malware protection systems -...
TRANSCRIPT
FireEye次世代の脅威対策ソリューション
Malware Protection Systems
世界中でリアルタイムの情報共有(DTI-Cloud:Dynamic Threat Intelligence Cloud)
は、高度な標的型攻撃を阻止する唯一の防御対策を実現します。FireEyeはゼロデイ攻撃や標的型攻撃からシステムを保護する、次世代の脅威対策ソリューションです。ファイアウォールやIPS、アンチウイルスなどのシグネチャベースの従来型セキュリティでは防げない最新の攻撃手法にも対応し、情報資産を守ります。
マクニカネットワークスグループが提供する標的型攻撃対策
世界中に導入されているFireEyeのMVXで検出した脅威情報やC&Cサーバの情報をDTI-Cloudで収集し、最新の脅威情報を自社アプライアンスに配信する仕組みを保有しています。
従来型セキュリティ製品では防げない、未知の脅威を利用した標的型攻撃を検知・ブロック
標的型攻撃は、シグネチャをはじめとした静的解析のセキュリティ製品をすり抜けて、企業に侵入します。FireEyeは未知の攻撃や高度な標的型メール攻撃をシグネチャに依存することなく発見できるソリューションです。
FireEye独自仮想実行エンジン(MVX:Multi-Vector Virtual eXecution engine)
入口・出口の包括的な対策を提供FireEyeソリューションイメージ
FireEyeソリューションマップ
入口対策
出口対策感染PC
Email MPS
仮想マシン
仮想Webサーバ
世界中のFireEyeより集められた脅威/
C&Cサーバ情報を共有
仮想DNSサーバ
攻撃者
C&Cサーバ
Internet
Internet
Internet
脅威を発見アラート!
● MVXで特定したC&Cサーバ情報により脅威を確実に検知
● 世界中の FireEye製品からの脅威情報(DTI-Cloud)より提供されたC&Cサーバ情報による検知
● リセットパケットによりC&Cサーバとの通信を切断
● 他製品との自動連携による通信遮断
● 脅威のアラート● 詳細な分析レポートの提供● マルウェア検体ダウンロード● C&Cサーバ情報提供 等
● シグネチャに依存せず、MVXで実行することにより、既知/未知に関わらず脆弱性を突いた攻撃コード及びマルウェアの検出が可能
IN
OUT
File MPS
CMS
Web MPS
MVX
仮想C&Cサーバ
❷ 攻撃が含まれる 可能性がある通信を MVXに取り込む
❹ 攻撃の有無の確認と、 感染後に通信を行う C&Cサーバ情報を 取得
❶ 実際の通信 (Web/Email)をキャプチャ ❸ MVX内で通信を再現
Firewall IPSAnti-VirusSWG
NGFW/UTM
静的解析 動的解析
レピュテーションヒューリスティック
FireEye
PortScan/DoS攻撃
既知の攻撃/既知マルウェア
既知に類似した攻撃/亜種マルウェア
一般的な攻撃
標的型攻撃
標的型攻撃とは
● 狙われているのは機密情報犯罪者の視点で見れば、企業・組織は機密情報や知的財産の宝庫。その詐取を大きな目的とする傾向があります。
● 標的に合わせた高度な攻撃手段目的達成のため、標的となる企業・組織が
実施しているセキュリティシステムをすり抜けるような攻撃を実施します。
● 継続的で気づかれにくい攻撃目的を果たすまで、長期間にわたって執拗な攻撃を継続します。その際、標的内部に気づかれないように長期間潜伏し続けます。
偵察攻撃者によるターゲットの情報収集
武器化攻撃者による攻撃コード(エクスプロイト)とマルウェア(実行ファイル)の作成
標的型攻撃のプロセス ̶ Cyber Kill Chain
自社のMPSDTI-Cloud
標的にされたユーザの端末
C&Cサーバ
社内ファイルサーバ
命令コード
攻撃者
攻撃検知
検 知
ブロック
出口対策
入口対策
命令コード
Web/Emailを利用して、攻撃コード、実行ファイルをターゲットに配送
C&Cサーバの接続/遠隔操作
偵察1
配送3
遠隔操作6
目的実行7 7
武器化2 攻撃コードの実行4インストール5
1
2
DTI-Cloud
標的型攻撃とは、明確な「目的」をもって特定、もしくは関連する企業・組織に対して行われるサイバー攻撃です。
配送攻撃者がWeb、Emailを利用してターゲットに攻撃を配送する
攻撃脆弱性を利用した攻撃コード(Exploit)を実行させる
インストールマルウェアをインストールさせる
遠隔操作コマンドアンドコントロール(C&C)サーバへ接続させ、感染させたPCを遠隔操作する
目的実行目的となる情報の詐取。またはマルウェアの拡散やファイルサーバに待機させ、長期的な攻撃を行う
3
4
5
6
7
未知の攻撃/未知のマルウェア
標的型メール攻撃(添付ファイル/URL)
自社MPSで検知した脅威/C&Cサーバ情報を提供
FireEyeは実際に流れる通信をキャプチャし、MVXと呼ばれる仮想実行エンジン内で実際に実行することで、攻撃の有無を検知する動的解析のアーキテクチャを搭載しています。MVXには仮想マシンだけでなく、仮想Webサーバ、仮想DNSサーバなどにより、外部通信の再現も可能ですので、マルウェア感染後に接続するC&Cサーバ情報の取得を行うことも可能です。
■ 特徴● 独自仮想実行エンジンの採用で、仮想環境をすり抜けようとする攻撃にも対応● MVXを複数同時稼働(Web:最大32、Email:最大96)することによりリアルタイムに脅威を検出● MVX内でも攻撃プロセスをそのまま再現することにより高度な攻撃を検出
クライアントFileサーバ
アンチウイルスIPS
アンチウイルスアンチスパム
WebプロキシMailサーバ
