チェック・ポイントのThreat Preventionソリューション

IPSの保護機能は以下の通りです。

• 特定の既知のエクスプロイトの検出と防止

• 既知および未知のエクスプロイトツールを含む脆弱性の検出と防止（特定のCVEからの保護など

• 多くの場合、悪意のある活動や潜在的な脅威を示すプロトコルの誤用を検出し、防止することができます。一般的に操作されるプロトコルの例として、HTTP、SMTP、POP、IMAPがある

• マルウェアのアウトバウンド通信の検知と防止

• トンネリング試行の検出と防止。これらの試みは、データ漏洩や、Webフィルタリングなどの他のセキュリティ対策を回避しようとする試みを示している可能性があります。

• ピアツーピアやインスタントメッセージングアプリケーションなど、多くの場合、帯域幅を消費し、ネットワークにセキュリティ上の脅威を与える可能性のある特定のアプリケーションの検出、防止、制限。

• Malicious Code Protectorなど、あらかじめシグネチャが定義されていない汎用的な攻撃タイプの検出・防止が可能。

チェック・ポイントの IPS エンジンは、以下のような独自の機能を備えています。

• わかりやすく、シンプルな管理インタフェース 管理サーバがセキュリティゲートウェイまたはクラスタメンバに接続するための、Gaiaセキュリティゲートウェイまたはクラスタメンバのインタフェース。(2) ユーザが Gaia Portal または CLI に接続するための Gaia コンピュータ上のインタフェース。

• すべてのチェック・ポイント製品で 1 つの管理コンソールを使用することにより、管理のオーバーヘッドを削減。

• SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。による統合管理

• ビジネスレベルの概要から単一の攻撃のパケットキャプチャまで、簡単にナビゲーションできる

• #マイクロソフトとアドビの脆弱性をカバーする1つのセキュリティカバレッジ

• リソースのスロットリングにより、IPSの活動が他のブレード機能に影響を与えないようにします。

• チェック・ポイントの設定・監視ツールであるSmartConsoleとの完全な統合により、IPSの情報を基に即座に対応することができます。

• コンピュータを制御し、Anti-Virus防御を無効にします。コンピュータ上のボットを見つけるのは簡単ではありません。ボットは隠れていて、アンチウィルスソフトにどう見えるかを変えています。

• C&C（Command and Control center）に接続し、サイバー犯罪者からの指示を受ける。サイバー犯罪者（ボットハーダー）が遠隔操作し、あなたの知らないところで違法行為を行うよう指示することができるのです。コンピュータは、これらの活動のうちの1つまたは複数を行うことができます。

  • データ（個人情報、財務情報、知的財産、組織情報）の窃取

  • スパムの送信

  • 攻撃用リソース（DoS攻撃）

  • ネットワーク帯域を消費し、生産性を低下させる

• 犯罪者がボットを制御するために使用するC&Cアドレスの特定

  これらのWebサイトは常に変化しており、1時間ごとに新しいサイトが追加されています。ボットは、潜在的に危険な何千ものサイトへの接続を試みます。どのサイトが正規のもので、どのサイトがそうでないかを見極めるのは大変なことです。

• 各ボットネットファミリーが使用する通信パターンの特定

  これらの通信フィンガープリントはファミリーごとに異なり、ボットネットファミリーを特定するために使用することができます。ボットネットファミリーごとに調査を行い、そのボットネットが使用する独自の言語を特定します。既存のボットネットファミリーは数千種類あり、常に新しいボットネットが出現しています。

• ボットの挙動を把握

  コンピュータがスパムを送信したり、DoS攻撃に参加したりする場合など、ボットの特定のアクションを特定することができます。

• ThreatSpectエンジン ネットワークトラフィックを解析し、複数の層（レピュテーション、シグネチャ、不審なメールの発生、行動パターン）のデータを相関させてボットやウイルスを検出する独自の多層型エンジンです。とThreatCloudリポジトリを使用して、組織内のマルウェアを特定します。

  • 不正なファイルタイプ（Word、Excel、PowerPoint、PDFなど）の受信からマルウェア感染をリアルタイムに防止します。受信したファイルはゲートウェイ上で分類され、その結果はThreatCloudのリポジトリに送信され、既知の悪意のあるファイルと比較されますが、パフォーマンスにはほとんど影響がありません。

  • マルウェアに接続することが分かっているサイトへのアクセスを禁止し、インターネットからのマルウェアのダウンロードを防止します。アクセスされたURLは、ゲートウェイのキャッシュ機構でチェックされるか、ThreatCloudのリポジトリに送信され、許可されるかどうかが判断されます。そうでない場合は、損害が発生する前に試行が中止されます。

• ThreatCloudリポジトリを使用してバイナリシグネチャの更新を受信し、URLレピュテーションとAnti-Virus分類のためにリポジトリに問い合わせを行います。

• SMTPまたはSMTPSプロトコルで転送された電子メールの添付ファイル

• ウェブダウンロード

• Threat Prevention APIを通じてThreat Emulationに送信されたファイル（Threat Prevention参照）。

• FTPおよびSMBプロトコルで転送されたファイル

• IMAPプロトコルで転送される電子メールの添付ファイル

• OS環境の異なる複数の仮想コンピュータでファイルを開いている。

• 仮想コンピュータは、レジストリキーの変更や不正なプロセスの実行を試みるなど、通常とは異なる悪意のある動作がないか注意深くモニタされます。

• 悪意のある動作は直ちにログに記録され、プリベントモードを使用して内部ネットワーク ファイアウォールによって保護され、認証されたユーザによってアクセスされるコンピュータとリソース。からファイルをブロックすることができます。

• 新しい悪意のあるファイルの暗号ハッシュをデータベースに保存し、そのマルウェアから内部ネットワークを保護します。

• 脅威を捕捉した後、新しい（以前は未知の）マルウェアに対してシグネチャが作成され、既知の文書化されたマルウェアに変更されます。この新しい攻撃情報は、Check Point ThreatCloud と自動的に共有され、今後ゲートウェイで同様の脅威が発生するのを阻止します。

• メール転送エージェントで受信した電子メールの添付ファイル（Threat Preventionルールの作成参照）

• Webダウンロード（Threat ExtractionThreat Extractionの設定をする参照）

• Threat Prevention APIを通じてThreat Extractionに送信されたファイル（Threat Prevention参照）

• データベースへのクエリにパスワードが含まれている場合

• 組込用オブジェクト

• ウイルスの増殖に悪用される可能性のあるマクロやJavaScriptのコード

• 機密情報へのハイパーリンク

• 機密情報を含むカスタムプロパティ

• 削除したデータのアーカイブを残す自動保存機能

• 所有者、作成日、変更日など、機密性の高い文書の統計情報

• サマリープロパティ

• を持つPDF文書

  • 起動、サウンド、ムービーのURIなどのアクション

  • 読者のJavaインタプリタ内でコードを実行するJavaScriptアクション

  • フォームの選択されたフィールドの値を指定されたURLに転送する送信アクション

  • ドキュメントの旧バージョンを保持するインクリメンタルアップデート

  • ドキュメントの作成日、変更日、ハイパーリンクの変更などを示す統計情報

  • プロパティの要約リスト