Dynamic Threat Intelligence Cloud

データシート
Dynamic Threat Intelligence Cloud
脅威に関する最新情報を世界規模でリアルタイムに共有し、ゼロデイ攻撃をブロック
ハイライト
• Web や電子メール、ファイルを利用した
最新の脅威に関する情報を、匿名化して
世界規模で共有
• ゼロデイのマルウェアや高度な標的型
攻撃に関する情報を随時受け取り、新たな
サイバー攻撃をリアルタイムで検知して
ブロック
• マルウェアのコールバック先に関する最新
情報により、新たに確認されたマルウェア
のコールバック通信を遮断
• FireEye DTI Cloud に提供する情報は、
提供側が任意に選択可能
FireEye Dynamic Threat Intelligence Cloud で、
FireEye の研究者とプラットフォームが脅威情報
を共有
FireEye® Dynamic Threat Intelligence™(DTI)Cloud は、
世界中の
ネットワーク環境に導入された FireEye の脅威対策プラットフォームを
相互接続し、最新のサイバー攻撃に関する情報をリアルタイムで共有
するためのグローバル・ネットワークです。
FireEye DTI Cloud は、高度なサイバー攻撃やマルウェアのコールバック先に
関する最新情報を同クラウドに参加する FireEye プラットフォームに配信します。
各プラットフォームでは、この情報に基づき、新しい脅威や攻撃をプロアクティブに
検知してブロックすることができます。
世界中から収集した脅威に関する情報をリアルタイムに共有
FireEye DTI Cloud は、世界中の企業やテクノロジー・パートナー、サービス・
プロバイダーのネットワークに導入された FireEye プラットフォームを相互に接続
します。FireEye DTI Cloud は世界規模の情報配信ハブとして機能し、新しい
マルウェアの特徴や悪用された脆弱性、使用されている難読化手法など、脅威に
関して自動生成された情報を、同クラウドに参加する各 FireEye プラットフォームが
効率よく共有できるようにします。また、FireEye APT 検知センターが発見した
新たな脅威に関する情報や、サードパーティが提供する検証済みのセキュリティ情報も
配信します。FireEye の脅威対策プラットフォームは、この FireEye DTI Cloud を
利用することで、既知のマルウェアだけでなく、サイバー攻撃者やサイバー・
スパイによるゼロデイ攻撃や高度な標的型攻撃を効果的に検知できるようになり
ます。
仕組み:最新の高度なサイバー攻撃をブロック
FireEye NX、EX、FX、CM、AX などの各プラットフォームで構成される FireEye の
脅威対策プラットフォームは、複数の攻撃経路に対応する統合型のマルチベクター
防御機能を提供し、ステートフルな攻撃解析技術により、段階的に行われる攻撃
からネットワークを保護します。FireEye プラットフォームは、FireEye MultiVector Virtual Execution ™(MVX)エンジンを搭載しており、疑わしい Web
トラフィックや電子メールの添付ファイル、各種ファイルを仮想環境で実行、解析
して、動的な脅威情報を生成します。
「FireEye のアプライアンスは、侵入を検知してからわずか数秒で必要な情報を
通知してくれるため、優先して対応すべき問題に時間と労力を集中させること
ができます。FireEye のアプライアンスが私たちの組織や科学者、エンジニア
にもたらすメリットは計り知れません。」
̶ 政府機関のサイバー攻撃対策担当主任アナリスト
データシート
FireEye DTI Cloud は、 各プラットフォームの FireEye
MVX エンジンで生成されたマルウェア情報を匿名化した
うえで収集し、世界の FireEye コミュニティに配信します。
そしてこの脅威情報を FireEye CM プラットフォームがネット
ワーク内の各プラットフォームに配信し、FireEye 環境全体
で最新の脅威情報をリアルタイムに取り込むことで、一層
強固なセキュリティを実現します。
FireEye DTI Cloud に参加しているネットワークは、世界
