2014年12月12日、Barracuda NextG Firewallのファームウェアバージョン6.0がリリースされました。今回のリリースでの目玉はATD (Advanced Threat Detection) 機能がサポートされました。今回はATD機能のご紹介です。
APT対策ソリューションでは不十分?
標的型攻撃の一種としてAPT (Advanced persistent Threat) という言葉がインターネットセキュリティの世界でも汎用的に使われるようになりました。APTの攻撃手法として汎く悪用される例として、組織の特定部門や特定の個人をターゲットにして、マルウェアを添付したメールや、マルウェアダウンロードリンクが本文に含まれるメールを送信し、個人情報や機密情報を盗み出す「標的型」の手法が一般的です。
APTの進化系?ATD (Advanced Threat Detection)とは?
多くのセキュリティベンダが提供するAPT対策ソリューションでは、ネットワークへのマルウェアや、管理者にログ通知が送信された後で、ネットワーク脅威が検出されるケースがほとんどでした。そこでバラクーダネットワークスでは新たにATD(Advanced Threat Detection)を提唱しています。ATD対策では、マルウェアの挙動を把握すると同時に、ダウンロードファイルを最新のハッシュデータベースでチェックします。未知のファイルの場合は、仮想サンドボックスに送られ、そこでエミュレーションを実行し、悪意のある挙動の有無が判定されます。
ATD対策機能を搭載したBarracuda NextG Firewallの場合、2種類のエミュレーションポリシーをサポートし、それぞれ特定のファイルタイプを割り当てることが可能です。
Deliver first, then Scan (先に配送してスキャン)
1つ目のポリシーは、「ダウンロードしたファイルをエミュレーションサービスに送信」するという従来型のポリシーです。ファイルスキャンで悪意のある挙動が検出されると、ログイベントが生成されます。これに基づいて、システム管理者は脅威の対策をユーザに指示します。
企業ネットワークにマルウェアが侵入した場合に最も重要になるのは、貴重な企業資産への感染と被害の拡大を阻止することです。被害を最小限に留める機能として、Barracuda NextG Firewallはユーザ/IP/マシンのブラックリスト機能を備えています。マルウェアに感染した部分は自動的に隔離されるので、被害の拡大を阻止できます。
Scan first, then Deliver (先にスキャンして配送)
もう1つのポリシーは、「ファイルのエミュレーションと判定が完了するまでユーザにファイルを送信しない」というポリシーで、ファイル単位での設定が可能です。ユーザには、安全だと判定されたファイルのみが転送されます。これによりスピア型攻撃や、APT攻撃対策を施したセキュリティベンダが提供する従来型のサンドボックスでは検出できないマルウェアも検出できます。
検知されたマルウェアの挙動に基づいて感染ユーザを自動的にブロックし、企業ネットワークへのアクセスを阻止します。エミュレーションの対象ファイルについて、レジストリエントリ、ネットワーク処理(ボットネットコマンド、コントロールセンタートラフィックなど)、難読化といった悪意のあるアクティビティに関する詳細情報を提供します。またマルウェア情報をデータベースに一元的に格納/共有することにより、エミュレーションを最適化します。
クラウドベースのエミュレーション
さらに、クラウドベースのエミュレーションを搭載し、リソースを大量に消費するエミュレーションをバラクーダクラウドにオフロードすることで、処理負荷を軽減します。
的型攻撃対策の手法として、是非Barracuda NextG Firewallを検討してみてはいかがですか?
寺下 理恵(バラクーダネットワークスジャパン株式会社、プロダクトマーケティングマネージャ)
本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』12月16日付の記事の転載です。