次世代エンドポイント製品の選定のポイントと運用の勘所　#2【セミナーレポート】

2019年3月6日、Security Days 2019 Tokyoにて「EDRをどう選ぶ？次世代エンドポイント製品の選定のポイント」セッションの講演を行いました。
「次世代エンドポイント製品の選定のポイントと運用の勘所」でも同じタイトルで講演させていただきましたが、Security Daysでは更に踏み込み、「ではCarbonBlackはどうなんだ？」という質問に答えるべく、多くの企業が選定ポイントにしている中から検知、防御の観点と、EDRに対する機能比較でのCarbon Blackの優位点もご紹介しました。
本ブログでは、このセッション内容の一部を少しだけご紹介させていただきます。

選定ポイントと運用の勘所に関しては、「次世代エンドポイント製品の選定のポイントと運用の勘所」を、CBではどうなのか？という点に関しては、本ブログをご覧ください。

CB Defenseの検知/機能の優位性は？

次世代エンドポイントセキュリティ対策の導入にあたり、検知/防御機能は非常に重要な選定ポイントです。しかしながら、未知の脅威対策のためのツールである次世代エンドポイントセキュリティに対して、POCの中で検知力の比較を行うのは非常に困難です。

そんな中で、多くの企業では検知ロジックでの机上比較と、第三者機関による検知比較といったものも参考にしているようです。もちろん、実際の検知評価を行う企業もいます。

CB Defenseでは、ストリーミングプリベンションという独自の検知、防御機能によって、実際の端末上の挙動に対するリアルタイム解析から脅威の検出、及び防御を行います。この方式では、過去の攻撃パターンに対するマッチングは行わないため、全く知らない未知の攻撃のために検知ができない、防御ができないといった従来の学習エンジンやパターンマッチングの弱点を持たない独自機能です。

※詳細はこちらから
⇒ CB Defense製品概要

では、このCB Defenseの検知、防御機能に対する外部評価、第三者機関による比較結果はどのようになっているのでしょうか。

昨今のエンドポイントセキュリティ対策製品の検知力の比較の際に、MITRE社が提供する「ATT&CK 」というフレームワークが用いられることが増えてきました。これは、攻撃者の攻撃手法、戦術手法に特化していることが特徴であり、実際のサイバー攻撃対策に対して、各攻撃フェーズに対してどの程度の対策効果があるのかを判断するのに効果的なフレームワークになっています。

参考：(https://attackevals.mitre.org/)

このサイトにアクセスすることで、各製品の評価結果と実際の画面キャプチャを参照することが可能です。この評価結果を見るときに、多くの方々は検知可否について確認します。より多くの項目での検知が可能であることは、もちろん非常に重要です。

しかし、もう一つ非常に重要なポイントがあります。それは検知のリアルタイム性です。なぜ重要なのか、それはリアルタイムの検知力がそのままその製品の防御力を示すからです。

実際にこの評価結果を確認すると、多くの製品で検知の遅延や、別オプション等を活用したメーカのアナリストによる手動での再解析を必要としています。それに対して、Carbon Blackではほとんどの検知がリアルタイムで行われていることを示しています。つまり、Carbon Blackは非常に強力な防御機能を有していることを示しているのです。

※Carbon Blackの評価結果はCB Responseという別製品ものになっていますが、共通の脅威インテリジェンスを活用しているため、CB Defenseでも同等の評価結果となります。

CB DefenseのEDR機能の優位性は？

EDR機能に対しても、収集しているログとその期間、検索性や、端末への対応や復旧機能は非常に重要な選定ポイントです。

EDR製品の中でもそれらに対する得意不得意があります。
例えばEDRの必須条件として検知、封じ込め、調査、復旧といった4つの機能がありますが、実際のEDR製品の中には復旧の機能をほとんど持っていないものもあります。調査の対象がその製品で検知されたインシデントに対する調査のみを示すようなものもあります。

では、そういった現状に対して、CB DefenseのEDR機能はどのようなものであり、どういった優位性があるのでしょうか。

CB DefenseはEDRの定義である4つの機能に対して、セキュリティアナリストや運用者が必要とする機能を網羅して提供しています。

あらゆるエンドポイント情報を収集、記録し、そのログに対する調査が可能です。感染が疑われる端末に対する封じ込めや、不審なファイルの起動禁止はもちろん、CB Defenseがインストールされた端末に対するリモート調査だけでなく、リモート操作まで可能です。これによって、セキュリティ運用者は、現地への移動や端末の回収といったことを行わずにインシデント対応を完結させることが可能になります。
これはCarbon Blackが実際のセキュリティの最前線での経験からEDRを作り出したという背景に強く紐付いたものであり、実際のアナリストや運用者が真に必要とする機能を網羅的に提供しているが故に可能なものです。

この、真に必要な機能を網羅していることこそが、CB DefenseのEDRの最大の優位点です。

[SMART_CONTENT]

最後に

すでにEDRを含む次世代エンドポイントセキュリティの導入は必須になりつつあります。非常に多くの次世代エンドポイントセキュリティ対策製品が日本に広まっていますが、それぞれ持っている機能やそのレベルは異なります。

自社でなぜ次世代エンドポイントセキュリティを導入するのか、どんな使い方をするのかを理解し、最適な製品によって最も効果を上げることが非常に重要です。

弊社はCarbon Black製品の導入のみでなく、その後の運用サポートとしてMDRサービスの提供も可能です。Carbon Blackが検討対象に含まれている場合には、次世代エンドポイントセキュリティ対策の導入に必要な具体的な知見の共有やアドバイスをさせていただくことも可能ですので、ぜひご相談、お問い合わせください。