高度な標的型攻撃 : 包括的な保護 McAfee Security Connected Platform における適応型の情報分析と リアルタイムの情報共有による保護の統合

Transcription

高度な標的型攻撃 : 包括的な保護 McAfee Security Connected Platform における適応型の情報分析と リアルタイムの情報共有による保護の統合
ホワイトペーパー
高度な標的型攻撃 :
包括的な保護
McAfee Security Connected Platform における適応型の情報分析と
リアルタイムの情報共有による保護の統合
目次
エグゼクティブサマリー
3
収集した情報の調整
3
適応型脅威防御の構成要素
4
エンドツーエンドの保護と適応
4
Data Exchange Layer: リアルタイムの統合
5
McAfee Threat Intelligence Exchange: 情報力の活用
5
既存のエンドポイント保護の大幅な強化
6
迅速な対応のための豊富なデータの分析
6
場所を問わない瞬時の情報共有
7
シナリオ 1: 収集した情報をカスタマイズ
8
シナリオ 2: McAfee Advanced Threat Defense による詳細な分析
9
シナリオ 3: McAfee Enterprise Security Manager による状況認識
9
対策の力学の変革
2
高度な標的型攻撃 : 包括的な保護
10
エグゼクティブサマリー
マカフィーは 「Black Hat 2013」 で参加者に対してアンケートを実施し、 広範囲に感染を広めるのではなく、 特定
のターゲットへの感染を狙った感染普及率の低い標的型攻撃に使用される高度なマルウェアへの対策について
調査をしました。 その結果、 検出には多くの課題が存在し、 特に攻撃に対する誤検出、 保護、 即時対応、 修正
に関して大きな不満を感じるだけでなく、 高額なコストの原因にもなっていることが分かりました。
このような課題の原因は、 従来の統合されていない徹底防御の構造にあります。 それぞれの脅威に対して複数の
ウイルス対策エンジンや保護対策があっても、 これらの製品は多くの場合、 機能がサイロ化されています。 このよう
な状況では、 リスクとコストの 2 点が問題になります。
セキュリティの運用を統合しないと事後対応になり、 運用の複雑化が進み自動化も最適化もできません。 このよ
うな非効率性によってセキュリティ運用コストが上昇するだけでなく、 データとネットワークが高度な攻撃の標的に
なります。 また、 セキュリティ製品とその運用を統合しないことで、 高度な攻撃者に対して組織内への侵入を許し、
そのまま攻撃者が潜伏する余地やホワイトノイズを与えることになります。
35
28
ᅇ⟅⪅
21
14
7
0
᳨ฟ
SNẚ
䠄ㄗ᳨ฟ䛾㏣㊧䠅
ಖㆤ
䠄䝸䜰䝹䝍䜲䝮
䜎䛯䛿
༶᫬䛾䝤䝻䝑䜽䠅
༶᫬䛾ᑐᛂ
⿕ᐖ䛾ಟ᚟
䛭䛾௚
䠄䝉䜻䝳䝸䝔䜱౵ᐖ 䠄䝬䝹䜴䜵䜰䛾㝖ཤ䠅
䛾㏻▱䠅
図 1: 「Black Hat 2013」 の参加者によって報告された高度なマルウェアに対する課題
収集した情報の調整
しかし現在、 セキュリティ専門家は McAfee® Threat Intelligence Exchange と McAfee Security Connected
Platform を導入し、 ワークフローとデータを統合する高パフォーマンスのシステムによって運用のサイロ化を解消
して、 機敏でインテリジェントな脅威保護のモデルへの移行を進めています。 攻撃の侵入の可能性のあるすべての
ポイントで収集した疑わしいファイルにグローバル、 ローカル、 サードパーティの脅威情報および手動で入力された
脅威情報を加えて総合的に分析することにより、 高度な標的型攻撃の検出、 抑制、 修正を完璧に実行できます。
マカフィーの既存のセキュリティソリューションをベースにリアルタイムのコミュニケーションを統合すると、優れたコスト
効果で攻撃を防止して、 検出から抑制までにかかる時間を短縮できます。
このホワイトペーパーでは、 以下の 3 つの最先端のアプローチによる保護とコスト削減の使用事例について説明
します。
•
エンドポイント環境で適切に収集された脅威情報に従って対応し、 全方位的な防御を改善および自動化し、 エンド
ポイントの効果を向上させる。
•
McAfee Advanced Threat Defense で動的なサンドボックスと静的な分析を実施し、ネットワークコンポーネント
に接続して検出、 分析、 可視性を向上させる。
•
McAfee Enterprise Security Manager のセキュリティ情報イベント管理 (SIEM) システムを使用して、 過去
と現在の攻撃に関する脅威情報をまとめ、 攻撃を受けた形跡があるか、 あるいは現在も攻撃を受けているかを
確認する。
高度な標的型攻撃 : 包括的な保護
3
