Bromium Advanced Endpoint Security

次世代エンドポイントプロテクション


siemシステムとの連携が可能



》Bromiumが実現します!

  • エンドポイント上でマルウェアからのプロテクションと隔離
  • 監視と分析/リポート


特長


これまでエンドポイントでのマルウェアの侵入を阻止することは不可能であるとして、多層化防御、とりわけ関心は検知に焦点を当てた対応に変わってきている。
その結果、誤検知を含む大量の警告メッセージが上がり、その分析のためにSIEMを導入するが、そのためには明確な目的を持った計画が重要で、それを運用するCSIRTのような組織を立ち上げる必要性が説かれ、マルウェア感染はやむなしで、むしろ感染した後の現状分析を如何に早くし、被害の実情把握と拡大阻止に重点が移ってきたような昨今です。
大量のアラートを捌くための作業量が増大し、運用側の苦労も相当なものだといわれています。
一方、マルウェアの侵入経路はWindowsデスクトップ(クライアントPC)がほとんどで、メール添付、メール内容に記述されたURL、Webブラウジングからのマルウェア侵入は阻止不可能といわれています。
この製品は、感染の一番多いWindowsデスクトップに絞り、Windowsデスクトップであれば、あらゆる場面でマルウェアの感染を阻止できる次世代のエンドポイントプロテクションです。
これまでの技術と異なり、マルウェアを逃しませんので、阻止できると同時に完全にマルウェアを特定できるものです。
万が一、これまでのサンドボックスで指摘されていたような回避手段により(実環境で動作しているので回避する可能性は低いのですが)、仮にマルウェアが検知されなくても、実際にエンドポイントでマルウェアが動作していないので被害の発生しない点が、サンドボックス製品との大きな違いです。


AESの機能


AESは以下のモジュールから構成されます。

  • Endpoint Protection(Protect機能)

    既知/未知両方の脅威に対して完全な保護を実現
    ・エンドポイント侵入を防御するためにWebサイト、Eメール、文書、USB、その他
     実行ファイルをハードウェア隔離するためにMicro-virtualization(Microvisor)を活用
    ・会社のネットワークから外れたときでさえ、攻撃からモバイルユーザをプロテクト
    ・イントラネットや高価値のSaaSサイトへの攻撃者のアクセスをブロック
    ・自動復旧機能を通じて根気良くマルウェアを除去

  • Endpoint Monitoring(Detect機能)

    脅威の活動のリアルタイム検知と監視
    ・悪意ある活動の検知に関係なく、信頼できるコンテンツをユーザに提供
    ・異常な活動を追跡する振る舞いのルールを適用
    ・マイクロVMの外から活動を監視するためにEndpoint Protectionと共に動作

  • Threat Analysis(Respond機能)

    即時に攻撃の可視化と脅威分析情報を提供
    ・マイクロVMやホストOS上で実行するマルウェアに対するリアルタイム攻撃の
     フォレンジックを提供
    ・ホスト監視からの「攻撃のインジケータ(IoA)」とマイクロVMからの
     「侵入のインジケータ(IoC)」をエンドポイントに跨って収集し相関分析
    ・エンドポイント上のIOAとIOCを早期に識別するため検索機能を提供
    ・可視化と分析のためにすべての攻撃の今現在のグラフィカルな画面を提供

  • Enterprise Controller

    中央管理機能でAgentの展開やBromium全体の脅威管理に利用
    ・情報システム担当者が、集中化されたダッシュボードからリアルタイムに、
     危険なセキュリティイベント、攻撃のキルチェーン、リスクプロファイルを
     監視し、分析し、レポートすることを可能にする
    ・エンドポイントの隔離と監視能力のすべてに亘る完全な、きめ細かなポリシー制御を提供
    ・完全に自律的なインストールとアップデートエンジンで大規模な展開も加速
    ・多層化防御を提供するために、リアルタイムにSIEMシステムやネットワークセキュリティ
     ツールへの脅威インテリジェンスを発行


AESの動作概要


  • Protect(防御)機能

    Bromiumはすべての信頼できないコンテンツ用に攻撃ベクターを隔離することでエンドポイント
    をプロテクトします。
    ・ユーザはWebブラウジング、Eメールの添付を開く、ファイルを開ける等の際に、ユーザは
     これまでと変わらない操作感覚
    ・マルウェアはCPUによってハード的に隔離され、企業ネットワークを軸に存在したり、高価
     値なデータやサイトにアクセスすることはできない

