けの可視化

攻撃のTTP(Tactics・戦術、Techniques・手法、Procedures・手順)がビジュアルで表示されます。それぞれのTTPは危険度に応じて緑から赤でハイライトされます。

エンドポイントセキュリティ市場のマーケットリーダー

2017年には調査会社GartnerのMagic Quadrant for Endpoint Protection PlatformsでVisionaryにエントリーしたほか、Forreter社の調査レポート“The Forrester Wave? Endpoint Security Suite, Q4 2016”では業界をけん引するリーダーに選出されるなど、マーケット・リーダーの評価をうけています。

エンドポイントセキュリティ市場のマーケットリーダー

機械学習型アンチウイルスとの違い

CB Defenseのストリーミングプリベンションは既知および未知のランサムウェアを含むマルウェアに対応できるだけでなく、シグネチャーベースの従来型アンチウィルスやAIを活用した機械学習型アンチウイルスでの対応が難しいPowerShellやスクリプトベース、メモリベースアタックなどからもエンドポイントを保護します。同時にEDR機能が統合されているためセキュリティインシデント発生時の優先順位づけから原因追求までもを可能にします。

※CB Defenseは既存AVソフトウェアとの併用も可能です

CB Defense動作環境

WindowsクライアントOS Windows 7
Windows 8
Windows 10(May 2019 Update対応済)
Windows サーバーOS Windows Server 2008
Windows Server 2012
Windows Server 2016
Windows Server 2019
Mac OS X 10.10 (Yosemite)以上

※詳細な動作環境についてはお問い合わせ下さい。

関連セミナー
事例に学ぶ、次世代エンドポイントセキュリティ対策とSKYSEA Client Viewによる運用効率化
ご相談、ご質問はこちら
お急ぎの場合はこちら
03-5297-3487
受付時間 平日9:00-17:00
製品資料、導入事例はこちら
価格お問い合わせはこちら
まずはお試しください

 



お問い合わせ サイバネットシステム株式会社 ITソリューション事業部 TEL: 03-5297-3487 (平日 9:00-17:30)
お問い合わせ全般  資料ダウンロード