適応型脅威防御の構成要素
McAfee Threat Intelligence Exchange は、 複数のマカフィー製品で 情報を共有するための仕組みである
McAfee Data Exchange Layer を使用した最初のソリューションです。双方向の構造を持つこの層では製品の統合
が簡略化され情報を共有できるため、 高度なセキュリティと適応型セキュリティを実現することができます。 また、
フォレンジックに相当する情報を収集できるため、 リアルタイムで保護の意思決定が行えます。 McAfee Security
Connected の戦略には自動化と統合が必ず含まれています。 McAfee Threat Intelligence Exchange では
Data Exchange Layer を活用して、 収集された情報の適切なコンテキスト化と環境全体のリアルタイムの統合を
通して脅威保護を劇的に変えます。
エンドツーエンドの保護と適応
セキュリティコンポーネントによってそのサンプルの分析が即座に共有され、 その対策が更新されるため、 企業の
セキュリティチームは潜在的なマルウェアと脅威の分類をローカルで制御することができます。 McAfee Security
Connected Platform に含まれる、 他の包括的な脅威保護製品に McAfee Threat Intelligence Exchange を
追加すると、 Data Exchange Layer を利用して、 エンドポイント、 ゲートウェイおよびその他のセキュリティコンポー
ネントを成熟した高度な標的型攻撃の防御システムに統合できます。 これにより、 リスクが低減され、 保護を最適
化して将来の攻撃にも備えることができます。 また、 高度な標的型攻撃に対する保護のサイロ化が解消されるため、
運用コストと作業負荷が最小化されます。
ศᯒ
ศᯒ
⬣ጾ᝟ሗ
ᑐ⟇
䝉䜻䝳䝸䝔䜱⟶⌮
䝁䞁䝔䜻䝇䝖໬䛸⤫ྜ
䝝䞊䝗䜴䜵䜰ᙉ໬ᆺ䝉䜻䝳䝸䝔䜱
図 2: McAfee Threat Intelligence Exchange と Data Exchange Layer によって、 McAfee Security Connected Platform における
実用的な情報を構築する動的なフレームワークが実現します。
McAfee Threat Intelligence Exchange のコンポーネントにより運用を統合することで、 必要な情報がネットワー
ク、 エンドポイント、 データ、 アプリケーションおよびその他のセキュリティソリューション間で即座に共有されます。
また、 McAfee Threat Intelligence Exchange は、 これまで数日、 数週間、 数か月単位だった高度な標的型
攻撃の検出から抑制までの時間をミリ秒単位に短縮します。
4
高度な標的型攻撃 : 包括的な保護
Data Exchange Layer: リアルタイムの統合
Data Exchange Layer によって 統合が簡略 化されるため、 導入コストと 運 用コストが 削減 されま す。 Data
Exchange Layer の通信構造では 1 対 1 の API で統合するのではなく、パブリッシュ / サブスクライブ、プッシュ通知、
クエリ / 応答など、 多様な通信方法をサポートする単一の API を通して統合できます。 この機能によって、 Data
Exchange Layer では製品の自動設定がサポートされ、 ミスや労力を削減できます。
Data Exchange Layer では、 接続するコンポーネントが常時稼動した状態での双方向の通信構造がリアルタイム
で提供されます。 抽象化レイヤーを通してエンドポイント、 ゲートウェイおよびその他のセキュリティコンポーネント間
の接続が維持されるため、 場所を問わずに情報がリアルタイムに共有されます。 このモデルでは、 オンプレミスの
セキュリティコントロールからセキュリティの操作と制御を、 他の遠隔地のオフィスに存在するノードに適用できます
が、 これには使用されるファイアウォールやホームゲートウェイなどのリモートの NAT 対応デバイスの背後で動作
するノードも含まれます。
通信のセキュリティを確保するため、 TLS (Transport Layer Security) ですべてのトラフィックが暗号化されます。
証明書ベースの強力な相互認証はすべてのコンポーネントに必要とされ、 構造的に認証が適用されます。 このよう
な設計によってペイロードの安全が確保され、 構造自体も外部の攻撃や不正使用から保護されます。
McAfee Global
Threat Intelligence
䝃䞊䝗䝟䞊䝔䜱䛾
⬣ጾ᝟ሗ䝣䜱䞊䝗
䝁䜰䝁䞁䝫䞊䝛䞁䝖
䜸䝥䝅䝵䞁䝁䞁䝫䞊䝛䞁䝖
McAfee ePolicy
Orchestrator®
(McAfee ePO™)
McAfee Threat
Intelligence
