この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

ATD (Advanced Threat Detection)とは?

ネットワークセキュリティ 2014/11/12

APT対策ソリューションでは不十分?

現在、高度で執拗かつ継続的な脅威が登場していますが、既存のウイルス対策システムや侵入防止システムではとても太刀打ちできません。

標的型攻撃の一種としてAPT (Advanced persistent Threat) という言葉がインターネットセキュリティの世界でも汎用的に使われるようになりました。APTの攻撃手法として汎く悪用される例として、組織の特定部門や特定の個人をターゲットにして、マルウェアを添付したメールや、マルウェアダウンロードリンクが本文に含まれるメールを送信し、個人情報や機密情報を盗み出す「標的型」の手法が一般的です。

APTの進化系?ATD (Advanced Threat Detection)とは?

多くのセキュリティベンダが提供するAPT対策ソリューションでは、ネットワークへのマルウェアや、管理者にログ通知が送信された後で、ネットワーク脅威が検出されるケースがほとんどでした。そこでバラクーダネットワークスでは新たにATD(Advanced Threat Detection)を提唱しています。ATD対策では、マルウェアの挙動を把握すると同時に、ダウンロードファイルを最新のハッシュデータベースでチェックします。未知のファイルの場合は、仮想サンドボックスに送られ、そこでエミュレーションを実行し、悪意のある挙動の有無が判定されます。

ATD対策機能を搭載したBarracuda NextG Firewallの場合、2種類のエミュレーションポリシーをサポートし、それぞれ特定のファイルタイプを割り当てることが可能です。

Deliver first, then Scan (先に配送してスキャン)

1つ目のポリシーは、「ダウンロードしたファイルをエミュレーションサービスに送信」するという従来型のポリシーです。ファイルスキャンで悪意のある挙動が検出されると、ログイベントが生成されます。これに基づいて、システム管理者は脅威の対策をユーザに指示します。

Deliver first, then scan

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

Deliver first, then scan

企業ネットワークにマルウェアが侵入した場合に最も重要になるのは、貴重な企業資産への感染と被害の拡大を阻止することです。被害を最小限に留める機能として、Barracuda NextG Firewallはユーザ/IP/マシンのブラックリスト機能を備えています。マルウェアに感染した部分は自動的に隔離されるので、被害の拡大を阻止できます。

Scan first, then Deliver (先にスキャンして配送)

もう1つのポリシーは、「ファイルのエミュレーションと判定が完了するまでユーザにファイルを送信しない」というポリシーで、ファイル単位での設定が可能です。ユーザには、安全だと判定されたファイルのみが転送されます。これによりスピア型攻撃や、APT攻撃対策を施したセキュリティベンダが提供する従来型のサンドボックスでは検出できないマルウェアも検出できます。

Scan first, then Deliver

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

Scan first, then Deliver

検知されたマルウェアの挙動に基づいて感染ユーザを自動的にブロックし、企業ネットワークへのアクセスを阻止します。エミュレーションの対象ファイルについて、レジストリエントリ、ネットワーク処理(ボットネットコマンド、コントロールセンタートラフィックなど)、難読化といった悪意のあるアクティビティに関する詳細情報を提供します。またマルウェア情報をデータベースに一元的に格納/共有することにより、エミュレーションを最適化します。

クラウドベースのエミュレーション

さらにバラクーダネットワークスでは、クラウドベースのエミュレーションを搭載し、リソースを大量に消費するエミュレーションをバラクーダクラウドにオフロードすることで、処理負荷を軽減します。

クラウドでエミュレートすることで負荷軽減

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

クラウドでエミュレートすることで負荷軽減

標的型攻撃対策の手法として、新たにATD対策ソリューションを検討してみてはいかがですか?

参考資料

Barracuda NextG Firewall 製品ページ:
http://www.barracuda.co.jp/products/nextg

Barracuda NextG Firewall ホワイトペーパー:
http://www.barracuda.co.jp/cms/pdf/NG_Firewall_ATD_141105.pdf

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30007626


IT・IT製品TOP > Key Conductors > 寺下 理恵(バラクーダネットワークスジャパン株式会社) > ATD (Advanced Threat Detection)とは?

このページの先頭へ

キーマンズネットとは
2008年バラクーダネットワークスジャパン株式会社に入社。シニアプリセールスエンジニアとして、企業・自治体を中心にネットワークセキュリティ・アプリケーションデリバリ・データ保護ソリューションを提案。2013年よりプロダクトマーケティングマネージャーに着任し、ソーシャルメディアマーケティングを担当。

ページトップへ