チェック・ポイントのThreat Preventionソリューション
スレットプリベンションコンポーネント
今日のマルウェアの状況に対応するため、チェック・ポイントの包括的な脅威対策ソリューションは、感染前と感染後の防御アプローチをマルチレイヤーで提供し、統合プラットフォームによって企業のセキュリティに最新のマルウェアの検出 UserCheckトラフィックやファイルの内部ネットワークへの侵入を許可し、ログを記録するルールアクション。とブロック トラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。の機能を提供します。
これらのThreat PreventionSoftware Bladeは利用可能です。
-
IPS
アプリケーションやサーバの脆弱性、エクスプロイトキットや悪意のある攻撃者による実戦的な攻撃に焦点を当て、悪意のある不要なネットワークトラフィックから包括的に保護する、完全なIPS さまざまなタイプのリスクについてパケットとデータを検査および分析するセキュリティゲートウェイ上のCheck Point Software Blade(侵入防止システム)。サイバーセキュリティソリューションです。
-
アンチボット
ホスト上のボット アンチウイルス機能を無効化し、サイバー犯罪者からの指示を受けるためにコマンド&コントロールセンターに接続し、指示を実行する悪質なソフトウェア。の感染後検出。ボットC&C(コマンド&コントロール)通信を遮断し、ボット被害を防止します。アンチボット セキュリティゲートウェイ上のCheck Point Software Bladeは、ボットネットの動作とコマンドアンドコントロール(C&C)センターへの通信をブロックします。頭字語:AB、ABOT。ソフトウェアBladeは、サイバー犯罪に対抗するための共同ネットワークであるThreatCloud Check Point 全製品のサイバーインテリジェンスセンターです。脅威センサーの革新的なグローバルネットワークに基づいて動的に更新され、脅威データを共有し、最新のマルウェアとの戦いにおいて協力するよう組織に呼びかけます。から継続的に更新されています。アンチボットは、複数の検出方法を関連付けることで感染を発見します。
-
アンチウイルス
ゲートウェイでマルウェアを事前に検知し、ブロックします。Anti-Virus Software Blade 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各Software Bladeがトラフィックの特定の特性を検査します (2) 管理サーバでは、各Software Bladeで異なる管理機能を使用できます。は、ThreatCloudから継続的に更新されます。ユーザが被害を受ける前に、複数の検知エンジンを相関させてマルウェアを検知・ブロックします。
-
SandBlast
未発見のエクスプロイト、ゼロデイ攻撃、標的型攻撃による感染から保護します。
Threat Emulationこの革新的なソリューションは、ファイルを素早く検査し、仮想サンドボックス内で実行することで、悪意のある動作を発見することができます。発見されたマルウェアは、ネットワークへの侵入を防止します。EmulationサービスはThreatCloudに報告し、新たに特定された脅威情報を他のお客様と自動的に共有します。
Threat Extraction悪意のあるコンテンツの受信を防止します。抽出機能は、アクティブコンテンツや埋め込みオブジェクトを含む悪用可能なコンテンツを削除し、潜在的な脅威を排除するためにファイルを再構築し、ビジネスフローを維持するためにサニタイズされたコンテンツを迅速にユーザに提供します。脅威の可能性を排除するために、ブレードはファイルの安全なコピーを作成し、一方で元のファイルに脅威の可能性がないかどうかを検査します。
各Software Bladeは、独自のネットワーク保護を提供します。これらを組み合わせることで、強力なThreat Preventionソリューションを提供します。悪意のある攻撃から得られたデータは、Threat PreventionSoftware Blade間で共有され、ネットワークの安全性を保つのに役立ちます。例えば、Threat Emulation セキュリティゲートウェイ上のCheck Point Software Bladeは、サンドボックス内のファイルの動作を監視して、悪意のあるファイルかどうかを判断します。頭字語:TEが特定した脅威のシグネチャは、他のThreat Preventionブレードが使用できるようにThreatCloudに追加されます。
IPS
