脅威は巧妙で危険なものになり兼ねません。ある脅威は、複数のペイロードを複数の段階に分けて実行したり、実行中に動作を変えたり、自動的に起動して急速に拡散したりします。このような脅威に対して組織の保護もインテリジェントで自動化されたものにする必要があります。

パロアルトネットワークスのシグネチャはトラフィックとファイルの内容に基づいて作成され、それぞれの脅威の動作方法に注目して設計されています。また、新たな脅威が特定されたときには、自動的に更新されます。各脅威の仕組みを調べる保護機能を提供することで、それらの脅威を正確に識別し、より多くの脅威を阻止し、お客様の組織を効果的に防御します。

ペイロードベースのシグネチャ

ハッシュに基づいたシグネチャは、ファイルに固有のエンコーディングによって照合します。ファイル ハッシュは簡単に変化するため、ポリモーフィック型マルウェアまたは同じファイルの亜種の検出には効果がありません。ハッシュベースのシグネチャは、箱の中身を見ずに外見だけで内部が損傷を受けているかどうかを判断することと似ています。

一方、ペイロードに基づいたマルウェア シグネチャでは、ペイロードの特徴を含む、ファイルの本文におけるパターンを検出できます。ペイロードはリファレンス ポイントとして機能するため、マルウェア ファイルが変更されて新しいハッシュが生成された場合でも、シグネチャでそのペイロードを特定してファイルをブロックすることができます。

脆弱性ベースのシグネチャ

エクスプロイトは、ソフトウェア内の脆弱性または弱点を悪用するように細工されたトラフィックです。1つの脆弱性を悪用する方法はいくつもあるため、ゼロデイ エクスプロイトが検出されると、瞬く間に実世界でもこの新たなエクスプロイトの亜種が散見されるようになります。

標的になっている脆弱性に的を絞ったIPSシグネチャを設計することで、標的になったアプリケーションおよび脆弱性タイプを両方とも特定して、1つのシグネチャで複数のエクスプロイトを阻止することができます。これにより、エクスプロイトがネットワークを悪用できる前に、そのエクスプロイトのトラフィックを阻止することができます。




通信ベースのシグネチャ

コマンドアンドコントロール(CnC)チャネルは主にHTTPとDNSを活用して、攻撃者との通信リンクを確立します。攻撃者は、この通信リンクを通じて、ホストのアクションを制御したり、データを抜き取ったりします。これらのチャネルをブロックするには、ターゲットであるIPアドレスやドメインの信用度を分析するだけでは不十分です。

弊社のCnC保護機能は、通信チャネルの信用度、タイプ、動作を特定することでその目的を正確に識別し、脅威の伝播に使用されている接続をブロックします。新しいCnCチャネルの確立は、攻撃者にとって比較的簡単な操作であるため、弊社はこれらの保護機能を、WildFireを通じて絶えず更新しています。

効果の高い保護

弊社のマルウェア シグネチャはペイロードに焦点を合わせているので、複数のマルウェアの亜種とエクスプロイトを阻止できます。その中には、実世界ではまだ確認されていない亜種も含まれます。弊社のマルウェア保護は非常に効果的なため、1つのシグネチャで30万種を超えるマルウェアの亜種をブロックした事例も報告されています。

これは、他のストリームベースの防御製品で発生していた待機時間を減らしながら、より少ないシグネチャでより多くのマルウェアとエクスプロイトを阻止できることをも意味します。