Traps: 先進のエンドポイント プロテクション

PA L O A LT O N E T W O R K S : T r a p s D a t a s h e e t
Traps: 先進のエンドポイント プロテクション
TRAPSは以下を実行:
⿎⿎ すべての脆弱性エクスプロイトを防止
⿎⿎ マルウェア型のすべてのによる全攻撃
を防止
⿎⿎ 阻止した攻撃についてフォレンジックを
即時提供
⿎⿎ スケーラブル、軽量、
ユーザフレンドリー
⿎⿎ ネットワークおよびクラウド セキュリティ
と統合
Palo Alto Networks® Trapsは、巧妙な脆弱性エクスプロイ
トやマルウェア型攻撃から防御する先進のエンドポイント プロ
テクション防御 ソリューションです。攻撃を阻止するためのへ
の革新的な新アプローチを用いる採用した拡張性の高い軽い
量エージェントを介してにより、脅威自体についての予備知識
を一切必要とすることなくエンドポイント プロテクション防御
を実現することで、
ほぼすべての標的型攻撃からエンドポイン
トを保護を実現する強力なツールを企業に提供します。
エンドポイント セキュリティへのユニークなアプローチを採用したPalo Alto
Networks Trapsは、
従来の攻撃はもちろん、
これまでのソリューションでは防げ
ない高度な攻撃や標的型攻撃も阻止するなど、
エンドポイントに完全なセキュリテ
ィ プロテクション防御を提供するよう設計されています。
Trapsは、
膨大な数の攻撃を個別に識別したり、
検出できない恐れのある悪意のあ
る動作を検出し見つけたりしようとするのではなく、
すべてのアタッカーが攻撃を
実行するために組み込む必要のあるプログラミング上の根幹テクニックコア テク
ノロジに焦点を合わせ着目しています。
プロセスに
一連のエクスプロイトに
「トラップ
(罠)
」
を仕掛けてその根幹テクニックを軽減する
プロセスを封じ込めるように設定することで、
Trapsは悪意のある活動が動作する
前に直ちに攻撃を阻止することができます。
このユニークなアプローチにより、
Trapsはアプリケーションに依存せず、
サードパ
ーティが開発したものを含めてすべてのアプリケーションを保護することが可能に
なっています。
エクスプロイトの阻止
エンドポイントの脆弱性を悪用する実際のプロセスでは、
複数の高度なテクニック
を順番に実行する必要があります。
たとえば一般的な攻撃において、
アタッカーはま
ずメモリの割り当てやハンドラの破壊または迂回を試みることでシステムを掌握し
ようとします。
バッファオーバーフローやヒープ破損などのメモリ破壊を引き起こす
テクニックを用いることにより、
ハッカーは標的のソフトウェア内にある弱点や脆弱
性を悪用して自身の特定のコードを実行することができます。
カスタム コードを実
行できた場合、
アタッカーはマルウェアをダウンロードしたり、
思い通りにシステムを
完全にシステムを自分の好きなように完璧にコントロールしたりすることが可能に
なります。
攻撃やその複雑さに関係なく、
攻撃を成功させるためにはアタッカーは一連のエク
スプロイト テクニックを順番に実行する必要があります。
手順の多い攻撃もあれば
少ない攻撃もありますが、
標的のエンドポイントを悪用するためには、
すべてのケー
スにおいて少なくとも2つか3つのテクニックを使わなければなりません。
エクスプロイトを阻止する仕組み
Trapsは、
アタッカーが用いることのできるさまざまなエクスプロイト テクニックを
軽減およびブロックすることを目的とした一連のエクスプロイト防御モジュールを使
用します。
「トラップ
(罠)
」
のように動作するこれらのモジュールはユーザ プロセスに
注入され、
アタッカーのエクスプロイト テクニックが試みられたらると直ちにこれを
ブロックするよう設計されています。
アプリケーションが開かれると常にTrapsは防
御モジュールを透過的かつ静的な
「トラップ」
としてシームレスにプロセスへと注入
します。
モジュールがプロセスに注入されると、
そのプロセスはあらゆるエクスプロイ
トから保護されます。
利用可能ないくつかテクニックの1つを用いてたエクスプロイ
ト試行の試みがあった場合、
Trapsは直ちにそのテクニックをブロックし、
プロセス
を終了させて、
ユーザと管理者の両者に攻撃が阻止されたことを通知します。
PA L O A LT O N E T W O R K S : T r a p s D a t a s h e e t
ESM
にレポート
CPU
<0.1%
フォレンジック
データを収集
プロセス
を終了
安全!