IPS Software Bladeは、完全かつプロアクティブな侵入防御を実現します。1,000種類ものシグネチャ、行動保護、先制保護を実現します。チェック・ポイントのファイアウォール技術の上に、もう1つのセキュリティ・レイヤーを提供します。IPSは、クライアントとサーバの両方を保護し、特定のアプリケーションのネットワーク利用を制御することができます。ハイブリッドIPSの検知エンジンは、複数の防御層を提供し、既知の脅威だけでなく、多くの場合、将来の攻撃に対しても優れた検知・防御能力を発揮します。また、比類ない展開・構成の柔軟性と優れたパフォーマンスを実現します。
IPSの保護機能は以下の通りです。
-
特定の既知のエクスプロイトの検出と防止
-
既知および未知のエクスプロイトツールを含む脆弱性の検出と防止(特定のCVEからの保護など
-
多くの場合、悪意のある活動や潜在的な脅威を示すプロトコルの誤用を検出し、防止することができます。一般的に操作されるプロトコルの例として、HTTP、SMTP、POP、IMAPがある
-
マルウェアのアウトバウンド通信の検知と防止
-
トンネリング試行の検出と防止。これらの試みは、データ漏洩や、Webフィルタリングなどの他のセキュリティ対策を回避しようとする試みを示している可能性があります。
-
ピアツーピアやインスタントメッセージングアプリケーションなど、多くの場合、帯域幅を消費し、ネットワークにセキュリティ上の脅威を与える可能性のある特定のアプリケーションの検出、防止、制限。
-
Malicious Code Protectorなど、あらかじめシグネチャが定義されていない汎用的な攻撃タイプの検出・防止が可能。
チェック・ポイントは、新たな脅威に対応するため、保護機能のライブラリを常に更新しています。
チェック・ポイントの IPS エンジンは、以下のような独自の機能を備えています。
-
すべてのチェック・ポイント製品で 1 つの管理コンソールを使用することにより、管理のオーバーヘッドを削減。
-
ビジネスレベルの概要から単一の攻撃のパケットキャプチャまで、簡単にナビゲーションできる
-
#マイクロソフトとアドビの脆弱性をカバーする1つのセキュリティカバレッジ
-
リソースのスロットリングにより、IPSの活動が他のブレード機能に影響を与えないようにします。
-
チェック・ポイントの設定・監視ツールであるSmartConsoleとの完全な統合により、IPSの情報を基に即座に対応することができます。
例えば、マルウェアの中には、ユーザが正規のWebサイトを閲覧した際に、知らないうちにダウンロードされてしまうものがあり、これはドライブバイダウンロードとも呼ばれています。このマルウェアは、ブラウザの脆弱性を利用して、特殊なHTTPレスポンスを作成し、クライアントに送信することができます。IPSは、ファイアウォールがHTTPトラフィックを通過させるように設定されていても、この種の攻撃を識別してブロックすることができます。
アンチボット
ボットとは、コンピュータに感染する悪意のあるソフトウェアのことです。脆弱性を悪用した添付ファイルを開いたり、不正なダウンロードが行われるWebサイトにアクセスしたりすることで、コンピュータに感染する可能性があるのです。
-
コンピュータを制御し、Anti-Virus防御を無効にします。コンピュータ上のボットを見つけるのは簡単ではありません。ボットは隠れていて、アンチウィルスソフトにどう見えるかを変えています。
-
C&C(Command and Control center)に接続し、サイバー犯罪者からの指示を受ける。サイバー犯罪者(ボットハーダー)が遠隔操作し、あなたの知らないところで違法行為を行うよう指示することができるのです。コンピュータは、これらの活動のうちの1つまたは複数を行うことができます。
-
データ(個人情報、財務情報、知的財産、組織情報)の窃取
-
スパムの送信
-
攻撃用リソース(DoS攻撃)
-
ネットワーク帯域を消費し、生産性を低下させる
-
1つのボットが複数の脅威を生み出すことはよくあることです。ボットは、サイバー犯罪者が個人や組織に被害を与えようとするAPT(Advanced Persistent Threat)の一部として頻繁に使用されます。
Anti-Bot Software Bladeは、これらのボットやボットネットの脅威を検知し、防止します。ボットネットとは、危険にさらされ、感染したコンピュータの集合体です。
-
犯罪者がボットを制御するために使用するC&Cアドレスの特定
これらのWebサイトは常に変化しており、1時間ごとに新しいサイトが追加されています。ボットは、潜在的に危険な何千ものサイトへの接続を試みます。どのサイトが正規のもので、どのサイトがそうでないかを見極めるのは大変なことです。
-
各ボットネットファミリーが使用する通信パターンの特定
