感染マシンを特定できるFailsafeがNGFWと連携
DAMBALLAジャパンは1月27日、CSIRT/SOC支援ツール「Failsafe 6.1」を公開した。同日行われた記者説明会では、米本社からCTOのStephen Newman氏が来日し、Failsafeの概要と新バージョンの強化点を説明した。
企業ネットワークは一般の境界防御によって内部システムを保護しているが、近年、防御をかいくぐって侵入されるケースが発生している。たとえ侵入を許したとしても、侵入後の対処を迅速に行い、情報漏えいという企業にとって最悪の結果にならないかどうかが重要視されつつある状況にある。
同社の主力製品であるFailsafeは脅威検知のプラットフォームで、ネットワークの"ふるまい"を8つのエンジンで分析することによって「確実な感染」の判断を行う。
従来の製品でありがちだった誤検知に振り回されることや、膨大なログを人力でチェックし、問題となる端末を洗い出す手間を省くことで「従来のセキュリティシステムがアラートを上げて、調査するのに数時間から数週間かかるのに対し、Failsafeなら自動化により数分で判断可能」(Stephen氏)になるという。これにより、企業内のCSIRTは積極的なデータ漏えい防止にリソースを割り当てることが容易になるとしている。
Failsafeは、対象となる端末を被害のリスクと数々の証拠をベースとした確信度によって「要注意・疑惑・感染」に分類する。一定の閾値を超えた段階で「疑惑」と設定し、証拠集めを強化して、場合によっては活動のブロックも行う。ただ、実際にFailsafeがこれらの活動を行うのではなく、連携した製品のAPI経由で実施することになる。
その後、さらに検出される問題点が多くなって十分な証拠が集まると、Failsafeは「感染」したと判断する。この時点で直ちにそのマシンを停止、対策を実施するのに十分な証拠が残るため、CSIRTが迅速に問題解決に取り組めるという。
今回リリースされたFailsafe 6.1では、パロアルトネットワークスとチェック・ポイント・ソフトウェア・テクノロジーズの次世代型ファイアウォールと連携する。
連携では、疑わしい行動をFailsafeが検知すると、デバイスの状態や検知したC&C通信内容を次世代型ファイアウォールに通知しポリシーを設定する。感染した端末の隔離やC&Cサーバと思わしき通信をブロックするとともに、既存の次世代ファイアウールへの投資を生かした運用が行えるという。また、特権アカウントセキュリティソリューション「Cyberark」、エンドポイント型情報漏えい対策ソフト「Digital Guardian」、変更管理/改ざん検知ツール「Tripwire」との連携によって、ユーザーの特権発行停止や粒度の細かなポリシー作成、相関分析が可能になる。
導入の具体的な効果に対しては「(実証実験レベルの話となるが)感染のデータが数日で上がるので、感染から発覚までの対応が大幅に短くなっている」(新免氏)という。