標的型攻撃のほとんどはエクスプロイトやマルウェアを使用したものだが、本格的に情報搾取を目的に行われる真の特定標的型攻撃は、高度な技術を持った攻撃者によって、マニュアル(手動)で攻撃が実行されるという。
その際、実行者は特定ターゲットに侵入するための進入路作りを行い、その進入路を使ってマニュアルで侵入し、目的の情報の在処を特定し、搾取する。現在市場にあるソリューションでは、その防御のみならず、これを検知・認識すること自体が難しい状況になっているという。
イリューシブ ネットワークス社の「Deception Everywhere」は、攻撃者の思考を逆手に取る発想から生まれたサイバー攻撃対策ソリューションで、膨大な罠を張り巡らせることで攻撃者を騙し(Deceive)、侵入を検知し(Detect)、リアルタイムかつ即時に調査分析することにより(Defeat)進入路を塞ぎ、攻撃対象を隔離するなどの対策を迅速に実行可能にするという。
「Deception Everywhere」のエンジンは、エージェントレスで端末やサーバーのメモリーキャッシュに、実際には存在しない各種サーバーへのログイン情報やブラウザーの閲覧履歴などを、欺瞞情報(幻-illusion-の情報)として埋め込む。これにより、攻撃者には実際には存在しない多量のサーバーが存在するネットワークに見せかける。仮に攻撃者がサーバー間を3台横移動すると欺瞞サーバー(存在しない幻のサーバ)の比率は99.2%にまでなり、実在するサーバーにたどり着くことはできないという。
同時に、「Deception Everywhere」は欺瞞サーバーへの攻撃者からのアクセスを検知し、警告を挙げ、リアルタイムに攻撃パターンを調査し、攻撃の影響度を分析する。一方で、IT管理者やユーザには、欺瞞サーバーは見えず、運用に一切支障はきたさない。導入には、既存ネットワークの内側に、illusive Managementとillusive TRAP Serverを設置するだけで、エンドポイントへのエージェントのインストールは不要だ。
「Deception Everywhere」の特徴は次のとおり。
- 欺瞞情報で攻撃者の行動を翻弄。騙すことにより、攻撃を絶対に成功させない。
- 万が一攻撃者が侵入しても、確実にその攻撃を検知・防御できる。
- 過検知・誤検知(フォールスポジティブ)が発生しない。(理論値はゼロ)
- エージェントレス(エンドポイントへのエージェントのインストールは不要)
- 既存環境へのインパクト、影響がゼロ。(ネットワークへの影響もほとんどない)
- ソフトウェア形態で提供。必要なハードウェアはサーバー2台。仮想サーバーも可。
- 簡単な操作