これらの通信フィンガープリントはファミリーごとに異なり、ボットネットファミリーを特定するために使用することができます。ボットネットファミリーごとに調査を行い、そのボットネットが使用する独自の言語を特定します。既存のボットネットファミリーは数千種類あり、常に新しいボットネットが出現しています。
-
ボットの挙動を把握
コンピュータがスパムを送信したり、DoS攻撃に参加したりする場合など、ボットの特定のアクションを特定することができます。
ボット感染マシンの発見後、Anti-Bot Software Bladeはルールベース 特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。に基づいてC&Cサイトへのアウトバウンド通信をブロックします。これにより、脅威を無効化し、機密情報が送信されることがないようにします。
アンチウイルス
マルウェアは、危険性と巧妙さを増しており、ネットワーク運用における大きな脅威となっています。例えば、ワーム、混合型脅威(悪意のあるコードと感染・拡散のための脆弱性を組み合わせたもの)、トロイの木馬などがあります。
Anti-Virus Software Bladeは、送受信されるファイルをスキャンしてこれらの脅威を検出・防止し、ファイルに含まれるマルウェアから事前に保護する機能を提供します。Anti-Virus ブレードは Threat Prevention API でもサポートされています(Threat Prevention を参照)。
-
ThreatSpectエンジン ネットワークトラフィックを解析し、複数の層(レピュテーション、シグネチャ、不審なメールの発生、行動パターン)のデータを相関させてボットやウイルスを検出する独自の多層型エンジンです。とThreatCloudリポジトリを使用して、組織内のマルウェアを特定します。
-
不正なファイルタイプ(Word、Excel、PowerPoint、PDFなど)の受信からマルウェア感染をリアルタイムに防止します。受信したファイルはゲートウェイ上で分類され、その結果はThreatCloudのリポジトリに送信され、既知の悪意のあるファイルと比較されますが、パフォーマンスにはほとんど影響がありません。
-
マルウェアに接続することが分かっているサイトへのアクセスを禁止し、インターネットからのマルウェアのダウンロードを防止します。アクセスされたURLは、ゲートウェイのキャッシュ機構でチェックされるか、ThreatCloudのリポジトリに送信され、許可されるかどうかが判断されます。そうでない場合は、損害が発生する前に試行が中止されます。
-
-
ThreatCloudリポジトリを使用してバイナリシグネチャの更新を受信し、URLレピュテーションとAnti-Virus分類のためにリポジトリに問い合わせを行います。
SandBlast
サイバー脅威は増え続け、犯罪者は既存の保護機能を簡単に回避できる新しいマルウェアをこれまで以上に簡単に作成できるようになりました。これらの犯罪者は日常的にマルウェアのシグネチャを変更することができ、シグネチャベースの製品でネットワークを感染から保護することは事実上不可能となっています。企業は、脅威がユーザに到達する前に排除するプロアクティブな防御を組み合わせた多面的な防御戦略をとる必要があるのです。チェック・ポイントの Threat Emulation および Threat Extraction ファイルから悪意のあるコンテンツを削除するセキュリティゲートウェイ上のCheck Point Software Blade。頭字語:TEX。 テクノロジーにより、SandBlast は、シグネチャ・ベースのテクノロジーでは識別できない未知の脅威に対するゼロデイ保護機能を提供します。
Threat Emulation
Threat Emulationは、Webダウンロードや電子メール添付の未知の脅威からネットワークを保護するのに必要な機能を提供します。Threat Emulationエンジンは、マルウェアがネットワークに侵入する前のエクスプロイトの段階でマルウェアをピックアップします。ハッカーが回避技術を適用してサンドボックスを回避する前に、標準的なオペレーティングシステムを模した仮想サンドボックスでファイルを迅速に隔離・実行し、悪質な動作を発見します。
-
SMTPまたはSMTPSプロトコルで転送された電子メールの添付ファイル
-
ウェブダウンロード
-
Threat Prevention APIを通じてThreat Emulationに送信されたファイル(Threat Prevention参照)。
-
FTPおよびSMBプロトコルで転送されたファイル
-
IMAPプロトコルで転送される電子メールの添付ファイル
-
OS環境の異なる複数の仮想コンピュータでファイルを開いている。
-
仮想コンピュータは、レジストリキーの変更や不正なプロセスの実行を試みるなど、通常とは異なる悪意のある動作がないか注意深くモニタされます。
-
