Sophos Security Heartbeat

Sophos Security
Heartbeat:
Enabling Synchronized Security
現在、最高とされる保護対策を実施している組織は、ネットワークや
エンドポイントで複数のセキュリティ製品による多層防御を展開して
います。これらで、ファイアウォール、コンテンツの検査、マルウェ
ア分析、およびログ管理を展開することにより高度な保護対策を実施
できますが、根本的な欠陥があります。これらの個々の製品はお互い
連係し、保護対策を強化しません。私たちの業界では、この状態を
「サイロイング」と呼んでいます。これは管理と実行が単独で動作
し、意味のある情報を実用的な方法で共有しない状態を意味します。
今までは、共有するための通信手段や同期手段がありませんでした。
そのためネットワークアクティビティとコンテキスト情報 (UTMで検
知するエンドポイントの通信状況など) に基づいて、エンドポイントの
セキュリティ状態が、安全か侵害された状態かを客観的に評価する (エ
ンドポイント上で動作しているプロセスがマルウェアかどうかを従来
のアンチウイルス製品の機能だけではなく他の観点からの評価を合わ
せて行う) 能力をエンドポイント保護製品に与えることができませんで
した。この問題を解決しなければいけないのは明らかです。
Sophos Security Heartbeat: Enabling Synchronized Security
この問題を解決するために企業は、エンドポイントとネットワーク間の保護の通信を
補うため、別のテクノロジーを追加導入したり、要所要所に解析・分析の為の人を確
保したりしました。ネットワーク保護とエンドポイント保護のそれぞれから情報、警
告、イベントを収集し、一カ所にまとめる様々な SIEM タイプのツールの採用が IT
セキュリティチームに提案されていますが、このアプローチには基本的に 3つの課題
があります。まず、これらのツールはさまざまなソースからのイベントデータを正規
化および構造化する傾向があり、結果として出される膨大な量のデータから実用的な
情報を抽出できるようにはなっていません。第二に、これらは本質的に事実に基づく
調査ツールです。そして第三に、これらのツールは不十分で複雑な相関ルールに依存
し、導入や監視するための人件費が増加します。そして、監視するための人を採用し
てその人が膨大な量のデータから問題を発見したとしても、その時には既にデータは
犯罪者の手にわたっています。
従来のソフォスのエンドポイントとネットワーク製品は、シンプル、強力、効果的か
つ効率的ですが、これらもほとんど単独で動作しており、お互いに効率よく通信でき
ませんでした。今までは、組織全体で効果的に行動するために一つの製品からの情報
をまとめることは時間と手間がかかり、多くの場合非現実的でした。ソフォスは、当
社の顧客がこの課題に直面していることを認識し、Sophos Security Heartbeat と呼
ばれる画期的な新技術をリリースしました。
他の保護レイヤーの追加ややコストをかけずにネットワーク製品とエンドポイント
製品間で通信を確立させ、自動化および適切化された通信とアクションを可能にす
る新しいアプローチが必要でした。Sophos Security Heartbeat はこの課題を解決
し、リソース不足の企業や IT セキュリティチームに新しいレベルの保護を提供する
ために開発されました。本書は Sophos Security Heartbeat の基本設計と機能の概
要、Synchronized security がより堅牢で迅速な保護を実現する方法について説明し
ます。
Synchronized Security が難題を簡単に解決
する
ビルの中と外に警備員を配置する場合、お互いに連絡を取り合うために 2ウェイラジ
オを持っていなかったらどうなるかご想像ください。各警備員はそれぞれ中央システ
ムに情報を送信し、中央システムでは担当者がそれぞれの警備員にとって有用な情報
を判断しなければならなかったら...では、次のシナリオをご想像ください。塀でかこ
まれたビルがたくさんあり、それぞれのビルの外に警備員が配置され、ビル内のすべ
ての部屋に警備員が配置されています。すべての警備員はそれぞれ中央システムに警
備状況を報告します。中央システムはこれらの情報が何を意味するかを判断しなけれ
ばなりません。ビルの外側にいる警備員の責任者は、ビルの内側にいる警備員の責任
者とは別の人です。さらに、困ったことに、複数の警備員が持つラジオの ID はいつ
も変更するので、だれがどのメッセージを送信しているのかがわかりません。さら
に、この環境では侵入者は常に新しく、革新的なステルス技術を使用して攻撃して
きます。驚くべきことに、これは、IT セキュリティチームが現在直面している状況
です。
ソフォス ホワイトペーパー 2015年 10月
2
Sophos Security Heartbeat: Enabling Synchronized Security
これらの脅威と複雑さへの対応は、世界最大の組織でもほぼ克服できないほどの大き
な課題です。分散・分断 (サイロ化) されたエンドポイントとネットワークソリュー
