〈NWマーケティング部解説〉次世代型サイバー攻撃はVMware Carbon Blackでブロック！

次世代型サイバー攻撃の脅威

近年、エンドポイントのセキュリティ対策への新たな戦略が求められいます。

従来型の攻撃では、マルウェアを使用した方法でシステムに侵入する方法が一般的でしたが、
現在はマクロやリモートログイン、PowerShellなど、Windows正規ツールを悪用した非マルウェア攻撃やファイルレス攻撃による被害の割合が半数を超える状況となっているからです。

実際に、日本の大手企業でもPowerShell機能を悪用した攻撃により海外拠点のサーバに侵入され、これを踏み台に複数の端末を経由しながら国内のシステムにも侵入先を広げていくといったインシデントが発生しています。こうした非マルウェア攻撃やファイルレス攻撃はシグネチャをベースとした従来型のウイルス対策ソフトのみでは検知が困難です。

本ページでは、次世代型サイバー攻撃が拡大している中でどんな対策をとるべきなのかネットワールドのマーケティング部 竹内が解説します！

VMware Carbon Black Cloud™ の強みとは

次世代型のアンチウイルス対策として注目されているのが、VMware Carbon Black Cloud™ です。

「VMware Carbon Black Cloud Endpoint」は、ビッグデータ解析でサイバー攻撃を検知・防御するNGAV機能と、端末で発生したあらゆる事象を可視化するEDR機能によって、エンドポイントを保護するセキュリティソリューションです。

具体的にVMware Carbon Black Cloud は、従来型のウイルス対策ソフトを含めたエンドポイントセキュリティ製品とどんな点が違っているのでしょうか。

強み①：ビッグデータ解析による防御対応力の強化

１つ目の強みは、クラウド（VMware Carbon Black Cloud）上に展開された独自のインテリジェンスです。世界中のエンドポイントから日々集積される膨大なビッグデータを分析することで、攻撃を予知し、エンドポイントでの防御対応力を強化します。

強み②：すべてのデータを記録して分析/活用する「Unfiltered Data」

２つ目の強みはすべてのデータを記録して分析/活用する「Unfiltered Data」のコンセプトです。

一般的なEDR製品は、アラートなど黒判定されたログのみの保存しかしないため、最初は白判定で侵入し、後から黒判定に変異する攻撃においては、過去に遡って調査することは不可能です。

VMware Carbon Black Cloudでは、例えば「ブラウザを開いた」といった通常のイベントにもタグ付けを行い、脅威レベルを判定することも可能です。これにより過去に遡って、あらゆるイベントの“流れ”からあやしい動作を抜け漏れなく調査することができます。

VMware Carbon Black　の構成

VMware Carbon Black Cloudはその名のとおり「クラウド型の製品」であるため、オンプレミスでの管理サーバなどの設置は一切不要です。各エンドポイントにエージェントのインストールのみでサービスを開始することが可能になります。

サイバー攻撃の基本プロセスのすべてに対応

VMware Carbon Black Cloud の最もベーシックな製品となるのがEndpoint Standardです。「侵入→基盤構築→調査拡散→目的遂行」という流れをとるサイバー攻撃の基本プロセスのすべてに対応します。

「侵入」を防ぐ

まず、可能な限り「侵入」を防ぐため、エンドポイント保護プラットフォームであるEPPソリューション(次世代アンチウイルス)を提供します。

しかし、シグネチャをベースとした従来のパターンマッチングでは、そこをすり抜けてくる亜種や未知のマルウェアをブロックできません。

そこでVMware Carbon Black Cloudの次世代アンチウイルス機能は、ビッグデータに独自技術のストリーミング分析を加え、マルウェアのみならず非マルウェアについても検知・防御が可能になります。

サイバー攻撃の「目的遂行」をEDRで防御

ですが、次世代アンチウイルス機能とはいえ、すべてのマルウェア攻撃や非マルウェア攻撃を完全にブロックすることは困難です。そのため、侵入を前提として「目的遂行」防御する必要があります。この役割を担うのがEDRソリューションです。

VMware Carbon Black Cloud のEDRソリューションは、攻撃の疑いのあるアクティビティを過去にさかのぼり調査します。この結果を基に管理者は、リモートからマルウェアの駆除や端末の隔離を行うことが可能になります。さらに攻撃の被害や拡散状況をすべてのエンドポイントを対象として調査し、報告します。

感染端末の論理隔離から追加情報の取得・修復の一連対策！

マルウェア感染した端末を特定し、リモートから論理的に隔離し、詳細な調査を行った上で証拠を保全し、クリーンアップするまでの一連の対策を支援することができる、「Live Response」というツールもEndpoint Standardにて標準で含まれています。

エンドポイントの「現在」を可視化＆リアルタイム検索

VMware Carbon Black Cloudは、お客様のセキュリティ成熟度に応じた製品選択が可能です。Endpoint Standard のほか、Endpoint Advanced、Endpoint Enterpriseの3種類のバンドル製品があります。

Endpoint Advancedでは、「Live Query」というエンドポイントに対して複数パターンのクエリを実行し、そこに潜んでいる脅威を探し出すリアルタイム検索機能があります。実行したクエリの保存や再実行、結果のエクスポートを行うことができます。

エンドポイントの「過去」を可視化

Endpoint Enterprise では、より大規模向けのEDRソリューションEnterprise EDR を提供します。

たとえば、侵入調査を行う「Investigate機能」は、すべてのエンドポイントの活動を記録し、高度な攻撃を可視化しながらプロセスツリーで端末上での動きを追跡し、セキュリティインンシデントの根本原因を突き止めることが可能です。
また、能動的調査を行う「Watchlist機能」がハンティング調査を自動化させ、潜在脅威を洗い出します。これにより大規模な調査でも短い時間で完了することができます。

Endpoint Standard のEDR機能では、一般企業の情報システム部門で運用することが可能ですが、Enterprise EDRはSOC（セキュリティオペレーションセンター）やCSIRT（セキュリティ事故対応チーム）などのセキュリティ専門家が運用することを前提としています。

ネットワールドが一貫サポート

ネットワールドではVMware Carbon Black Cloud製品の紹介からPoC（概念実証）、導入、活用まで一貫して対応します。

現時点では、VMware社のメーカーサポートは英語のみですが、ネットワールドでは独自の日本語サポートを提供しております。また、VMware Carbon Black Cloud製品の運用を24時間365日体制でサポートするため、アラートの常時監視や即時通知、感染端末の隔離などの一次対応を支援する「ネットワールド マルチベンダーSOCサービス」および、インシデント発生時の詳細調査や復旧などの二次対応を支援するMDRサービスの「ネットワールド Cb-SOC Evolution」を提供しています。

お問い合わせは下記フォームより承っておりますので、お気軽にご連絡ください。