Exchange Server
McAfee Advanced
Threat Defense
McAfee Enterprise
Security Manager
Data Exchange Layer
McAfee Threat Intelligence
Exchange VirusScan
Enterprise Module
McAfee Next
Generation Firewall
McAfee Email
Gateway
McAfee Network
Security Platform
McAfee Web
Gateway
図 3:Data Exchange Layer で提供されるリアルタイムのコミュニケーションフレームワークによってセキュリティコンポーネントを統合
できます。
McAfee Threat Intelligence Exchange: 情報力の活用
McAfee Threat Intelligence Exchange を 使 用 す る と、 管 理 者 は McAfee Global Threat Intelligence
(McAfee GTI) やサードパーティの提供するフィードなどのグローバルな情報ソースのデータに、 エンドポイント、
ゲートウェイおよびその他のセキュリティコンポーネントのリアルタイムおよび過去のイベントデータを組み合わせて、
カスタムの包括的な脅威情報を簡単に作成および活用できます。 また、 情報ソースからのデータを組み合わせて、
無効化、 補足および調整して、 環境内での対策に使用できます。 「スマートリスト」 では、 ファイルや証明書、 組織
が割り当てた証明書などについてユーザー独自のブラックリストとホワイトリストを実装できます。 また、 McAfee
Global Threat Intelligence の証明書レピュテーション機能にカスタムの優先順位を追加できます。
高度な標的型攻撃 : 包括的な保護
5
ローカルの脅威情報を統合して管理することによって、 McAfee Threat Intelligence Exchange ではそれぞれの
脅威に合わせて対策と各組織の運用環境を調整できます。 エンドポイント、 ゲートウェイおよびセキュリティコンポー
ネントから収集されたメタデータを組み合わせて可視化し、 組織の脅威の状況に合わせてプロアクティブな対策を
実行できます。
既存のエンドポイント保護の大幅な強化
従来の高度なフォレンジックでは専用のツールとトレーニングに加え、 多くの手作業が必要とされます。 McAfee
Threat Intelligence Exchange では、 IT の設定したルールによって、 高度な情報をベースに保護が自動化され
ます。 また、Threat Intelligence Exchange は、VirusScan Enterprise Threat Intelligence Exchange モジュー
ルを使用してファイルの実行可否を正確に判断し、 エンドポイントの保護を大幅に強化します。 ルールエンジンは、
ローカルのエンドポイントの情報 (ファイル、 プロセスおよび環境属性) と最新の総合的な脅威情報 (組織内の
感染普及率、 経年情報、 レピュテーションなど) を組み合わせた情報をベースに、 さまざまなリスク許容度を柔軟
に設定できます。 このように、 エンドポイントの防御について、 豊富なセキュリティ情報にアクセスして、 検出と保護
の意思決定に利用できます。
ファイルを実行する場合
•
McAfee Threat Intelligence Exchange モジュールから Threat Intelligence Exchange Server に対してファ
イルに関するメタデータのクエリが送信されます。
•
McAfee Threat Intelligence Exchange Server でそのファイルの情報が検出されない場合、 クラウドベースの
McAfee GTI ネットワークにクエリが送信され、その結果としてクエリを送信したホストにグローバルレピュテーション
情報が返されます。
•
McAfee Threat Intelligence Exchange Server では、 そのファイルに関してすでに保存されているメタデータ
を使用してクエリが処理されます。 クエリの返信には企業固有の値 (レピュテーション、感染普及率、経年情報など)
が含まれます。
•
McAfee Threat Intelligence Exchange モジュールでは設定可能なルールエンジンを使用して、ローカルの情報
(ファイル、 プロセスおよび環境属性) と最新の総合的な脅威情報を組み合わせてファイルの実行を決定します。
ルールを使用すると、 エンドポイントのリスク許容度をカスタマイズして、 多様な実行条件を定義できます。 たとえば、
未知または危険度が 「グレー」 のファイルを完全に禁止するような厳格なルールを設定できます。 このルールでは