ションを調整し、意味のある情報を収集するように解析者のチーム、ビッグデータウェ
アハウスや SIEM (セキュリティ情報イベント管理) などの新しい技術が採用されてい
ます。図1 は非常に単純化された典型的な展開を示しています。
一般的なセキュリティ
図1:一般的なソリューションで
は、データを相関して意味を求める
ため、人員や希少な専門知識が必要
となります。
SIEM
エンドポイント
管理コンソール
ネットワーク
管理コンソール
エンドポイント
ネットワーク
このアプローチにはいくつかのメリットがありますが、様々なリソースを大量に消費
し、実際の問題を見つけるためには受信した信号の意味を理解できる熟練した専門的
なスタッフが必要です。これが可能である場合でも、新たな脅威に対応するプロセス
のバックエンドを高速化できません。エンドポイントとネットワーク製品の管理と実
装が分離されたままなので、これらの製品間のアクションを調整することは複雑かつ
困難であり、不可能です。
ほとんどの IT セキュリティ企業はこのような人材を雇用し、迅速に対応するために複雑
なサイロ化された製品を実装、維持、使用して防御することはできません。その結果、防
御は無効化で非効率的になります。このような状態では、攻撃者は頻繁に成功します。
今初めて、エンドポイントとネットワーク保護を 1つの統合システムとして動作する
ことが可能になり、企業はより迅速かつ効率的に、脅威を予防、検出、調査、および
修正することができるようになりました。図2 が示すように、代替の Synchronized
Security フレームワークは、管理を統合し、エンドポイントとネットワークセキュリ
ティ製品を接続することにより直接リアルタイムで相互に通信できるようにしました。
Synchronized Security
統合クラウド管理
エンドポイント
ソフォス ホワイトペーパー 2015年 10月
Security Heartbeat
図2:Synchronized Security は
通信および管理を簡素化し統合し
ます。
ネットワーク
3
Sophos Security Heartbeat: Enabling Synchronized Security
Security Heartbeat を介しインテリジェンスを共有することにより、このフレーム
ワークは、発見し、より速く、高度な脅威を理解することができ、エンドポイントと
ネットワーク間の相関関係を自動化するだけでなく、保護機能の自動化と拡張を提供
し、インシデント対応を迅速化します。管理は簡素化されているので、イベントマネー
ジャやアナリストを追加せずに簡単にフレームワークをセットアップして管理できま
す。つまり、Synchronized Security は、他のアプローチよりもコスト・時間効率的に
優れた保護を提供します。表1 は、これらのアプローチの違いをまとめたものです。
Synchronized Security
一般的なセキュリティ
インテリジェンス
共有
単独
相関分析
自動化
手動および一部自動化
未知の脅威の発見
コンテキスト的なアシスト
アシストなし
インシデントレスポンス
ターゲットが絞られる
ターゲットは不明確
製品の追加 / 人員の追加
なし
多大
管理
シンプルかつ統一されている
複雑でサイロ化されている
表1:Synchronized Security 対
一般的なセキュリティの特徴
Sophos Security Heartbeat –
Synchronized Security の有効化
Sophos Security Heartbeat は、ソフォスエンドポイント製品とソフォスネットワー
クセキュリティ製品を接続することにより製品間のリアルタイムの情報共有のチャネ
ルを作成します。Security Heartbeat は Sophos Cloud から有効化できるので、簡単
に設定して管理できます。これは、安全な通信を介して展開されたエンドポイントと
ネットワークのファイアウォール間でインテリジェンス、イベント、情報およびコマ
ンドを受け渡しします。
図3:Sophos Security Heartbeat
はソフォス次世代エンドポイントと
ネットワーク保護を接続します。
図3 に示すように、Sophos Security Heartbeat は、ソフォスの次世代エンドユー
ザー (エンドポイント) とネットワークファイアウォール製品に統合された機能で
す。Sophos Security Heartbeat はソフォスエンドポイントとネットワークセキュリ
ティソリューションが継続的に組織全体の拡張された IT エコシステムで疑わしい行動
や確認された悪意のある行動に関する意味のある情報を共有することを可能にします。
ソフォス ホワイトペーパー 2015年 10月
4
Sophos Security Heartbeat: Enabling Synchronized Security
Sophos Security Heartbeat を展開することにより、組織は迅速に高度な脅威を検出
し、自動的に侵害されたシステムを特定し、インシデント対応を自動化し、エンドポ
イントのセキュリティ状態に瞬時に可視化することができます。
Sophos Security Heartbeat のセットアップ –
登録してすぐに使用できます!
