「検知」「分析」「運用性」
3つの重要ポイントに沿ってVMware Carbon Black Cloudを評価
検知 – 攻撃の検出が可能か
ファイルレスアタックによる侵入や環境寄生型攻撃など、実行ファイルを使用しない高度な攻撃の増加に伴い、ファイルの検査を主体とした既存のセキュリティ対策では防御機能を突破して侵入されるケースが増えてきました。
EPPによって検出された攻撃についても、そのログに示されているのは「どの端末がどんな種類のウイルスに感染して処置した」という情報だけで十分な可視化ができておらず、マルウェアの隔離や削除以外の対応は困難です。
これに対してVMware Carbon Black CloudはEDR製品でありながら防御機能として次世代アンチウイルス(NGAV)を内包しており、未知の脅威まで含めた対策が可能です。
「エクスプロイト防御、機械学習、レピュテーション、サンドボックスにより既知および未知の脅威をブロックします。ストリーミングベースで攻撃全体の流れ(挙動)に基づきファイルレス攻撃、環境寄生型などの高度な攻撃も検出。また、デコイ(おとり)を配置する独自機能で悪質化するランサムウェアも防御します」(矢部氏)さらにVMware Carbon Black Cloudは、エンドポイント上の動きを脅威であるかどうかに関わらずすべて記録して可視化します。その上で「対象のアプリケーションが、どのような振る舞いをしたときにブロックすべきか」という防御ポリシーを実行し、正規のアプリケーションの悪用を防ぐのです。
「防御ポリシーはデフォルト設定でも必要十分な防御力を備えていますが、より細かな設定を行うことで、環境や用途に応じた防御を実現することができます」(矢部氏)
分析 – 攻撃特定につながる分析結果が提供されるか
VMware Carbon Black Cloudの2つめの特長は、エンドポイント上のすべての挙動を捉える独自の分析アプローチです。他の多くのEDRがフィルタリングされたログの収集および分析を行うのに対して、VMware Carbon Black Cloudは未知の脅威を検出することにEDR本来の意義があるとし、未知である限りはフィルタリングをすべきではないと考えている点に根本的な違いがあります。
この考え方を体現したのが先にも少し述べたストリーミング分析で、従来型の点による検出ではなく挙動全体を把握し、攻撃のチェイン(繋がり)を検出した防御を実現します。
「すべてのアプリケーションのあらゆる挙動を捉えて記録し、そのログ情報とMITRE ATT&CKのフレームワークならびにVMware Carbon Black Cloudが独自に持つTTP(攻撃テクニック)やビッグデータと相関分析を行うことで、さまざまな標的型攻撃や環境寄生型攻撃など侵入後の脅威検出を可能としています」(矢部氏)
なお、攻撃進行中のインシデントについて緊急度の上昇に応じたアラートを発し、ユーザーに脅威を伝えるリアルタイムの検出能力も備えています。
運用性 – すぐに対応可能な状態まで分析・集約されたアラート
3つ目の特長は、アラートが集約されることです。一連の攻撃に対して検出した情報をその都度アラートするのではなく、全体で相関し即時対応可能な状態まで分析・集約した結果をアラートします。これは運用性という面で非常に重要です。
「アラートが多過ぎるとノイズとなり適切な運用ができません。実際、一連の攻撃で上がった複数のアラートは相関分析することにより集約でき、発出アラートを少なくすることが可能です。VMware Carbon Black Cloudでは、すぐに対応可能なレベルにまで分析・集約された結果がアラートとなりますので、ユーザーは提供されたアラートから初動として隔離をワンクリックで実施し、分析結果や推奨の対処方法から実施すべきレスポンス(ブラックリスト、ホワイトリスト、アプリケーション削除、実行停止)などをリモートから対応できるようになります。」(矢部氏)
また、調査に関しては、アンフィルターデータや検出内容が長期保持されており、調査画面から通常の検索ですぐに絞り込むことができます。検索には、EDR製品によく採用されているSIEM独自コマンドが不要なため、詳細情報を迅速に把握できます。さらに、すべてのログは端末ではなくクラウド側で保持されており、従来の端末からその都度ログを取得する製品と比べ、非常に高速な検索が可能となり、作業時間を大幅に短縮できます。
「VMware Carbon Black Cloudは取得できる情報量や高い運用性から自社にCSIRTなどセキュリティインシデント対応の専門部隊を持たないライトユーザーから、お客様にマネージドサービスを提供するMSSPまで幅広く導入頂けるEDR製品と言えます。」
