モダンマルウェア プロテクション

モダンマルウェアは現在もっとも精巧な多数のネットワーク攻撃の中心を占めており、従来のセキュリティ ソリューションを回避するよう更なるカスタマイズが進行しています。パロアルトネットワークスは、感染の予防から未知または標的型マルウェアの識別、そして実際のあらゆる感染の特定と阻止に至るまで、マルウェアのライフサイクル全体にわたって対処する統合アプローチを開発しました。パロアルトネットワークスWildFireエンジンは、標的型および未知のマルウェアを仮想環境で直接観察することを可能にし、その姿を浮き彫りにします。それと同時に次世代ファイアウォールを通じて、トンネリングされたり回避措置がとられたり暗号化されたりしている未知のトラフィックなど、あらゆるトラフィックに対する完全な可視性と制御能力が提供されます。

WildFireによる未知および標的型マルウェアの検出

ファイアウォールが任意のアプリケーションから送られてきた未知の.EXEや.DLLファイルを検出すると、それらがたとえSSLで暗号化されていたとしても、ファイルをWildFire仮想サンドボックスに送り、そこでパロアルトネットワークスはマルウェアの存在を明らかにする70以上の悪意のある動作を直接観察することができます。サンドボックスへの送信は手作業でも、あるいはポリシーに基づいて自動的にも行えます。

攻撃を阻止して更なる感染を防ぐシグネチャ

サンプルがマルウェアであると判断された場合、そのサンプルはWildFireのシグネチャ ジェネレータに送られます。シグネチャ ジェネレータはそのサンプルに対するシグネチャを自動的に生成し、精度をテストします。新しいシグネチャは次回のコンテンツ アップデートで配布されます。パロアルトネットワークスはまた、すべての重要な制御トラフィックに対するシグネチャを開発し、ネットワーク内部の任意のマルウェアの通信をスタッフが即座に阻止できるようにします。

WildFireのインテリジェンスとフォレンジック

プロテクション機能の提供に加えて、管理者はWildFireポータルを通じて検出されたマルウェアに関する豊富で実用的な情報にアクセスできます。標的にされたユーザやマルウェアを伝播したアプリケーション、伝播にかかわったりマルウェアを含んでいたりするすべてのURLといった情報とともにマルウェアの詳細な活動レポートが生成されます。

ファイアウォールとクラウドの統合

WildFireは、顧客のオフィス内ファイアウォールをパロアルトネットワークスのクラウド ベース分析エンジンと連動させることで直列型のハイパフォーマンスを実現するとともに、クラウドを通じてすべての企業ロケーションに最速のプロテクションを提供します。

ボットネットの拡散やコントロールに用いられるアプリケーションの制御

App-IDによって実現するアプリケーション制御機能を用いれば、ボットネットが拡散経路やコントロールに用いる恐れのあるアプリケーションを制御するファイアウォール ポリシーを展開することができます。次のような例があります。

  • ボットネットを拡散させるアプリケーションとして知られるMSNなどのP2PおよびIMアプリケーションをブロック。
  • 既知のボットネット指揮統制アプリケーション (IRCなど) をブロック
  • コントロール ルートになりつつあるアプリケーション (ツイッター、Gmail、Google Docs) を制御、検査、監視

既知のボットネットの拡散防止

脅威防御エンジンによってDark EnergyやRustockなどのさまざまな既知のボットネットを識別してブロックできるとともに、脅威シグネチャの定期アップデートを通じて新たに発見されたボットネットも識別、ブロックされます。

ボットに感染しているマシンを迅速に判断

行動型ボットネット レポートでは、未知のアプリケーションやIRCトラフィック、マルウェア サイト、ダイナミックDNS、新たに作成されたドメインなどの幅広いデータポイントが分析されます。その分析結果ではボットネットのメンバーになっている恐れのある潜在的な感染ホストが一覧表示されます。

pdf 詳細はこちら。