サイバーリーズン・ジャパンは2018年1月16日、次世代エンドポイント・セキュリティ・プラットフォーム「Cybereason Complete Endpoint Protection」を2月下旬より提供開始すると発表した。
従来のエンドポイント侵害検知・対処(EDR)機能に、次世代アンチウィルス(NGAV)機能を統合したもの。同社によると、これまでに検知した10万件以上のサイバー攻撃のMalop(悪意のある操作)を分析したところ、脅威の56%が既知のマルウェアであることが確認された。従来のアンチウィルスソリューションなどでは既知のマルウェアの侵入を阻止できていなかったことを意味するため、マルウェアが実行する前にブロックするNGAV機能を追加したという。
|
サイバーリーズン・ジャパン サイバーセキュリティ シニアディレクターのアミ・ユン氏 |
NGAV機能は、①機械学習による検知、②ランサムウェアの検知、③PowerShellを利用した攻撃のブロック、④既知のマルウェアの効率的な検知という4つの特徴を備える。
なかでもPowerShellについては、「悪用したファイルレスマルウェア(侵入や感染、攻撃などの際に実質的にファイルの形態を伴わない)脅威が高まっている」とサイバーリーズン・ジャパン サイバーセキュリティ シニアディレクターのアミ・ユン氏は指摘する。これに対し、PowerShell内部で実行されるアクティビティやコマンドを可視化。管理者が行っているものなのか、それとも攻撃者が管理者になりすまして行っているものかを判読し、誤検知を少なくしている。
これらの機能とEDRを統合することで、アラートを出すだけでなく、攻撃の意図を理解し、実際に何が実行されたかも把握できるという。
|
EDRとNGAVの統合により、攻撃のフルストーリーを理解することが可能 |
なお、Cybereason Complete Endpoint Protectionは1つの管理画面でEDRとNGAVの両方に対応している。攻撃を受けた端末やユーザーも表示されるほか、最初にどの端末が攻撃を受け、その後どういう経路で感染が広がったかというタイムラインも一目でわかる。検知された脅威に対しては、管理画面からプロセスを遠隔操作で停止し、隔離することができる。
|
管理画面では攻撃のタイムラインも把握できる |
セキュリティ人材が不足している日本企業では、IT管理者がセキュリティ管理者も兼ねていることが少なくない。Cybereason Complete Endpoint Protectionにより、管理者の負荷を軽減できるとしている。