ポリシーを設定して、 レピュテーションによって許可される既知のファイル以外へのアクセスを禁止します。
ファイルの許可、 隔離または削除の基準になるリスクの許容範囲は企業によって異なります。 このような許容範囲
は通常、 それぞれのシステムのクラスとビジネス上の重要性に基づいて決定されます。 後になって管理者がファイル
が安全であると判断した場合、 ブロックしたアプリケーションをホワイトリストに追加して使用を許可することができ
ます。 また、 管理者はエンドユーザーにプロンプトに従ってファイルを許可させることもできます。
迅速な対応のための豊富なデータの分析
包括的な脅威情 報 (グローバル、 ローカル、 サードパー ティ、 手動作成) は McAfee Threat Intelligence
Exchange Server によって保存され、 重要な問題に対する実用的な情報が分かりやすく表示されます。 この分
かりやすい表示によって決定的な証拠が迅速に提供されるため、 リスクのある状態のままサードパーティの確認を
待つことなく、 すぐに保護対策を実施できます。
たとえば、 企業内の感染普及データでは、 特定のファイルについてそのファイルの影響のあるすべてのマシン情報
を確認できます。 影響のあるシステムのリストからは攻撃者の戦術と意図が分かるため、 攻撃を阻止することがで
きます。 攻撃者が狙っている機密データがありそうな財務部門やソフトウェア開発部門などで 1 つのワークグループ
を作り、 すべてのマシンを所属させていませんか。 システム間でゼロデイ脆弱性を示すアプリケーションプロファイル
を共有していませんか。
6
高度な標的型攻撃 : 包括的な保護
どのような情報が必要でしょうか?
クラウドやローカルの情報ソースまたは内部の調査によって、 未知のファイルが不正なファイルであることが確認
された場合、 McAfee Threat Intelligence Exchange Server から攻撃の挙動に関する以下のような実用的
な情報が提供されるため、 実際の状況を把握してインシデントに対応できます。
–
エンドポイントに該当の不正なファイルはあるか。 (感染普及率)
–
そのファイルは実行されたか。 (感染および未感染のエンドポイントを識別)
–
最初に感染したシステムはどれか。 (最初の発生)
–
マルウェアが実行された時間帯で変更されたその他のファイルはどれか。
–
不正と確認されたファイルが実行された感染の可能性のあるマシンはどれか。
–
マルウェアはどのように環境に拡散しているか。 (ファイルの経路)
–
自社環境内で特定のファイルを実行するために選ばれたエンドポイントはいくつあるか。
–
他のセキュリティ製品でブロックされていないファイルはどこにあるか。
–
疑わしい (グレー) ファイルで、 脅威の可否 (白黒) を判断できるものはあるか。
–
最新の脅威情報に一致する挙動を示すホストはどれか。
–
特定のファイルに対するグローバルレピュテーションと社内のローカルレピュテーションの評価はどうか。
–
この数時間で有害と特定されたファイルはいくつあるか。
–
環境内で白、 黒、 グレーに分類されるファイルはそれぞれいくつあるか。
–
すべてのファイルのうち、 白、 黒、 グレーはそれぞれどのくらいの割合を占めているか。
–
すべてのファイルのうち、自社環境内の Microsoft Windows オペレーティングシステムのバージョン別に白、
黒、 グレーはそれぞれどのくらいの割合を占めているか。
–
特に攻撃の標的にされている Microsoft Windows OS はあるか。
場所を問わない瞬時の情報共有
McAfee Threat Intelligence Exchange を使用すると、 その環境に適した防御によって脅威を完全に制御でき
ます。 McAfee Threat Intelligence Exchange クライアントで対象のファイルの実行のブロックまたは許可が決定
したら、 その決定に従って McAfee Threat Intelligence Exchange Server のデータが更新されます。 それぞれ
の決定に関する情報を適用する方法はいくつかあります。 McAfee Threat Intelligence Exchange では、即座に、
レピュテーションと必要なすべての対策に関する決定の詳細情報が作成されます。 すべてのセキュリティ製品に対し
て瞬時に情報を更新され、 互いに情報を共有するため、 ベンダーや外部組織よりも迅速に一貫性のあるローカル
でカスタマイズされた保護が提供されます。
高度な攻撃は一般的に複数の脆弱なシステムを標的にするため、 このように環境内で高度な情報共有を行う
ことによって、 特定のホストが特定の攻撃を受けたり標的にされるのを防止できます。 また、 McAfee Threat
