「Kaspersky Anti Targeted Attack Platform」は、インターネットゲートウェイからメール、ウェブおよびエンドポイントまで、組織のITインフラを総合的に監視し、標的型攻撃をはじめとする高度で巧妙なサイバー攻撃を発見する。これまでの単なる検知ソリューションとは異なり、攻撃の痕跡を断片的な視点で見るのではなく、ほかの痕跡との相関分析を行うことで重大な攻撃を発見し、深刻な被害を未然に防ぐことが可能になるという。
「Kaspersky Anti Targeted Attack Platform」の概要
「Kaspersky Anti Targeted Attack Platform」は、情報を収集するセンサーと分析するためのセントラルノード、そしてサンドボックスの3つのコンポーネントで構成されている。ITインフラ全体から情報を収集するためにセンサーを分散して配置し、収集した情報をKaspersky Labのインテリジェンス、マシンラーニングテクノロジーを組み合わせたセントラルノードおよび独自開発のアドバンスドサンドボックスで徹底的に分析する。
セントラルノードとアドバンスドサンドボックスで得られた分析結果は、セントラルノード内の標的型攻撃アナライザー(TAA)で相関分析し、相互に紐づけられたインシデントの全体像として管理画面上に表示する。インシデントは脅威の深刻さに応じて重要度が評価され、対応すべき優先度も示す。また、CSIRTなどインシデントレスポンス担当者のアサインと対応の進捗が確認できる機能により、セキュリティ担当者は管理画面を通じて、発生しているインシデントや攻撃の進行とその対応状況を一元的に把握することが可能だ。
1. ITインフラ全体から情報を収集するセンサー
・ネットワーク、メールセンサー:インターネットゲートウェイのミラーポート(TAP)からトラフィックの情報を、ウェブ通信(HTTP)とメール通信(SMTP/PoP3)からオブジェクトを抽出し、分析するためにセントラルノードに転送。
・エンドポイントセンサー:エンドポイントのプロセス、通信、疑わしいオブジェクトとメモリイメージを、分析するためにセントラルノードに転送する。他社のウイルス対策製品がインストールされていても、導入できる軽量のエージェントも用意。また、法人向けエンドポイント製品「Kaspersky Endpoint Security for Windows」をセンサーとして利用することも可能。
2. 分析エンジン
・セントラルノード:各センサーから転送されてくるオブジェクトをKaspersky Labのインテリジェンス(定義データベース、ヒューリスティック分析、レピュテーションデータベース)を利用して解析。YARAルールによるスキャンも可能で、APTや標的型攻撃のサイバー犯罪グループが使う、通常のセキュリティ製品では検知できない悪意あるオブジェクトをその特徴から発見することができる。また、収集した情報を継続的に監視し、マシンラーニングによって、長期間にわたる偵察活動や情報を窃取する不審な振る舞いも発見する。
3. 新たな脅威を評価するサンドボックス
・アドバンスドサンドボックス:解析すべきオブジェクトをアドバンスドサンドボックスに転送し、独自開発の仮想環境で徹底的に分析。サンドボックスを回避する最新のマルウェアに対処するために、サンドボックスのモジュールは都度配信される。