悪意のある動作は直ちにログに記録され、プリベントモードを使用して内部ネットワーク ファイアウォールによって保護され、認証されたユーザによってアクセスされるコンピュータとリソース。からファイルをブロックすることができます。
-
新しい悪意のあるファイルの暗号ハッシュをデータベースに保存し、そのマルウェアから内部ネットワークを保護します。
-
脅威を捕捉した後、新しい(以前は未知の)マルウェアに対してシグネチャが作成され、既知の文書化されたマルウェアに変更されます。この新しい攻撃情報は、Check Point ThreatCloud と自動的に共有され、今後ゲートウェイで同様の脅威が発生するのを阻止します。
悪意のないファイルであることが判明した場合、エミュレーション終了後にダウンロードすることができます。
Threat Emulationの詳細については(脅威のエミュレーションソリューション参照)、こちらをご覧ください。
Threat Extraction
Threat Extractionは、R77.30以降でサポートされています。
Threat Extraction ブレードは、ファイルが企業ネットワークに入る前に、潜在的に悪意のあるコンテンツを抽出します。可能性のある脅威を除去するために、Threat Extractionは以下の2つのアクションのうちどちらかを行います。
-
ファイルから不正利用できるコンテンツの抽出。
-
ファイルをPDFに変換して安全なコピーを作成します
-
メール転送エージェントで受信した電子メールの添付ファイル(Threat Preventionルールの作成参照)
-
Webダウンロード(Threat ExtractionThreat Extractionの設定をする参照)
-
Threat Prevention APIを通じてThreat Extractionに送信されたファイル(Threat Prevention参照)
Threat Extractionは再構築されたファイルをユーザに配信し、元の疑わしいバージョンへのアクセスをブロックし、Threat Emulationはバックグラウンドでファイルを分析します。これにより、ユーザはコンテンツにすぐにアクセスすることができ、最先端のマルウェアやゼロデイ脅威から保護されていることを確信することができるのです。
Threat Emulationは、バージョンR80.10以降ではThreat Extractionと並行して動作します。
-
データベースへのクエリにパスワードが含まれている場合
-
組込用オブジェクト
-
ウイルスの増殖に悪用される可能性のあるマクロやJavaScriptのコード
-
機密情報へのハイパーリンク
-
機密情報を含むカスタムプロパティ
-
削除したデータのアーカイブを残す自動保存機能
-
所有者、作成日、変更日など、機密性の高い文書の統計情報
-
サマリープロパティ
-
を持つPDF文書
-
起動、サウンド、ムービーのURIなどのアクション
-
読者のJavaインタプリタ内でコードを実行するJavaScriptアクション
-
フォームの選択されたフィールドの値を指定されたURLに転送する送信アクション
-
ドキュメントの旧バージョンを保持するインクリメンタルアップデート
-
ドキュメントの作成日、変更日、ハイパーリンクの変更などを示す統計情報
-
プロパティの要約リスト
-
Threat Preventionのための管理者の割り当て
カスタマイズされた権限プロファイルを使用して、管理者のThreat Preventionの権限を制御することができます。カスタマイズされたプロファイルは、Threat Preventionポリシー、設定、プロファイル、保護機能に対して異なる読み取り/書き込み権限を持つことができます。
脅威の分析
今日のネットワークは、かつてないほどサイバー脅威にさらされています。そのため、セキュリティ上の脅威を把握し、被害を評価することが組織の課題となっています。SmartConsoleは、セキュリティ管理者がサイバー脅威の原因を突き止め、ネットワークの修復を行うことを支援します。
Logs & Monitor > Logs ビューでは、脅威がログとして表示されます。
Logs & Monitor ビューの他のビューは、ログを意味のあるセキュリティイベントに結合します。例えば、選択した時間間隔(過去1時間、1日、1週間、1ヶ月)にネットワーク内のホストで発生した悪意のあるアクティビティなど。また、感染前と感染後の統計も表示されます。
ログやイベントモニタのためのリッチでカスタマイズ可能なビューやレポートを作成し、セキュリティ活動に関する主要なステークホルダーに情報を提供することができます。各ログやイベントに対して、ThreatWikiやIPS Advisoriesからマルウェア、ウイルス、攻撃に関する多くの有用な情報を確認することができます。