  • Detect(検知)機能

    Bromiumは、パケットを収集したり、ファイルやメモリを変更するような、信頼できないタス
    クの実行を監視するためにマイクロVM自身の動きを観察します。
    ・Bromiumは、脅威を与えるコンテンツを広範囲に亘り悪意のある実行の何らかの兆候に対して
     ホストOSを監視する
    ・ユーザが信頼している任意のファイルは詳細に追跡する。(信頼されていても検証する)

  • Respond(対応)機能

    マルウェアはタスクが終了したときに自動的に復旧されます。
    ・Bromiumは、ホスト監視からの「攻撃のインジケータ(IoA)」とマイクロVMからの
     「侵入のインジケータ(IoC)」をエンドポイントに跨って収集し相関分析
    ・管理者は、エンドポイント(たとえオフラインであっても)上のIoAとIoCを早期識別する
     ためにクイックサーチの機能を持っている

  • 製品の動作まとめ

    脆弱性を含む可能性のあるタスク(信頼できるタスク以外)はすべて、タスク発生と同時に起動されるマイクロVM上で動作させられる。
    それらのタスクは例えば、’メールの添付ファイルを開く’、’Webのページへのアクセス’、
    ’Adobe Flash Player’、’ MicroSoft Office’ 等々の各タスクである。
    各タスクがマイクロVM上に乗ることで、ハード及びOSカーネルから分離されることによりタスク(マルウェア)の実行によりデータの書き換え、他のリソースへの不法なアクセスはすべてブロックできる(ただしタスクからは成功しているように見える)、また一連のアプリ実行は通常通り終了する、(エンドユーザは通常使用しているアプリを立ち上げ完了させただけで特別な影響はなし)

    マイクロVM上のタスクが行うデータやカーネル情報への書き込みや書き換えは、実行中は架空の空間に書き込まれ(Copy-on-Write、実存するデータのコピーとマージする事によりタスクからは実際に書き込まれているように見える)、タスク完了後はマイクロVMそのものの削除とともに、それらすべての書き込みデータは破棄される、(マルウェアのデータ書き換え、インストールをプロテクト)
    また、I/Oアクセスは必要な限りのアクセス(Need to Know)に限定され、有るべきでないアクセスはブロックされる。(例えばAdobe ReaderではNetworkへのI/Oは無いので実際のI/Oへのアクセスは行わせない)、
    等により、マルウェアの種々の攻撃からエンドポイントを保護することができる。
    マイクロVMそのものは非常に小さくエンドユーザの使用に違和感は与えない(全体の動作、リソースへのオーバーヘッドは5%以下)。
    また、通常サンドボックス型と称する対標的型製品が往々にしてサンドボックスのタスク動作環境と実環境が必ずしも一致しない(バージョン等)のに対し、マイクロVM上で動作するタスクはまったくの実環境そのものであり、エンドユーザのオペレーションへの支障は一切無く通常通りに処理を実行、終了することができる、マルウェアが仮に侵入して来ていたとしても、システムに対する行為は自動的にプロテクトされ、またタスク終了とともに自動的に消去される。
    さらにマイクロVM上のタスクの動作を逐次マルウェアの稼動情報としてコンソール上に転送されマルウェア情報として分析され、コンソール上で可視化されると同時に、サードパーティ製品がシグネチャ作成に必要な情報を提供する手段を持っていて、Windows以外で動作するマルウェアの多層化防御に寄与する機能を有する。


他のエンドポイント製品との差別化ポイント


・エンドポイント製品はマルウェアのプロテクションをあきらめて、DetectとRespondに焦点を当てて
 いるが、この製品はプロテクションが可能な製品であること。
・プロテクションを行いながら、マルウェアには侵入から実行まで、いわゆるKill-Chainをフルに実行させ、
 最後まで動作完了させるが、最後にはマルウェアを含むタスクごとマイクロVMは削除され、現状に自動
 復旧される。
・最後までマルウェアを実行させるためマルウェアの動きの詳細を収集、分析できる。
・振る舞い検知、等による検出ではなく、マルウェアの存在を実際に実行させて確認するため、多くの標的型
 対策製品にある誤検知の問題から開放される。
・これによって、企業内のセキュリティ担当者は大量に上がってくる誤検知を含むアラートの選別作業から
 開放され、実際に上がってきたアラートのみに対応することが可能になる。
・どうしてもパッチが適用できない環境があっても、脆弱なバージョンの製品を使う必要があっても
 Bromiumを導入することでマルウェアの心配がなくなる。
・Windowsのデスクトップ環境以外の多層化防御のために、実際のマルウェア情報をサードベンダに提供する
 機能を持っている。


siemシステムとの連携が可能


Bromiumに関する海外出張記事をご覧ください

ページTOPへ