APT防御

WildFire: 標的型攻撃と未知の脅威の防御

最近の攻撃者は、従来のセキュリティ ソリューションをすり抜けようと、標的型マルウェアや未知の新しい変種を使う傾向が強まっています。そこでパロアルトネットワークスでは、数分間で新しいマルウェアを特定するWildFireを開発しました。不審なファイルが見つかった場合、仮想環境で実行し、その挙動を観察します。このため、過去に見たことのないマルウェアサンプルであっても、マルウェアかどうかを即座に正確に見極めます。
 

ファイルに悪意ありと考えられる場合、WildFireは防御策を自動生成、検知から1時間以内にWildFire全加入者に防御策を配信します。WildFireのライセンス契約企業のIT担当者には、多彩な攻証拠保全機能を活用することで、標的の対象、媒介に利用されたアプリケーション、攻撃に加担しているURLを正確に突き止めることができます。

 

詳細はWildFire技術の詳細をご覧ください。

iSMG社の『Advanced Threat Prevention Survey』

検出、防御、および防衛のための新戦略

未知の脅威に対するサンドボックス分析

最近のサイバー攻撃は、従来のセキュリティ対策の網の目をくぐり抜けるために、ステルス性の持続型の性格を強めるなど巧妙化しています。WildFireは、拡張性のあるクラウド型の仮想環境で随時分析を実施誌ながら、未知のマルウェアやゼロデイ攻撃、APTなどを特定します。悪意のあるマルウェアや脆弱性攻撃の挙動を直接観察し、わずか30分間で防御策を自動生成し、グローバルに配信します。

DNSベースのインテリジェンス

DNSトラフィックは、ほとんどの組織に存在し、途方もないほどの膨大なデータを生み出しています。セキュリティ担当者も無視を決め込むこともあります。また、対応したくても、適切な分析ツールがないケースも考えられます。こうした実態を知っている攻撃者は、DNSを悪用してC2(遠隔操作)活動を隠蔽し、新たなマルウェアを送り込んだり、重要データを盗み出したりしています。攻撃者はいくつものドメインを抱え、次から次へと遠隔操作拠点を転々することで、ブラックリストやWebレピュテーションといった従来のセキュリティ対策の網の目をくぐり抜けています。パロアルトネットワークスでは、次の方法でこうした攻撃に対処しています。

ボットネット挙動レポート

ボットネット挙動レポートは、トラフィックの異常とエンドユーザーの挙動の相関分析を実行し、ネットワーク上でボットネット感染の恐れのある端末を特定します。レポートで使用しているロジックでは、未知のTCPやUDPまたは異常なTCPやUDPに加え、特定ダウンロードパターンの繰り返し、ダイナミックDNSやブラウジングの異常など、不審な動きについても追跡します。こうした要因について相関分析を実行し、感染の恐れのあるユーザーや、診断実施に至った挙動をまとめたレポートを発行します。