Sophos Security Heartbeat のセットアップは迅速、簡単かつシンプルです。
Sophos Firewall OS の管理画面に Sophos Cloud の認証情報を入力すると、Sophos
Firewall OS は自動的に識別し、Sophos Cloud に登録します。その時点から、
Sophos Cloud の管理画面に登録されたすべての Sophos Firewall OS を表示してア
クセスできます。これは、図4 および図5 に示されています。
図4:Sophos Security Heartbeat
でファイアウォールを登録するに
は Sophos Cloud の資格証明を入
力します。
図5:Sophos Firewall OS は、
Sophos Cloud に登録されました。
ソフォス ホワイトペーパー 2015年 10月
5
Sophos Security Heartbeat: Enabling Synchronized Security
最初の Sophos Firewall OS が Sophos Cloud に登録されるとすぐに、以下のすべて
が自動的に行われます。
• エンドポイントは Sophos Firewall OS にハートビートを送るためのセキュリティ
情報を受け取ります。
• Sophos Firewall OS はエンドポイントへのハートビートを送るためのセキュリテ
ィ情報を受け取ります。
• 各エンドポイントは、自身を保護する Sophos Firewall OS に接続要求を送信し始
めます。エンドポイントは、最寄りの利用可能な登録済みの Sophos Firewall OS
(デフォルトゲートウェイ) に接続します。
• Sophos Firewall OS は接続要求を検知すると、それが正規のエンドポイントの 1つ
であることを確認するためにセキュリティ情報をチェックし、検証できれば接続を
完了します。
• また、エンドポイントは、Sophos Cloud から受信したセキュリティ情報を確認
し、Sophos Firewall OS が正規であることを検証します。
手順はこれだけです。複雑なルールや設定、アップデートはありません。では、実際
に Sophos Security Heartbeat の動作を見てみましょう。
Sophos Security Heartbeat の動作
Sophos Firewall OS およびエンドポイントが Sophos Security Heartbeat 介して
接続されると、接続されたエンドポイントから Sophos Firewall OS および Sophos
Cloud の管理コンソールににシステムのセキュリティ状態が流れ始めます。
図6 に示すように、Sophos Firewall OS のダッシュボードは、Sophos Firewall OS
に接続されているすべてのコンピュータの数およびセキュリティ状態を表示しはじめ
ます。セキュリティ状態は赤、黄色、緑で表示されます。
図6:ファイアウォールダッシュ
ボードが接続されたエンドポイント
のセキュリティ状態を緑、黄色、赤
で表示します。ここでは、97個の
エンドポイントは緑、1個は赤、2個
は黄色になっています。
ソフォス ホワイトペーパー 2015年 10月
6
Sophos Security Heartbeat: Enabling Synchronized Security
セキュリティ状態の意味
表2 は、緑、赤、黄色のインジケータの意味をまとめたものです。赤のインジケータが
すぐに対処する必要があることを意味し、黄色は緊急ではない危険性を意味します。
可能なアラートのトリガー
マルウェアの検出
赤
○ – アクティブ
不要と思われるアプリ
黄
緑
○ - 非アクティブ
○ - 検出済み
ケーション
悪意あるネットワーク
○ – エンドポイントか
トラフィック
ら悪意あるホストまた
表2:エンドポイントは、シンプル
でありながら強力なトリガーに基づ
いて、Sophos Firewall OS および
Sophos Cloud へセキュリティ状態
をレポートし、IT 管理者は迅速に
問題を検出して、フォローアップの
優先順位をつけることができます。
は問題があると考えら
れるホストへの通信
ソフォスのセキュリ
○ – システムが保護さ
ティソフトが正しく動
れていない可能性があ
作していません
ります
検出なし。ソフォスのセ
○
キュリティソフトは正し
く動作しています。
さらに、図7 に示されるように、ソフォスエンドポイント・ソフトウェアは Sophos
Security Heartbeat を使用して Sophos Firewall OS のダッシュボードに詳細な情報
を送信するので、担当者は詳細をドリルダウンして確認することができます。
図7:クライアントのヘルスダッシュ
ボードからクライアントごとのヘル
ス状況とトリガーを表示することが
できます。
ソフォス ホワイトペーパー 2015年 10月
7
Sophos Security Heartbeat: Enabling Synchronized Security
Sohos Security Heartbeat およびファイア
ウォールポリシーを利用したネットワークの
保護を拡張
エンドポイントのセキュリティ状態を知るだけでなく、効果的かつ迅速に対応する必要
があります。Sohos Security Heartbeat を使用すると、Sophos Firewall OS 管理者
はエンドポイントのセキュリティ状態の情報を活用し、シンプルかつ非常に効果的なポ
リシーを設定し、自動化された効果的なネットワーク保護を実現することができます。
図8 に示されるように、ファイアウォールのルールはこの可視性を利用して簡単に作
成することができます。ここでは、2つのルール (Amber Rule、Red Rule) を作成し
ました。Amber Rule では黄色や赤のセキュリティ状態のエンドポイントのインター
ネットアクセスを許可しますが、予防措置として Salesforce.com へのアクセスはブ