Intelligence Exchange では、 オプションで新しく収集したローカルの情報を McAfee GTI クラウドに転送して、
類似の攻撃からシステムを保護できます。
以下の使用事例では、 McAfee Threat Intelligence Exchange と Data Exchange Layer による脅威検出の
適応、 および検出から制御までの実用的な脅威情報とプロアクティブな保護の強化を示しています。
高度な標的型攻撃 : 包括的な保護
7
シナリオ 1: 収集した情報をカスタマイズ
最初の使用事例では、 ローカルで最適化された脅威情報をベースにエンドポイントで脅威から保護します。 この
カスタマイズによって、VISA ネットワークの小売店は、2013 年のメモリーパーサ攻撃のために VISA が作成したハッ
シュに対する保護を容易かつ自動的に適用できます。 1
同社の管理者が報告を受けて、 管理者のインターフェイスを使用して、 McAfee Threat Intelligence Exchange
に 3 つのハッシュファイルを入力したとします。 その後、 ホストシステムによってその疑わしいファイルが検出された
場合、 McAfee Threat Intelligence Exchange Module では、 総合的な脅威情報をベースにカスタマイズされ
た情報 (それらのハッシュファイルが不正なファイルであることを示す情報) に基づいて、 その実行を防止できます。
McAfee Global
Threat Intelligence
VISA
䝁䜰䝁䞁䝫䞊䝛䞁䝖
McAfee ePolicy
Orchestrator®
(McAfee ePO™)
McAfee Threat
Intelligence
Exchange Server
Data Exchange Layer
McAfee Threat Intelligence
Exchange VirusScan
Enterprise Module
図 4: サードパーティのデータは脅威情報の宝庫です。
社内のチームが検出したマルウェア (または疑わしいファイル) は、 サンプルを提出したり、 ベンダーによるウイルス
対策のシグネチャ更新を待つことなく、 即座にブロックできます。 そのファイルが検出されたという他のエンドポイント
でのインシデント情報は、 McAfee Threat Intelligence Exchange Server に保存されている感染普及のデータ
に追加され、 管理者はその情報を使用して、 エンドポイントが攻撃下にあるかどうかを判断できます。 攻撃の兆候
(この場合はハッシュファイル) が蓄積され、 その貴重な情報をリアルタイムで共有できるため、 組織にとっては大き
なメリットがあります。
また、 標準のウイルス対策とは異なり、 McAfee Threat Intelligence Exchange Module では単なるファイルの
読み書きの操作だけではなく、 ファイルの実行を阻止できます。 実行が阻止されるため、 異常な挙動から保護す
ることができます。 さらに、 McAfee Threat Intelligence Exchange では、 この機能によって重要な侵入の痕跡
( IOC:Indicator-Of-Compromise) に関する情報を収集し、 環境全体で共有することも可能です。
8
高度な標的型攻撃 : 包括的な保護
シナリオ 2: McAfee Advanced Threat Defense による詳細な分析
企業のデータを狙う攻撃者は、 巧妙な難読化プログラミングとゼロデイ攻撃を利用します。 その結果、 これまでに
ほとんど見たことのない未知のマルウェアが作成されます。 その希少性から、 従来のシグネチャやレピュテーション
による対策ではこの脅威を正確に検出することはできません。 しかし、 McAfee Threat Intelligence Exchange
では、 既存のリソースで疑わしいファイルの判断ができない場合、 McAfee Advanced Threat Defense にその
疑わしいファイルを転送して徹底的に分析できるため、 確実に判断できます。
McAfee Advanced Threat Defense には高度な攻撃を検出するため、 革新的なリアルタイムでの構文解析機能
を使用した複数層に渡る攻撃解析のアプローチが追加されています。 他のサンドボックスでは単純なマルウェアの
コーディングでさえ、 簡単にだまされて検出できないのに対し、 McAfee Advanced Threat Defense では業界初
のリアルタイムでの静的コード解析機能に動的サンドボックスの分析を組み合わせ、 攻撃者の難読化の手法も使用
して攻撃を検出します。 この組み合わせにより、 高度なマルウェアに対する市場で最強の保護が提供され、 セキュ
リティとパフォーマンスのニーズに対して、 効果的かつバランスよく対応できます。