Web MPS モデル名 Web MPS 1310 Web MPS 2310 Web MPS 4310 Web MPS 7300 Web MPS 7320 対応ラック 1U 1U 1U 1U 1U 通信量 20 Mbps 50 Mbps 250 Mbps 1Gbps 1Gbps モニタリングポート 2× 10/100/1000 BASE-T 4× 10/100/1000 BASE-T 4× 10/100/1000 BASE-T 4× 10/100/1000 BASE-T 2× 10/100/1000 BASE-SX 管理用ポート 2× 10/100/1000 BASE-T 2× 10/100/1000 BASE-T 2× 10/100/1000 BASE-T 2× 10/100/1000 BASE-T 2× 10/100/1000 BASE-T 寸法(幅×奥行×高さ) 42.6×35.6×4.3 cm 42.6×35.6×4.3 cm 43.7×69.9×4.3 cm 43.7×65.0×4.3 cm 43.7×65.0×4.3 cm 重量 5.4 kg 5.4 kg 11.4 kg 13.6 kg 13.6 kg 電源 100~240 V(Single) 100~240 V(Single) 100~240 V(Dual) 100~240 V(Dual) 100~240 V(Dual) 最大消費電力 260 W 260 W 700 W 700 W 700 W
Email MPS モデル名 Email MPS 3300 Email MPS 5300 Email MPS 8300 Email MPS 8320 対応ラック 1U 1U 2U 2U 通信量 150,000通/日 300,000通/日 750,000通/日 750,000通/日 モニタリングポート 2× 10/100/1000 BASE-T 2× 10/100/1000 BASE-T 2× 10/100/1000 BASE-T 2×1000 BASE-SX 管理用ポート 2× 10/100/1000 BASE-T 2× 10/100/1000 BASE-T 2× 10/100/1000 BASE-T 2×10/100/1000 BASE-T 寸法(幅×奥行×高さ) 43.7×65.0×4.3 cm 43.7×65.0×4.3 cm 43.7×70.9×8.9 cm 43.7×70.9×8.9 重量 11.4 kg 13.6 kg 22.7 kg 22.7 kg 電源 100~240 V(Dual) 100~240 V(Dual) 100~240 V(Dual) 100~240 V(Dual) 最大消費電力 700 W 700 W 1400 W 1400 W
File MPS モデル名 File MPS 5300 File MPS 8300 対応ラック 1U 2U 処理能力 35,000ファイルオブジェクト/日 70,000ファイルオブジェクト/日 モニタリングポート 2× 10/100/1000 BASE-T 2× 10/100/1000 BASE-T 管理用ポート 2× 10/100/1000 BASE-T 2× 10/100/1000 BASE-T 寸法(幅×奥行×高さ) 43.7×65.0×4.3 cm 43.7×70.9×8.9 cm 重量 13.6 kg 22.7 kg 電源 100~240 V(Dual) 100~240 V(Dual) 最大消費電力 700 W 1400 W
CMS モデル名 CMS 4310 CMS 7300 対応ラック 1U 1U 用途 複数のWeb MPSの管理 Web MPS と Email MPSの管理 複数のEmail MPSの管理 モニタリングポート N/A N/A 管理用ポート 2× 10/100/1000 BASE-T 2× 10/100/1000 BASE-T 寸法(幅×奥行×高さ) 43.7×65.0×4.3 cm 43.7×65.0×4.3 cm 重量 13.6 kg 13.6 kg 電源 100~240 V(Dual) 100~240 V(Dual) 最大消費電力 700 W 700 W
File MPS内部● ファイルサーバに拡散、待機されたマルウェアをMVXで検知&アラート
● スケジューリング機能により、定期的にファイルサーバを監視
CMS(Central Management System)統合管理ツール● Web、Email、File MPSの情報を収集し、一元管理● DTIから取得したシグネチャ情報を各MPSに共有● 管理デバイス間で発見されたマルウェア情報の共有により、全アプライアンスの検知レベルを高水準に維持
MAS(Malware Analysys System)● 任意のURLやファイルをMVX上で実行することで詳細分析を実施
● 実際のC&Cサーバに通信させることが可能
● 本カタログに掲載の製品仕様は、予告なく変更する場合があります。予めご了承ください。● 本カタログに掲載されております社名および製品名は、各社の商標及び登録商標です。
2013年4月 © Macnica Networks Corp.
本 社 〒222-8562 横浜市港北区新横浜1-5-5 TEL.045-476-2010 FAX.045-476-2060大阪営業所 〒532-0003 大阪市淀川区宮原3-4-30 ニッセイ新大阪ビル17階 TEL.06-6397-1055 FAX.06-6397-1056
製品仕様
http://www.macnica.net/fireeye/ [email protected]でのお問い合わせは
★マクニカネットワークスは米国FireEye社の一次販売代理店です。
FireEye製品ラインナップWeb MPS入口対策● HTTPトラフィックをキャプチャしアプライアンス内のMVXで攻撃の有無を検知&アラート
出口対策● 攻撃によって感染した端末から外部C&Cサーバへの通信を検知&アラート
● リセットパケットを送信し、C&Cサーバへの通信を自動切断
Email MPS入口対策● Emailの添付ファイルをアプライアンス内のMVXを使用して攻撃を検知&アラート
● Email本文および添付ファイル内のURLをDIT-Cloudからの情報をもとに検知&アラート
● 攻撃メールのブロック(MTAモードの場合)
Web M
PS Email M
PS
File MPS
CMS
Web経由の攻撃 Emailによる攻撃
WebとEmail混合の攻撃
感染端末からの拡散
詳細分析
C&Cサーバ
出口
MAS