ロックされます。Red Rule では、ステータスが赤のエンドポイントのすべてのイン
ターネットアクセスはブロックされます。エンドポイントのステータスが正常時から
変更されたとき、エンドポイント修復前に、まずネットワークレベルでの保護が提供
され、情報流出のリスクを劇的に低下させます。
図8:Sophos Security Heartbeat
から提供された情報を活用し、簡単
にファイアウォールポリシーを設定
し、保護を強化できます。
図9 は、Sophos Firewall OS が Amber Rule を施行した後にエンドポイントが受信
するブロック画面を示しています。
図9:Amber Rule の施行後エンド
ポイントに表示されるのメッセージ
ソフォス ホワイトペーパー 2015年 10月
8
Sophos Security Heartbeat: Enabling Synchronized Security
Sohos Security Heartbeat 付き ATP (Advanced
Threat Protection) アラートとアクション
Sohos Security Heartbeat は、Sophos Firewall OS と Sophos Cloud の ATP アラー
トを強化し、調査時間を劇的に低下させ、脅威の検出と修復を自動化します。
Sophos Firewall OS の ATP 機能が疑わしいトラフィックを検知したとします。
Sophos Firewall OS は、トラフィックがアクティブなハートビートを持つエンドポイ
ントから送信されているか確認するため、Security Heartbeat を利用します。この場
合、Sophos Firewall OS は Security Heartbeat を利用して、ホスト名、ログイン
ユーザー名、Sophos Firewall OS が検出した ATP アラートのトリガーとなったプロ
セス名を取得します。Security Heartbeat を使用しない従来の手動による作業では、
多くの場合、この手順だけで数時間から数日間かかります。
図10 に示すように、この情報は、Sophos Firewall OS の ATP アラート画面に表示
されます。
図10:ファイアウォールのユーザー
インターフェイスの ATP アラート
しかし、これは Security Heartbeat と Sophos Cloud が有効になっている同期化セ
キュリティのメリットのほんの一部です。図11 に示すように、ATP 要求がクライアン
トに送信された後、コンピュータは自動的に Sophos Cloud に警告を報告するように
指示されます。
ソフォス ホワイトペーパー 2015年 10月
9
Sophos Security Heartbeat: Enabling Synchronized Security
図11:自動的に Sophos Cloud に
報告された ATP アラート
この時点で、Sophos Cloud は、マルウェアを特定しエンドポイント側で修復するこ
とが可能かどうかを確認するように Sophos Cloud Endopoint の HIPS 機能に指示し
ます。エンドポイントでアクティブなマルウェアの疑いがある場合は、セキュリティ状
態は赤になります。この時点で Sophos Firewall OS は上記の Red Rule のようなポ
リシーを施行して追加的な保護を提供するため、復旧までの間に情報流出などが発生
することを防止できます。
概要
最後の ATP 保護の例は、Sophos Security Heartbeat により実現された Synchronized
Security の効果的な保護と簡易さを実証したものです。これらはすべて、手動作業、
調査や手動プロセスなしで行われ、完全な可視性と脅威の活動の監査証跡を提供しま
す。人員の確保、混乱や対応・調査遅れは発生しません。Synchronized Security は
人員を増やさずに迅速に強化された保護を提供します。
今日企業が直面している脅威は非常に困難であり、一般的な解決法には、ほとんどの
組織では手の届かないレベルのリソース、専門知識や人材が必要とされます。
Synchronized Security は、全く新しいソリューションで、人員や複雑さを追加する
ことなく、以前にサイロ化されていたソリューション間のシンプルかつ効果的な通信
と管理を可能にすることによりより優れた保護を提供します。Sophos Security
Heartbeat を展開している企業は、瞬時にエンドポイントのセキュリティ状態可視性
を得て、高度な脅威を迅速に検出し、侵害されたシステムを特定し、自動化されたイ
ンシデント対応を実行できます。
Synchronized Security と Sophos Security Heartbeat が今日のリスクの多い世界
でいかに貴社の成功を支援するかについては、Sophos.com/ja-jp/heartbeat をご覧
ください。
ソフォス ホワイトペーパー 2015年 10月
10
Sophos Security Heartbeat:Enabling Synchronized Security
Sophos Security Heartbeat
詳細は sophos.com/ja-jp/heartbeat
をご覧ください
ソフォス株式会社営業部
Tel:03-3568-7550
Email: [email protected]
英国、オックスフォード | 米国、ボストン
© Copyright 2015.Sophos Ltd. All rights reserved.
Registered in England and Wales No. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, UK
Sophos は、Sophos Ltd. の登録商標です。その他すべての製品および会社名は、それぞれの所有者に帰属する商標または
登録商標です。
2015.10.26 WP-JP (GH)