ユーザ/管理
者に通知
Trapsがプロセス
にモジュールをシ
ームレスに注入
エクスプロイトの試
みを検知してプロセ
スを保護
Trapsが即時ア
クションを起動
悪意のある活動が
動作する前に攻
撃をブロック
動作の仕組み: エクスプロイトの阻止
また、
Trapsは詳細なフォレンジックを収集し、
その情報をEndpoint
Security Manager (ESM) にレポートします。
エクスプロイトには鎖
状の性質があるため、
攻撃全体をブロックするためには連なったチェ
ーンに含まれるテクニックを1つだけ阻止すれば十分です。
エクスプロイトの試み試行がなければ、
そのユーザやプロセスにとっ
ては通常平常通りです処理されます。
Trapsが使用するリソースは最
小限であるため、
水面下に展開されたバックグラウンドで動作する
Traps予防策クライアントについてはユーザが意識するようなことは
ありの操作性に影響を与えません。
攻撃そのものではなくエクスプロイト テクニックにフォーカス着目す
ることにより、
Trapsはパッチがあるかどうかに関係なく、
またシグネチ
ャやソフトウェア アップデートがなくても、
ゼロディと呼ばれる未知の
脆弱性に関する予備知識のない攻撃をも防止することができます。
重
要な点として、
Trapsは悪意のある活動のスキャンや監視は行いませ
ん。
これにより、
CPUやメモリをほとんど消費しないため、
このアプロ
ーチは拡張性の面で大きなメリットがあります。
Trapsのエクスプロイト防御は、
メモリの破損または論理上の欠陥に
基づくプログラムの脆弱性への攻撃を阻止するように設計されてい
ます。
Trapsが防止できる攻撃には、
たとえば次のようなものがありま
す。
• メモリ破損
• 一定の条件の下にてでブラウザ上で実行されるJavaコード
• 一定の条件の下にてで子プロセスを生成する実行可能ファイル
• ダイナミックリンク ライブラリ (DLL) ハイジャック (正当なDLLを
同じ名前の悪質なものと置き換え)
• プログラム制御フローのをハイジャック
• 悪意のあるコードを例外ハンドラとして挿入
マルウェアの防止
マルウェアとして知られる悪意のある実行可能ファイルは、
悪意のない
無害なファイルを装ったり、
そこ正常なファイルに埋め込まれたりする
ことが少なくありません。
こうした実行可能ファイルは、
制御機能の掌
握、
機密情報の収集、
あるいはシステムの正常な動作の阻害を試みる
PAGE 2
ことによって、
コンピュータに損害を与えることが可能ですます。
高度な熟練したアタッカーがによるソフトウェアの脆弱性をの悪用す
ることが増えている間にのと同時に、
攻撃も未知または操作型のマル
ウェア (実行可能ファイル) を用いた攻撃とともに高度洗練化しつつあ
りされています。
この種の攻撃には一般的に既知のシグネチャや既知
のストリングパターン、
あるいは既に知られている悪意ある動作が存在
しないため、
従来のエンドポイント セキュリティ アプローチではそれら
を防ぐことができません。
エンドポイントでのマルウェアの実行を効果的に防止するため
に、
Trapsは次の3つのマルウェア防御コンポーネントを使用します。
1.
ポリシー ベース制限制御: ポリシー制限制御機能を通じて
により、
組織は特定のファイルに対してホワイトリストやブラックリスト
を設定するのではなく、
特定の実行シナリオを制限するポリシーを設
定することができます。
ファイル のインストールのソース元を制御する
だけで、
アタック サーフェス攻撃を受ける可能性をの大幅にな縮小す
ることがが可能となります。
ユーザが実行可能ファイルを開こうとする
と、
Trapsは適用可能な実行制限ルールを評価判定します。
一般的な
ポリシー ベース制限制御の例として次のようなものがあります。
• 特定のフォルダから実行可能ファイルを実行
• 外部メディアから実行可能ファイルを実行
• 子プロセスを生成するプロセス
• ブラウザから実行されるJavaプロセス
• 署名のないプロセスを実行
• スレッド インジェクション
2.
Wildfire™ インスペクション: 設定されているポリシー制御
制限を通過したで制限されないファイルがはを実行するためにされる
前に、
Traps Endpoint Security ManagerはWildFire脅威クラは
がウドをハッシュをWildFireクラウドに問い合わせ、
グローバルな脅
威コミュニティ内でそのファイルが悪質、
良性無害、
または不明のファ
イルいずれであるかを判断します。
ファイルが既知のマルウェアであることがWildFireで確認される
と、
Trapsはファイルの実行を阻止し、
ESMに通知します。
PA L O A LT O N E T W O R K S : T r a p s D a t a s h e e t
Trapsアーキテクチャ
ファイル
の実行
を許可
ユーザが実行可
能ファイルの実
行を試行
ポリシー ベー
ス制限が適用
ハッシュを
WildFireに照合
安全!