中の他のネットワークが提供した脅威情報を受け取れるほか、
匿名化した情報を自ら提供することもできます。提供する
情報の種類は、
情報を提供する側が指定できます。たとえば、
自社に対して行われたサイバー攻撃に関する情報は提供し
ないが、FireEye DTI Cloud から配信される脅威情報は
リアルタイムで受け取る、といった指定が可能です。
未知のゼロデイ攻撃をダイナミックに解析して防御
FireEye MVX エンジンは、疑わしいバイナリや Web オブジェクト
を仮想環境上のオペレーティング・システム(OS)や、さらに
そのシステム上にインストールされている Web ブラウザや
プラグイン、各種アプリケーション上で実行することで、
ゼロデイのマルウェアや標的型攻撃の動作を再現し、その
内容を確認します。たとえば、脆弱性の悪用や、任意のコード
実行につながるメモリ破壊といった明らかな不正活動を監視
することで、攻撃が行われているかどうかを検証します。
仮想環境上で攻撃が確認された場合は、ダイナミックに変化
するゼロデイ攻撃のコールバック・チャネルを把握し、その
チャネルをブロックするルールを生成します。FireEye プラット
フォームでは、複数の攻撃経路に対する防御機能が統合
されているため、OS や Web、電子メールなどさまざまな
アプリケーションに対する攻撃を包括的に解析し対応する
ことが可能となります。これにより、既知の脅威に加え、
高度な標的型攻撃で使用されるゼロデイのマルウェアにも
対処できる総合的な防御を実現できます。
最新の脅威に関する詳細な情報
FireEye が提供する脅威情報には、次の項目が含まれてい
ます。
• マルウェア・コードの MD5、ネットワークでの行動、使用
されている難読化手法など、新たに確認された攻撃の
特徴を示すマルウェアの攻撃プロファイル
• ファイル共有オブジェクト、電子メールの添付ファイル、
URL の解析結果
• サイバー攻撃者から指令を受け取り、盗み出したデータ
を送信するために使用されるコールバック先の詳細(IP
アドレス、プロトコル、ポート)
• マルウェアが使用する通信プロトコルの特性(データ
転送セッションを開始するための独自コマンドなど)
不正な活動を確認したうえブロックすることにより、
誤検知や検知漏れを防止
レピュテーションやリスクに基づく脅威情報ネットワークの
場合、疑わしいコードの判定を誤り、不適切なシグネチャ
を配信してしまうおそれがありますが、FireEye プラット
フォームは、特定のトラフィックをブロックまたは許可する
前に、実際にコードを実行して不正な活動を行うかどうかを
確認します。疑わしいコードは、特許技術の FireEye MVX
エンジンにより詳しく検査されるため、FireEye プラット
フォームは、コードへの対応について正確な判断を下すこ
とができます。リアルタイムの脅威情報は、次のようにして
活用されます。
1. FireEye プラットフォームが指令(C&C)サーバーの IP
アドレスを発見し、そのアドレスに対する外部に向けた
アウトバウンド通信のブロックを開始します。
2. そのプラットフォームが、C&C サーバーへの通信で使用
される接続先 IP アドレス、ポート、マルウェア・プロトコル
を FireEye DTI Cloud に通知します。
3. FireEye DTI Cloud に参加する他のプラットフォームは、
定期アップデートを受け取り、同じポートおよびマルウェア・
プロトコルを使用する問題の IP アドレスへの接続を
ブロックします。
4. FireEye DTI Cloud に参加しているネットワークの感染
システムは、ボットネットの C&C サーバーに接続でき
ないようにブロックされます。
© 2014 FireEye, Inc. All rights reserved. FireEye は FireEye, Inc. の商標です。本資料のその他のブランド名、製品またはサービス名はそれぞれその
所有者の商標またはサービスマークとして登録されている場合があります。– DS.DTIC.JA.102014
ファイア・アイ株式会社 | 〒101-0054 東京都千代田区神田錦町1-1 神田橋安田ビル6階 | TEL: 03-4577-4401 | [email protected] | www.FireEye.co.jp