「RSA ECAT」は、マルウェアの検知と感染箇所の特定を迅速に行うことができるソリューションだという。PCにインストールされたRSA ECATエージェントが、メモリの分析をリアルタイムに実行し(ライブメモリ分析)、検出した侵害の痕跡やマルウェアの動作をRSA ECATサーバーに通知するという。通知を受け取ったサーバーは、組織内の感染PCをすべて検出し、侵害の規模を迅速に測定するという。
「RSA ECAT」の特徴であるライブメモリ分析は、メモリに展開されているアプリケーションイメージと、物理ディスク上のアプリケーションイメージをエージェントが比較して、実行中のすべてのアプリケーションを検証。
メモリ上のアプリケーションイメージに、コードインジェクションのようなマルウェアが生成する異常を検出すると、そのアプリケーションは侵害された可能性があると判定するという。
ライブメモリ分析は、シグネチャー(過去に発見されたマルウェアのコードの一部)を使用せず、メモリ内でマルウェアに変更されたアプリケーションプログラムを特定する画期的なマルウェア検出技術だとしている。
マルウェアに感染したPCを発見した後は、PCが攻撃者によって既に遠隔操作されていないか、あるいは、機密情報が窃取されていないかなどの被害を具体的にあぶり出すために、外部との通信やデバイスのログを遡った調査が必要となるという。
「RSA ECAT」は、パケットとログを集積してリアルタイムでインシデントを検知する「RSA Security Analytics」と連携するため、ECATから受け取った情報をもとにSecurity Analytics側で攻撃の形跡をいち早く可視化して、標的型攻撃に対する効果的な対策を実施することが可能になるとしている。
【関連リンク】
「RSA ECAT」製品の詳細
