APT攻撃に特化したセキュリティサービス「Oculus」を提供開始
APT攻撃に対抗するためのきわめてユニークなサービスだ。グローバルで見てもこうしたサービスを提供できるベンダーは我々しかいない」―新サービスOculusをこうアピールするグプタ氏。
ファイア・アイの製品は、MVX(Multi-Vector Virtual Execution)エンジンと呼ばれる仮想実行(サンドボックス)環境で未知のマルウェアを検出する技術が特徴だ。MVXエンジンで検出した未知のマルウェアの情報は、DTI(Dynamic Threat Intelligence)と呼ばれる同社のクラウドデータベースにほぼリアルタイムで収集され、ビッグデータ解析技術を使って解析される。解析した情報は、インテリジェンスとしてグローバルで1000社を超えるユーザー間で共有される。Oculusは、こうした同社のMVXエンジンとDTIサービスを使いながら、24時間体制で脅威をモニタリングし、専門スタッフによるコンサルティングを提供するサービスだ。
サンドボックスを使った脅威検知や脅威データベースの共有といったサービスは、ファイア・アイに限らず多くのベンダーが提供している。また、マネージドセキュリティサービスプログラム(MSSP)やセキュリティ監視サービス(SOC)などもある。そういった既存のセキュリティサービスとは何が違うのか。グプタ氏は「リアルタイムで脅威を解析しながら、継続した脅威防御(Cotinuous Protection)を行うことができる点が大きく異なる」と話す。
「直近9ヵ月間に行われたAPTキャンペーンの数は168に上る。我々はこれらを継続的にトラッキングし、特定のグループが新しいキャンペーンを実施したり、同じ攻撃を違う業種に行ったりといった兆候を把握できるようにしている。APT攻撃が行われてから、攻撃者がすべての痕跡を消し去るまでに17分しかかからないケースもある。気づいてからではなく、検知から防御までをすばやく実行できるようにする。一般的な環境で攻撃が行われてから、それを検知し、ブロックするまでの平均時間は3分だ」
MSSPやSOCとの違いとしては、MSSPが設置した製品の運用や保守が中心になるのに対して、OculusはあくまでAPT攻撃への防御が主眼であること、また、「すでに起こったこと」や「侵入された形跡」をログから調査するサービスではなく、APTの兆候を把握できるようにするサービスである点を挙げる。
「APT攻撃は複雑化し、見えにくくなっており、人手でその兆候をつかもうとするのは不可能に近い。我々は、APT攻撃を実際に受けた企業のデータをグローバル脅威インテリジェンスとして共有している。MVXとDTIのインテリジェンスを使うことで、APTをはじめとしたサイバー攻撃に対抗する」
