ファイアータワー ガード(FireTower Guard)4つの基本機能
1) アタックを検知
FireTowerはエンドポイントのためのEDR(Endpoint Detection and Response )ツールです。 EDRツールは、ゼロデイ攻撃と標的型攻撃に対抗するための企業セキュリティー
アーキテクチャの重要な要素となっています。
FireTowerは、エンドポイントコンピュータ内で発生するすべてのパーシステンス メカニズム変更イベントを自動的に検出し、FireTowerサーバー内の集中型エンタープライズ脅威データベースに蓄積することで、ゼロデイアタックや疑わしい脅威をリアルタイムで検出します。
FireTowerは、脅威データベースを通じて、組み込まれている分析機能を備えたインタラクティブな脅威分析インターフェイスを通して、侵害の兆候を探り、包括的なエンドポイントの可視化を提供し、悪意のあるソフトウエアの検出と封じ込めを強化します。
FireTowerセキュリティソリューションよって、セキュリティオペレーションセンターによる継続的な監視を実施し、侵害の兆候と進行中の攻撃を検出するための実践的なフォレンジック分析を導入することができます。
FireTowerは、IOC(Indicators of Compromise )<脅威が存在する痕跡>を容易に発見するための緊急ツールとして設計されています。ファーストレスポンダは違反を確認し、不審なIOCや悪意のあるIOCとそれらのタイムラインを特定し、アタックを遅延なく封じ込めるとともに修復プロセスを開始できます。
2) インシデント対応
マルウェアは事実上常に継続的に実行されます。FireTowerはマルウェアのサイバーキルチェインを監視、検出、中止させ、インシデント対応やフォレンジック調査のためのプラットフォームを提供します。
パーシスタンスメカニズムに焦点を当てて脅威の痕跡を発見することは、侵害とマルウェアを発見する最も効果的な方法であるため、この方法はインシデント対応の標準的な調査方法となっています。被害の分析によると、最近のゼロデイサイバーセキュリティ攻撃のほとんどは、注入、または変更されたパーシステンス メカニズムを利用した攻撃でした。
FireTowerは、Inter-Host Intrusion Prevention System(IHIPS)エンジンを使用して、すべてのパーシステンス
メカニズムを収集、認証、および蓄積を自動化します。 すべてのエンタープライズフォレンジックデータは、ライブフォレンジック分析としてリアルタイムで利用できます。
エンドポイントにインストールするFireTowerクライアントソフトウェアは、すべての重要なシステム状態変更イベントをリアルタイムで検出して認証し、エンドポイント保護プロファイルによって指定されている場合には、ガードサービスによって悪意のある脅威および疑わしい脅威を自動的に隔離します。手動または自動で隔離されているかどうかに関係なく、悪意のあるエントリはFireTowerによって自動的に検疫・阻止されます。
FireTower管理者は、組み込まれている分析機能を備えた対話型の脅威分析インターフェイスを使用して、進行中の攻撃を早期に特定し、検出された攻撃に対して迅速に対応することができます。
ワンクリックで悪意のあるイベントに対してリスクのあるすべてのエンドポイントに対し「隔離ALL」コマンドを発行できます。これによりリスクが考えられるすべてのエンドポイントから悪意のある攻撃を検疫・阻止することができます。
パーシステンス メカニズムを認証するためのホワイトリスト データベース(ASR)は通常、定期的に更新されます。ASRプロキシサービスを使用すると、企業のセキュリティ管理者は、パブリッククラウドベースのASRデータを個別に、任意の認証評価を上書きしたり、更新したり、ダウンロードしたりできます。
すべてのセキュリティイベントと独自に更新したパーシステンス メカニズムは、ファイアータワー サーバー上の脅威データベース内に保持され、外部に公開されることはありません。
FireTower管理者が更新したすべての認証レーティングは、企業ネットワーク全体で自動的に処理されます。 つまり、安全評価から悪意の有りの評価に変わった評価は、すべてのリスクが考えられるエンドポイントで直ちに自動的に検疫・隔離されます。
逆に、悪意のある、または疑わしいものから安全に変更された認証レーティングは、影響を受けるすべてのエンドポイントから即時に自動的に隔離がキャンセルされ通常使用できるようになります。
3) 継続するモニタリング
FireTowerは、セキュリティの継続的な監視をご提供します。各ネットワーク固有の認証ルールを使用して、すべてのエンドポイントの重要なシステム変更イベントをリアルタイムでエンタープライズ脅威データベースへ蓄積し維持します。