エンドポイントからネットワーク、 ネットワークからエンドポイントの強化
McAfee Threat Intelligence Exchange と McAfee Advanced Threat Defense を統合すると、 高度な標的型
攻撃からの保護が強化されます。 マカフィーのエンドポイント製品では、 対象のファイルのペイロードの実行を遅延
して感染を回避し、 その間に McAfee Advanced Threat Defense との双方向の統合によって、 リアルタイムで対
象のファイルが 「有罪」 か 「無罪」 の判定を下すことができます。 ファイルが判断されたらレピュテーションが更新
され、 Data Exchange Layer を通して組織内のすべての対策製品に共有されます。 たとえば、 McAfee Threat
Intelligence Exchange を有効化したエンドポイントでは、そのファイルの実行からプロアクティブに保護し、そのファ
イルの組織への侵入を防止します。
また、 McAfee Advanced Threat Defense は McAfee Web Gateway、 McAfee Email Gateway、 McAfee
Network Security Platform などのマカフィー製品によってネットワークの入り口で収集されたマルウェアのサンプル
を受信することができます。 これらのネットワークコンポーネントも同様に、 環境内でこれらのサンプルから収集され
た最新の情報を McAfee Threat Intelligence Exchange を介して共有できます。このような脅威情報とレピュテー
ションの共有は、 マカフィー独自の Security Connected Platform におけるエンドポイントからネットワークの強化
によって可能にしています。 すべてを接続するマカフィーのセキュリティソリューションでは、 新しいマルウェアのリスク
が存在する時間が削減され、 修正にかかる時間が短縮されるだけでなく、 ネットワークアーキテクチャの再構成の
必要性も低減されます。
シナリオ 3: McAfee Enterprise Security Manager による状況認識
McAfee Enterprise Security Manager によって提供される可視性と相互関係を活用すると、 環境内の脅威の状
態を視覚的に分析できます。 また、McAfee Enterprise Security Manager で特許を取得したハイパフォーマンス
のデータベースエンジンを使用して、 McAfee Threat Intelligence Exchange や McAfee Advanced Threat
Defense をはじめとする数百のデータソースからログとイベントデータを収集して相互に関連付けることができます。
McAfee Threat Intelligence Exchange とセキュリティ情報イベント管理 (SIEM) の検出結果からワークフロー
とウォッチリストを作成して、 組織の保護とリスク管理の強化に使用できます。
過去の再生と未来の変更
McAfee SIEM では、McAfee Advanced Threat Defense と McAfee Threat Intelligence Exchange のアーチ
ファクトと IOC の情報を使用して、SIEM アーカイブのイベントを追跡し、関連するイベントが発生するとアラートを起動
します。 それによって時間を遡ると同時に最新情報を活用して、 過去に特定されなかった不正を特定できます。
たとえば、 McAfee Threat Intelligence Exchange または McAfee Advanced Threat Defense によって、 ファ
イルベースで判断されたファイルのハッシュを SIEM のウォッチリストに追加したとします。 その後、 ウォッチリスト
に保存されたその情報を SIEM で使用して、 インデックスが付けられた過去のイベントまたは新しいリアルタイムの
イベントと比較します。 ファイルのハッシュは McAfee Advanced Threat Defense だけでなく、 McAfee Change
Control などのファイル変更監視ソリューション、 ホスト / ネットワーク型侵入防止システム、 Web ゲートウェイの
マルウェア対策エンジンなど、 多くの製品で作成できるため、 ハッシュファイルの共有によって組織内の不正の検出
率が高くなります。 McAfee Threat Intelligence Exchange によってこれらのシステムに対してレピュテーションが
作成され、 SIEM によって各インシデントが統合され、 不正な活動の全体像が可視化されます。
高度な標的型攻撃 : 包括的な保護
9