マルウェア テクニ
ック防御を採用
Trapsは、
Endpoint Security Manager、
Endpoint Connection
Server、
およびエンドポイント エージェントからなる3層管理構造
を提供します。
このモデルによって、
一元化されたコンフィグレーショ
ンと、
ポリシーやフォレンジックなどに関するデータベースを維持し
ながら、
水平方向の高い拡張性が得られます。
Endpoint Security Manager
ESM
にレポート
動作の仕組み:マルウェアの防止
3.
マルウェア テクニックのリスク軽減:
エクスプロイト テクニックと同様に、
マルウェアの感染展開を試みる
際、
アタッカーは特定可能な共通のテクニックを利用します。
ファイ
ルの実行がポリシーで制限されていない場合や、
WildFire脅威クラ
ウド内の既知のマルウェア攻撃とハッシュがによって一致しない場
合、
Trapsは攻撃を絶対に実行成功させないようにするために、
子プ
ロセス、
Webブラウザで生成されるJavaプロセス、
リモート スレッド
およびプロセス作成、
および無署名のないプロセス実行などを制限ま
たはブロックするテクニック 振る舞いベースの軽減対策策を実装実
行します。
Endpoint Security Manager (ESM) は、
セキュリティ イベント、
エ
ンドポイントの正常性、
およびポリシー ルールを管理するための管理
ダッシュボードです。
ESMは、
インスペクションのためにハッシュを送
信する際、
WildFireへの通信についても処理します。
ESMオールイン
ワン管理センターは次の操作を担当します。
Syslog
ESM
SCCM
データベース 指定、
または既存と統合
フォレンジック
データベースはMS-SQLプラットフォーム上で管理されます。
Endpoint Security Managerは、
ログを内部に保存できるだけで
なく、
SIEM (Security Information and Event Management)
、
Service Organization Control (SOC)、
syslogなど、
外部ロギング
プラットフォームにログを書き込むこともできます。
外部ロギング プラ
ットフォームを指定すると、
すべてのエンドポイント サーバからのログ
を集約して表示することができます
接続サーバ
接続サーバ
接続サーバ
エンドポイント サーバ
Trapsが攻撃を阻止するたびに、
ファイル、
発生事象、
阻止された時
点でのメモリ状態など、
イベントに関するリアルタイム フォレンジック
詳細情報が収集され、
ログ記録された情報がEndpoint Security
Manager (ESM) にレポートされます。
攻撃が阻止されたとしても、
集めることのできるインテリジェンス情報は引き続き大量に存在しま
す。
試行された攻撃についてすべてのフォレンジックをキャプチャする
ことにより、
組織は保護されていない可能性のある他のエンドポイン
トに能動的な防御を適用することができます。
PAGE 3
PC、サーバ、VM、VDI、Citrixセッション、
シンクライアント、組み込み
PA L O A LT O N E T W O R K S : T r a p s D a t a s h e e t
適用範囲とサポートするプラットフォーム
Trapsはパッチが適用されていないシステムでも保護することが可能です。
追加のハードウェアは一切不要です。
デスクトップ、
サーバ、
産業用
制御システム、
端末、
VDI、
仮想マシン、
組み込みシステムなどMicrosoft Windowsが実行されるプラットフォームでサポートされます。
サポートされるオペレーティングシステム
仕様
ユニークなアプローチを採用したTrapsは、非常に少ないハードウェアリソ
ワークステーション
• Windows
• Windows
• Windows
• Windows
ースで動作します。従来のアンチウィルスのようにすべてのファイルの入出
XP SP3
7
8.1
Vista SP1
力をスキャンすることはありません。消費するリソースは次のように非常に
少なく済みます。
TRAPSエージェント:
• CPU – 平均利用率 0.1%
サーバ
• メモリ消費量 – 25 MB
• Windows Server 2003
• Windows Server 2008 (+R2)
• Windows Server 2012 (+R2)
• ディスク スペース – 15 MB
パロアルトネットワークス
連絡先:03-3511-4050
メール:sales-japan@
paloaltonetworks.com
Copyright ©2014, Palo Alto Networks, Inc. All rights reserved. Palo Alto
Networks、Palo Alto Networksロゴ、
PAN-OS、
App-ID、
およびPanoramaは
Palo Alto Networks, Inc. の商標です。
すべての仕様は予告なく変更される場合
があります。
パロアルトネットワークスは、
本書のいかなる不正確な記述について
一切責任を負わず、
また本書の情報を更新する義務も一切負いません。
パロアル
トネットワークスは予告なく本書の変更、
修正、
移譲、
改訂を行う権利を保有しま
す。
PAN_DS_TRAPS_100814