マルウェア検出は、重要であるものの、日常的に発生します。サイバーセキュリティ業界が旧来のアンチウイルスからエンドポイント保護プラットフォーム(EPP)にシフトする中、私たちはノイズの海におぼれそうになっています。EPPは確かに、アドウェア、コモディティ化したウィルス、有害な可能性のあるプログラム(Potentially Unwanted Program: PUP)を検出する有効な手段を提供します。しかし最終的な目的は、アクティブなセキュリティ侵害を見つけて、資産への悪意あるアクセスを防止することです。

これが、このたび「OpenText™ EnCase™ Advanced Detection」を発表する理由です。この製品は、「OpenText EnCase Endpoint Security」を新規に利用する、もしくは既に利用されているユーザーを対象にした新しいアドインです。EPPプラットフォームと同等のマルウェア検出、改ざんを防止する常時モニタリングによる真の360°脅威検出性能も備えています。特に重要なのは、EnCase Advanced Detectionにより、EDR(Endpoint Detection and Response: エンドポイントでの脅威検知と対応)業界が、その本質である現在進行中のセキュリティ侵害の特定に再び目を向けつつあることです。

次世代アンチウイルスと同等のマルウェア検出


EnCase Advanced Detectionには、EPPの次世代アンチウイルス技術が含まれます。つまり、機械学習を利用した多様に形を変えるマルウェアの検出、ファイルヒューリスティック、行動分析などです。EnCaseは、エミュレーションによるサンドボックスの中で悪意ある検体を実行して動作させることもします。さらに、メモリを管理下に置き、インジェクション攻撃、高度なルートキット、いわゆる「ディスクなし(diskless)マルウェア」と呼ばれるものを発見する、業界トップクラスの解析で防御します。

改ざんを防止する常時モニタリング


360°の脅威検出とは、レイヤ化された多層防御による手法のこと
です。EnCase Endpoint Securityのリアルタイム監視は、過去のマルウェアや振る舞いの残存に脅威スコアをつける拡張機能と組み合わされ、ずっと前に削除されたマルウェアでも検出します。

EnCase Endpoint Securityの常時モニタリング、あるいはお使いのEPP製品に信頼を置いているかどうかにかかわらず、EnCase Advanced Detectionのエージェントレススキャンは、エンドポイント内で起こる戦いを「上空からサポート」します。サイバー世界の武器はEPPエージェントを回避するように考えられており、これに対して、エージェントレススキャンは遠方から来て、完了したら消滅する一時的コードを実行するだけです。

アクティブなセキュリティ侵害の検出とオーケストレーション


EnCase Advanced Detectionは、DFIR(デジタルフォレンジック・インシデントレスポンス)の実行者と、目標となる攻撃者を見張るセキュリティ分析に重点を置いています。これでレスポンダーが、脅威の行為者から放たれたマルウェアのノイズの中から抜け出すことができます。敵がアドウェアやPUPを使って補足されないように低く飛んでいるときでも、コンテキストアウェアな分析がC2の行動を特定し、一元化されたスコアのレベルを上げるので、どのようなインシデントでも自信を持ってエスカレーションすることができます。

EnCase Advanced Detectionは、マルウェア検出と次の2つの幅広いアプローチを組み合わせて、アクティブなセキュリティ侵害が進行中であると判断します。

  1. 先進のUEBA(User and Entity Behavioral Analytics: ユーザーとエンティティの行動分析 – ログファイルをベースとする不完全なUEBAをさらに推し進めて、EnCase Advanced Detectionではエンドポイントの遠隔測定と実システムのアーティファクトを関連付けし、アクティブなセキュリティ侵害を発見します。「学習フェーズ」が完了すると、異常を捉えて、その重大性に対して脅威スコアをつけます。システムは時間とともに脅威の性質の特徴を学習するため、検出にかかる時間が短くなります。
  2. 大量のフォレンジックプロセス – Tier 3のDFIRスタッフは、十分な時間とデータの中で、セキュリティ侵害のサインを見つけることができます。これまでは、DFIRチームはリソースの制約を受けていました。この製品では、企業規模でフォレンジックの脅威検出をオーケストレーションして自動化し、高度なDFIR実施者のようにアーティファクトに脅威スコアをつけます。

エンドツーエンドのオーケストレーション


EPP製品は主に悪意のあるプログラムをブロックするか隔離しますが、アクティブなセキュリティ侵害に反応して調査を行うためには人間に気づいてもらう必要があります。EnCase Endpoint Securityと緊密に統合されたEnCase Advanced Detectionは、導入してすぐに使えるエンドツーエンドのオーケストレーションを提供します。企業規模で機能するEnCase Advanced Detectionは、すべてのエンドポイントをスキャンし、大量のフォレンジックを行います。重要なアラートは、業界トップクラスのレスポンス機能を実現するためにEndpoint Securityに取り込まれます。これは、自動化されたレスポンス、調査追跡、評価とトリアージの有効化、修復と保管を意味します。

購入前にお試しが可能


旧Guidance Softwareは360° Threat Assessment Serviceを長く提供してきましたが、この非常に人気のある製品は現在、OpenText Professional Services(PS)のもとに引き継がれます。

EnCase Advanced Detectionが追加され、この人気のあるサービスを実質的に「購入前にお試し」することが可能になっています。このクラウドベースの製品ではエージェントの配布が不要なため(そのため長期にわたるバージョン管理、変更管理、またはエージェントのテスト認定の必要がありません)、OpenText PSは数日以内にカスタマー環境のスキャンを開始でき、結果をトリアージしたあと、総合的な「脅威評価レポート(Threat Assessment Report)」で報告します。

高度なマルウェア分析、ユーザー行動解析、レジストリやディスク、メモリのフォレンジックなど、提供される調査範囲の深さを考えてみてください。しかも、OpenText PSは週に2000エンドポイントもの規模でトリアージと評価が可能です。

さらに詳しく: マルウェアを追いかけて無駄にリソースを費やすのはやめにしましょう。EnCase Endpoint Securityは新しいEnCase Advanced Detectionアドオンと合わせて、アクティブなセキュリティ侵害を特定することができ、停止時間をさらに削減し、大ごとになる前に侵害行為を絶つ、エンドツーエンドのオーケストレーションを提供します。さらに詳しくお知りになりたい場合は、こちらのウェビナーをご覧になるかソリューション概要をお読みください

メモ:
360°の脅威検出とは、周囲のアクティビティの状況から悪意のあるプログラムを判断することです。外側の動きと指揮統制(Command and Control: C2)のサインを見つけることを意味します。ユーザーとエンドポイントの行動分析と大量のフォレンジックのオーケストレーションで未知のものを発見することを意味します。

EnCase Advanced Detectionの配布には抵抗が少ないので組織から歓迎されるでしょう。業界トップクラスのスケーラビリティを自負していますが、このクラウド製品にはほとんど無視できるほどのハードウェアしか必要ありません。EnCase Advanced Detectionはエージェントレスのため、エンドポイントに新規に配布したりインストールしたりすることは不要です。新規にネットワークポートを開く必要すらありません。