また、調査のためのライブフォレンジックデータを分析するビルトインアナリティクスによる対話型脅威分析インターフェイスをご提供します。 マルウェアとゼロデイアタックは、一般に、パーシステンス
メカニズムを乱用して、PCの入口/出口対策をうまく潜り抜けPCに侵入します。このアプローチは、パーシステンス メカニズムに焦点を当てることが、インシデント対応の業界標準の実践であるという事実によって実証されています。
ほとんどのフォレンジック調査は、パーシスタンスメカニズムを調べることで、マルウェアのインシデントを評価し、脅威やマルウェアを発見するための迅速かつ効果的な方法です。最近多くのサイバーアタックが報告されていますが、これらのほとんどのゼロデイアタック
インシデントには、被害にあったエンドポイント上で発見された重要な成果物の1つとしてパーシステンス メカニズムが注入または変更されています。
FireTowerの継続的な監視機能により、リアルタイムなフォレンジック分析を使用したエンタープライズ脅威データベースが提供されます。
FireTowerの継続的な監視は、セキュリティ管理者がエンドポイント間で進行中のエンドポイントへの攻撃や感染に見られる、マルウェアの横方向の動きを監視して現在進行中の攻撃へも対応できる質の高い情報をご提供します。また、IHIPS(ホスト間侵入防御システム)技術に基づいたエンドポイント内部のアクティビティに関するビューも併せてご参照いただけます。
4) エンドポイント内部の可視化
FireTowerは、リアルタイムでエンタープライズ脅威データベースを維持しているため、エンドポイントからの重要なセキュリティイベントをすべて継続的に監視および蓄積・集約します。
FireTowerは、セキュリティ監視、脅威検出、およびインシデント対応機能を実行するサイバーコンソール(Cyber Console)と呼ばれる組み込まれている分析機能を備えたインタラクティブな脅威分析インターフェースを提供します。
ビルトインアナリティクスは、IHIPS(ホスト間侵入防御システム)エンジンを使用し、すべてのエンタープライズ ネットワーク内のエンドポイントイベントを時間的および空間的に分析を実行します。
そして脅威分析インタフェースにより、セキュリティ専門家は、脅威の検出、分析、調査のため中央集中型のエンタープライズ脅威データベースを分析することができます。
サイバーコンソールは、エンタープライズネットワーク内の個々のエンドポイントコンピュータ毎に、関連するメタデータ、デジタル証明書、ターゲットバイナリファイル(MD5、SHA-1、およびSHA-256)のハッシュ値など、継続的に監視される重要な変更イベントデータベースのクライアントビューを提供します。
管理者特権を持つアカウントであればどこのエンドポイントコンピュータからでも、同一のクライアントビューを参照・使用することができます。
FireTowerは、IHIPSエンジンを使用して、すべてのエンドポイントからすべてのパーシステンス メカニズムを収集、認証、および蓄積します。
インシデントおよびフォレンジック調査のために、すべてのエンタープライズフォレンジックデータをリアルタイムで利用することができます。 社内のセキュリティ専門家は、手間のかかる手作業によるデータ取得プロセスから解放され、実際のフォレンジック分析を行って、必要に応じ、多くのインシデント調査を実施できます。
FireTowerはまた、企業が社外のインシデント対応契約の保守サービスを大幅に軽減し、社外のIRチームがサイトに到着するのを待つことなく、すぐに対策を実行し対応することができます。
サイバーコンソール、および IHIPSインタラクティブ脅威分析インターフェイスのアクティビティビューは、企業内の脅威データベースを継続的に検索でき、脅威を特定し、企業内で進行中の攻撃やマルウェア感染による横方向の動きを早期に特定することができます。
エンタープライズ ネットワーク全体のリスクのあるエンドポイントシステムはすべて、エンタープライズ脅威データベースを介してIHIPSデータベースによって容易に識別することができます。
検疫・隔離 - これらすべてのコマンドは、FireTower 対話型脅威分析インターフェイスから発行(実行)することができます。
FireTower管理者が変更したすべての認証レーティングは、企業ネットワーク全体で自動的に処理されます。 つまり、安全評価から悪意の有りに変わった評価は、すべてのリスクのあるエンドポイントで直ちに自動的に実行され検疫・隔離されます。
逆に、悪意のある、または疑わしいものから安全に変更された認証レーティングは、影響を受けるすべてのエンドポイントから即時に自動的に検疫・隔離がキャンセルされます。
