こんにちは。ディーアイエスサービス＆ソリューションのセキュリティ担当です。

現在、脅威の高度化によりマルウェアの感染を完全に防ぐことはできません。企業にとってマルウェア攻撃は特に深刻なリスクであるため、効果的なマルウェア対策は必要不可欠です。

そこで今回は、Ciscoのエンドポイントセキュリティ製品であるCisco Secure Endpoint（旧AMP for Endpoints、以下Secure Endpoint）の過去にすり抜けたマルウェアを後から検知する「レトロスペクティブセキュリティ」機能についてご紹介します。

従来のエンドポイントセキュリティでは、新たなマルウェアパターンが検知されるまでに時間がかかることがありました。しかし、Secure Endpointでは、「レトロスペクティブセキュリティ」機能により、過去にさかのぼって、プロセス、ファイル、アクティビティ、および通信を追跡します。これにより、感染の全体像を把握して根本原因を明らかにし、修復を実行できるようになります。

つまり、Secure Endpointクラウド登録前にマルウェアが侵入してしまっても、後日SecureEndpointクラウドに登録された際に侵入済みのマルウェアも自動隔離することができます。

 

　「レトロスペクティブセキュリティ」のポイントをいくつかご紹介していきます。

〇クラウドリコール

一度問題がないと解析したハッシュ値もSecure Endpointクラウド上で記憶します。そのハッシュ値がマルウェア判定になった場合、自動的に該当ファイルの隔離を実施します。このことから基本的にSecure Endpointでは定期的なフルスキャンをする必要がありません。

よって、

・フルスキャンが長時間かかり終わらない

・定期的にフルスキャンを実施しなければならない

といった問題を解消することが可能です。

 

〇トラジェクトリ

トラジェクトリは、高度な脅威の検出と調査を支援する機能で、悪意のあるファイルやプロセスがどのように組織内ネットワーク上で動作しているかを可視化し、セキュリティ分析やインシデント対応のための情報を提供します。

　トラジェクトリ機能では、「侵入経路」「感染範囲」の2つを特定することが可能です。

「侵入経路」

感染端末内でマルウェアがどのような挙動をしているかを確認でき、セキュリティポリシーの更新や再発防止策の立案に役立ちます。

・マルウェアファイルはどのようにシステムに入ってきたのか

・どのような通信を行ったか

などを特定することが可能です。

 

「感染範囲」

マルウェアが組織内ネットワーク上でどのように広がっているかを分析し、対象端末の迅速な隔離や感染範囲の特定に役立ちます。

・いつマルウェアに感染したのか

・最初にマルウェアに感染したのはどの端末化

・現在そのマルウェアはどの端末上に存在するのか

などを把握することが可能です。

 

「レトロスペクティブセキュリティ」機能のクラウドリコールやトラジェクトリにより、組織全体にわたっての保護の効果および効率の向上がします。

Secure Endpointの特長である「レトロスペクティブセキュリティ」のご紹介は以上となります。

 

以前ご紹介したSecure Endpointの概要・特長紹介もぜひご覧ください。

Security第52回「Cisco Secure Endpointのご紹介」

Security第54回「Cisco Secure Endpointの特長 ~端末全体の可視化~」

 

管理者はダッシュボード上から脅威検出状況、調査が必要な端末の確認などを行い、ユーザに警告し、脅威への対応を行っていきます。

DISではマネージドサービスを提供しております。

導入後の運用に不安をお持ちの方や運用負荷の軽減をお考えの方は、ぜひご活用ください。

CiscoSecure Endpoint マネージドサービス

 

 

当社では、感染原因・侵入経路が不明なマルウェアの被害にあったお客様に、実際にSecureEndpointを導入し、次々にマルウェアを検知し隔離しました。そして、Secure Endpointの特長である侵入経路・感染範囲の特定により、メールから侵入するEmotet（ランサムウェア）による被害であると特定ができた事例もあります。

 

・現在のアンチウイルスで本当に守り切れているのか不安だ

・管理者の運用負荷を軽減したい

・もしマルウェアに感染してしまった時の対策を講じたい

などのお悩みを抱えているユーザ様にご紹介、ご提案頂ければと思います。

 

近年は、端末の種類もアクセスする場所も多種多様となっており、ネットワーク製品が境界となるセキュリティでは守れなくなっている場面が多くあります。マルウェアが動作を開始する場所であるエンドポイントでのセキュリティ対策をご検討してみてはいかがでしょうか。

 

その他の特長は、今後またブログでご紹介していきます。

最後までご覧いただきありがとうございました。

＜Cisco Security エンジニア情報局 次回の記事＞＞＞

• 第61回「Cisco Secure Email Threat Defense（旧Cloud Mailbox）の特長について」 ＞＞＞

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。

必要に応じて、ログインしてご利用ください。

iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事

• Collaboration 第142回 「超便利！Cisco Webex 会議端末設計ツール Workspace Designer のご紹介」
• Security 第77回「Cisco Secure Client Cloud Managementのご紹介」
• Meraki 第150回「Cisco Secure Connectから拠点のグローバルIPアドレスを使用してみた」
• Collaboration 第141回 「Cisco AI アシスタント（生成AIによる自動要約）を使ってみた その3 ~ 議事録ダウンロードについて ~」
• Security 第76回「Cisco Secure Endpoint　端末のネットワークから隔離について」
• Collaboration 第140回 「Cisco AI アシスタント（生成AIによる自動要約）を使ってみた その２ ~ Meetingsでの使い方 ~」

一覧ページ