ハッシュに加え、SIEM では McAfee Advanced Threat Defense と McAfee Threat Intelligence Exchange に
よって作成された他の重要な情報も活用できます。 この 2 つのソリューションによってファイル名、IP 情報、ペイロード
のハッシュ、 感染普及率、 ホスト名など、 その検索結果に関連する情報も提供されます。
McAfee Advanced Threat Defense のレポートには、 攻撃に関連するフ ァイル の詳細 情 報も含 ま れま す。
McAfee Advanced Threat Defense と SIEM の 両 方 を 導 入 し て い る 場 合、 McAfee Advanced Threat
Defense で作成された不正なファイルの情報に基づいて SIEM によってフィルタリングが実行され、 また、 イベント
の分析で確認された様々な特徴に基づいてこれらのファイルが検索されます。 ファイルが検出されたら、 McAfee
Advanced Threat Defense によって提供された IP アドレスとファイル名を用いて、 データのサブセットに対して
再度フィルタリングが実行されます。 SIEM では、 McAfee Advanced Threat Defense で作成された IOC に固有
のすべての過去の結果のレポートを作成でき、 その後のイベントも監視できます。
対策の力学の変革
これら 3 つの事例では完全性、 実用性ともに最高レベルの情報を防御対策に活用し、 これらの情報を使用して
プロアクティブな対応を自動的に実行する方法を示しています。検出、分析、データ / ワークフローレベルの保護を統合
すると、 情報を共有して、 組織のリアルタイムの保護を強化することができます。 また、 リアルタイムの情報を活用
し、 過去のデータを見直すことで、 環境における脅威を効果的に特定、 追跡および排除できるだけでなく、 将来
の保護に役立てることもできます。
このような情報の適応とリアルタイムのコミュニケーションを Security Connected Platform に導入することによっ
て、 マカフィーは高度な標的型攻撃対策を変革します。 McAfee Threat Intelligence Exchange によって実用
的な脅威情報が作成され、 Data Exchange Layer によって McAfee Security Connected Platform における
情報の適切なコンテキスト化と統合が可能になります。 また、 McAfee Advanced Threat Defense と McAfee
Enterprise Security Manager に加え、 エンドポイントからネットワークまでを網羅した幅広い対策を提供すること
で、 マカフィーは高度な標的型攻撃に対して最適化された業界で最も包括的な脅威保護を実現します。
詳細は以下を参照してください。
http://www.mcafee.com/japan/products/threat_intelligence_exchange.asp
http://www.mcafee.com/japan/enterprise/atd/
http://www.mcafee.com/japan/products/siem/
1 http://usa.visa.com/download/merchants/alert-prevent-grocer-malware-attacks-04112013.pdf
マカフィー株式会社
●製品、サービスに関するお問い合わせは下記へ
www.mcafee.com/jp
東 京 本 社
〒150-0043 東京都渋谷区道玄坂1-12-1 渋谷マークシティウエスト20F
TEL:03-5428-1100(代) FAX:03-5428-1480
西日本支店
〒530-0003 大阪府大阪市北区堂島2-2-2 近鉄堂島ビル18F
TEL:06-6344-1511(代) FAX:06-6344-1517
名古屋営業所
〒460-0002 愛知県名古屋市中区丸の内3-20-17 中外東京海上ビルディング3F
TEL:052-954-9551(代) FAX:052-954-9552
福岡営業所
〒810-0801 福岡県福岡市博多区中洲5-3-8 アクア博多5F
TEL:092-287-9674(代) McAfee、マカフィーは、米国法人McAfee, Inc.またはその関係会社の米国またはその他の国における登録商標または商標です。
●本書中のその他の登録商標及び商標はそれぞれその所有者に帰属します。©2014 McAfee, Inc. All Rights Reserved.
●製品、サービス、サポート内容の詳細は、最寄りの代理店または弊社事業部までお問合せください。●製品の仕様、機能は予告なく変更する場合がありますので、ご了承ください。 MCAWP-ATA-1403-MC