2021年末より、マルウェア「Emotet」の被害が急増しています。Emotetに感染した端末は、他のマルウェアに感染させられ、最終的にはランサムウェアを社内に拡散することに悪用される例もあります。
攻撃者にとってこうしたサイバー攻撃により内部活動で得られる情報には非常に価値があるため、近年、侵入したネットワークへの遠隔操作の権利やアクセス権を取得後、他のサイバー犯罪者に販売、レンタルするといったビジネスへと広がっており、被害も拡大してきております。
COVID-19をきっかけに、テレワークやクラウドサービスの利用が急速に進みました。さまざまな端末がリモートから社内ネットワークに接続し、データはクラウドに分散しています。その結果、侵入経路は多様化し、攻撃者は様々な脆弱性を狙って活発に活動しています。企業はサイバー攻撃を完璧に防ぐことが難しい状況となっています。
脅威の侵入を前提とした場合、万が一のリスクに対して、攻撃を可視化し迅速に対処につなげるソリューションがEDR(Endpoint Detection and Response)です。エンドポイントにおける日々の動作記録を、安全、危険にかかわらずドライブレコーダーのようにとっておき、脅威の兆候があったときに動作記録を見直すことができます。侵入経路や感染拡大の流れを可視化し、被害拡大を抑え、根本原因を把握することに大きく貢献します。
2022年4月1日より、改正個人情報保護法が施行されました。個人の権利保護が強化されると同時に、事業者の責務が追加され、情報漏洩した場合は、個人情報保護委員会に報告、本人への通知が義務化されました。報告にあたり早急な被害・原因の把握が必須となります。EDRによる可視化はこれらの被害・原因の把握において有効なソリューションとなります。
素早く原因を特定するためには、攻撃の追跡や原因の追究が可視化できる EDR (Endpoint Detection and Response)や 、さらに幅広い対処ができるXDR (Extended Detection and Response) のようなシステムの導入が有効です。
EDRソリューションは大きな注目を集めていますが、エンドポイントしか可視化することができません。実際の攻撃者はネットワーク、クラウド、メールなども悪用するため、素早く攻撃者を察知するにはそれらの可視化も必要です。また、各エンドポイントから上がってくるアラートは日々増加しており、重要なアラートを選別したり、攻撃の全体像を把握することは困難です。
メール、エンドポイント、サーバー、クラウドワークロード、ネットワークなどのさまざまなレイヤーで豊富な活動データを収集して関連付けを行うのが、 Trend Micro XDRです。より多くのコンテキストを得ることによって、単体では無害に見えるイベントの中から重要な意味を持つ痕跡を見つけ出し、攻撃の全体像を可視化、迅速に把握することができます。それにより的確なインシデント対応を可能にします。
トレンドマイクロは、MITRE ATT&CK評価テスト ATP29の疑似攻撃によるテスト※1において、検知率91%で1位の結果となりました。また、検知率に対してのノイズアラートも少ないという評価を得ました。
XDRは、高度に自動化された脅威の検知、分析機能により、サイバー攻撃を可視化します。機械学習やトレンドマイクロの専門家チームによるセキュリティ分析や検知ルールを通じてノイズレベルを削減し、真に対応が必要なアラートを抽出します。
また、EPP※1と連携して、端末の隔離やマルウェアのリモート取得、禁止リストへの追加等、素早い対応が可能となります。
XDRで脅威を検出する検出モデルを選択すると収集されたデータから自動で適切にアラートが発報され、Workbench(調査アプリケーション)に情報が送られます。
検出・アラート発報された脅威イベントは、自動で調査用アプリへ送信されていますのでWorkbenchアプリを使用し、イベントを可視化・内容の確認・調査を行います。
調査内容に従い対処(端末隔離やマルウェア疑いファイルのリモート取得、禁止リストへの追加)等EPP(Apex One)との連携により素早い対応が可能となります。
日々の運用では、2の調査と3の対処を繰り返して回していきます。
サイバー攻撃の増加に伴い、セキュリティスタッフの対応時間も日々増加しています。これまでのセキュリティソリューションでは、データの収集や分析がサイロ化しているため、脅威の検知に時間がかかりすぎ、十分に対応できていませんでした。
XDRを導入することで、エンドポイント、ネットワーク、メール、クラウドからのデータについて相関分析を行い、検知と対応を自動化することで、対応時間を大幅に短縮することができます。
EDRによる検知は確認や分析が必要になるため、既知の脅威などすべてをEDRで対応すると運用負荷が高くなります。EPPと併用することでEDRが処理するべき情報を減らし、誤検知を減らすことができます。
インシデントの終息には、EPPによる最終確認が必要であり、実績があり信頼できるEPPを使うことが重要です。終息の確認には、既知の脅威の検査が得意なパターンマッチングが適しています。
影響範囲の
可視化 |
|
---|---|
根本原因調査
(Root Cause Analysis) |
|
対処
|
|
インシデントの
終息 |
|
現在Trend Micro XDRをご利用いただけるトレンドマイクロの主な製品です。
各レイヤーのセキュリティ製品がセンサーとして機能いたします。
詳細はお問い合わせください。
エンドポイント | Apex One、Apex One SaaS、Apex One SaaS with XDR |
---|---|
サーバー | Cloud One Workload Security |
Cloud App Security | |
ネットワーク | Deep Discovery Inspector |
こちらより、 Trend Micro XDRについて、まとめた資料がダウンロードいただけます。
Trend Micro のEDR/XDRに関するお問い合わせは、ネットワールドの担当営業までお問い合わせください。
トレンドマイクロのパートナー様向けサイト「トレンドマイクロパートナーポータル」では、製品に関する詳細な資料や技術的なお問い合わせが可能です。是非こちらもご利用ください。