TOPICS 最新トピックス
CrowdStrike Holdings Inc.(Nasdaq:CRWD)は、サイバーセキュリティのグローバルリーダーであり、エンドポイント、クラウドワークロード、アイデンティティ、データを含む企業におけるリスクを考える上で重要な領域を保護する世界最先端のクラウドネイティブのプラットフォームにより、現代のセキュリティを再定義しています。
CrowdStrike Falcon®プラットフォームは、CrowdStrike Security CloudとワールドクラスのAIを搭載し、リアルタイムの攻撃指標、脅威インテリジェンス、進化する攻撃者の戦術、企業全体からの充実したテレメトリーを活用して、超高精度の検知、自動化された保護と修復、精鋭による脅威ハンティング、優先付けられた脆弱性の可観測性を提供します。
Falconプラットフォームは、軽量なシングルエージェント・アーキテクチャを備え、クラウド上に構築されており、迅速かつスケーラブルな展開、優れた保護とパフォーマンス、複雑さの低減、短期間での価値提供を実現します。
- 全世界の端末情報をリアルタイムにクラウドで⼀元管理(EDR)
- 常に最新の脅威情報で防御
- AI/MLのための⼗分なリソース
- 軽量なシングルエージェント
- 収集ログの有効活⽤(資産管理、脆弱性管理、3rdパーティ連携)
- 専⾨家による24/365の監視
- 脅威インテリジェンスの統合
*IOA/IOCとは
多くのセキュリティ・ソリューションは、侵害の痕跡『IOC』すなわち既知のマルウェア・シグネチャーやハッシュ、ドメイン、IPなど、侵害後に残された⼿がかりのみに依存していますが、CrowdStrikeはそれらに加え、今起こりつつある攻撃の痕跡『IOA』を検知し、攻撃のタイムライン全体を通じて敵対者の活動や振る舞いをリアルタイムで特定できます。
Falconは「カーネルモード」で動作しています。
マルウェアを発⾒した際、ユーザーモードだとファイルの読み書きの有無、レジストリの書き換えなどの情報は取れません。また、カーネルモードで動くマルウェアに対してはカーネルモードのセキュリティ対策でないと検知・保護ができません。EDRとして何が起きたのかをしっかりと⾒て対処を考えるという意味では、カーネルモードは必須です。
機能名 | カーネルモード | ユーザーモード | 機能概要 |
---|---|---|---|
エージェントの停⽌ | 〇 | × | ユーザモードで動作するエージェントの場合、攻撃者からエージェントを強制停⽌させられる可能性があります |
情報の取得量 | 〇 | × | カーネルモードの場合基本的に全ての命令、レジスタ、アドレス等の情報の取得が可能。 ユーザーモードの場合は⼀部の命令、レジスタ、アドレスはプログラムに対して⾮公開となるため、情報を取れる範囲が狭いです |
ログの改ざん | 〇 | × | カーネルモードで動作するマルウェアが意図的にユーザーモードのアプリケーションに改ざんされたデータを記録させる場合があります |
エージェントの負荷 | 〇 | × | ユーザーモードの場合System Callを常に経由するため余計な負荷を⽣じます。 ユーザーモードで動くソフトウェアの場合、負荷を減らすために⼀部のディレクトリしか監視しないと⾏った制限がある場合があります |
ルートキットの検知 | 〇 | × | カーネルモードで動くルートキットはユーザーモードで動くソフトウェアに情報を秘匿するため、検知するのが困難です |
- 脅威インテリジェンスとは
- 攻撃者の動機、標的、攻撃パターンを理解するために組織によって収集、分析されたデータのこと
- 脅威インテリジェンスをセキュリティ対策に組み込むメリット
- ⼀層迅速で情報に基づいたセキュリティの意思決定ができるようになり、侵害に対する防御を受動的なものから能動的なものに変えることができます
- 脅威インテリジェンスが重要な理由
-
- 未知のものを明らかにし、より優れたセキュリティへの意思決定を可能にする
- 攻撃者の動機とTTP(戦術、技術、⼿順)を特定することで、サイバーセキュリティにおけるステークホルダーの⽴場を有利にします
- セキュリティ専⾨家が、攻撃者の意思決定プロセスをより理解するのに役⽴つ
- 取締役、CISO、CIO、CTOなどのビジネスステークホルダーによる、⽬的にかなった投資、リスクの管理、効率化、迅速な意思決定を⽀援する
- 敵を知ることの重要性
- すべての標的型攻撃は「⼈」が⾏なっており、バラマキ型と標的型では対策が異なります。
脅威インテリジェンスによる標的型攻撃の「リアルタイム」な特定は守る側の負担軽減にもつながります。 - CrowdStrikeのアプローチ
- CrowdStrikeの脅威インテリジェンス・ソリューション(Falcon X)は、組織がインテリジェンスを簡単に利用し、行動を起こし、インテリジェンスへの投資効果を最大限に貢献します
- 1. 優れた保護機能による、既知と未知の脅威からの侵害を防御
- 機械学習と⼈⼯知能、振る舞い分析、プロアクティブな脅威ハンティングを1つのソリューションに統合し、脅威のライフサイクル全体を通じて保護できます。これを⽀えているのが、セキュリティ業界最⼤のクラウド分析プラットフォーム「Threat Graph」です。CrowdStrikeは、シグネチャベースの基本的な防御を越えて、脅威インテリジェンスを活⽤し、プロアクティブなセキュリティ態勢に移⾏するために必要なコンテキストを提供し、侵害を阻⽌します。
クラウド上に構築されたCrowdStrikeのシングルエージェントは、ランサムウェアやマルウェアからゼロデイ攻撃まで、既知および未知の脅威を検知・防御します。
Threat Graphを利⽤した防御と検知は、機械学習、プロアクティブな脅威ハンティング、振る舞い分析を組み合わせた何兆ものデータポイントを利⽤し、脅威のライフサイクル全体からお客様を保護します。 - 2. 優れたパフォーマンスによるエンドポイント運用負荷の軽減
- 1つの軽量なエージェントが仮想マシンやデータセンターなどあらゆる場所で機能し、エンドポイントがオフラインの時にも保護を提供します。
CrowdStrikeは、単⼀の軽量なFalconエージェントとクラウドネイティブプラットフォームを通じて保護を提供します。何千ものお客様が、セキュリティ製品の統合、エージェントの肥⼤化の解消、オンプレミスインフラの不要な負担の根絶のために、CrowdStrikeのFalconプラットフォームを選択されています。
ビッグデータと⼈⼯知能の⼒を活⽤することで、インシデントの発⽣頻度と修復にかかる時間を削減します。 - 3. シンプルなアーキテクチャにより、ニーズに適する拡張可能なプラットフォーム
- CrowdStrike Falcon Platformは、クラウドから展開・管理される単⼀のエージェントを通じてすべての機能と性能を提供し、ユーザーがどこにいても保護し、セキュリティ態勢を直ちに強化することができます。
クラウドで構築されたFalconプラットフォームは、スキャン、再起動、シグネチャを必要とせず、あらゆる環境での侵⼊を阻⽌するために複雑さを排除します。