商品情報セキュリティ商品

機械学習を用いてマルウェア感染端末を特定、検出する
CSIRT支援アプライアンス DAMBALLA Network Insight

資料請求カタログ保守ルールパートナー様向け

DAMBALLA FailsafeはDAMBALLA Network Insightに名称変更しました

DAMBALLA Network Insightは、組織におけるサーバや端末などをマルウェア・ブリーチ(マルウェア感染による機密情報の組織外への流出)の脅威から守るためのセキュリティ・アプライアンス製品です。12種類のブリーチ検知エンジンおよび9種類のリスク分析エンジン、そして独自の相関分析プラットフォームを搭載し、マルウェアに感染した端末が実害を引き起こす前に感染端末を自動検出し、管理者に通知します。

DAMBALLA Network Insightの特長

  1. 複数の要素を相関分析し、高精度かつ的確にマルウェアの感染を検出
    マルウェアをファイアウォールやIPSといった入口対策だけで100%防御するのは不可能です。
    DAMBALLA Network Insightは、マルウェアはゲートウェイソリューションをすり抜け、内部ネットワークに侵入するという前提において開発されました。DAMBALLA Network Insightは、複数の分析エンジンを利用して、ネットワーク内部から外部への通信を検査し、通信に含まれるマルウェア感染を示唆する要素を証拠として集めます。その証拠に基づいて、特定の端末が感染していると判断した段階で、管理者に通知を行います。
    12種類の検知エンジンでプロキシ、DNSサーバとファイアウォールを経由する外部へのトラフィックをミラーポートで収集・相関分析し、非常に高い精度で、潜在するマルウェア感染端末を検知します。9種類のリスクプロファイラ (リスク判定エンジン) によって、感染端末にリスクスコアをつけることで、管理者は容易にどの端末を優先して対処すれば良いか判断できます。また、前述のとおり複数の要素をもとに検知を行うため、誤検出が少ないのが特徴です。 機械学習、相関分析を用いた標的型攻撃の検知
    12の検知エンジン 9つのリスク分析エンジン
    C&Cサーバなど外部のサーバと通信を行っている機器を見つけ出します。


    Connection  ・  Domain Fluxing  ・  TOR  ・  Query  ・  Execution Automation  ・  DNS Tunneling ・  File  ・  Request  ・  Peer-To-Peer Transaction  ・  Contextual
    エンドポイントをリスク分析し優先づけ、早急に対応が必要な端末を特定します。

    Data Transferred  ・  Sequence of Events  ・  PCAP Communication Success  ・  Importance of Endpoint  ・  Severity Malware Family Intent  ・  AV Coverage  ・  Malicious File Availability
    マルウェア感染端末の特定
  2. ネットワーク・システム構成の変更が不要など、導入が容易
    DAMBALLA Network Insightはを設置する際、ミラーポートに接続するだけで運用開始できるため、ネットワーク構成の変更や通信の停止を行う必要がありません。また同様にインラインに設置する必要がありませんので、既存のシステム環境に対して性能による遅延等も発生しません。
    また、Network Insightアプライアンスは最低1台から構築可能となっており、配線作業と簡単な初期設定を行うだけで、1時間程度で導入作業が完了します。初期設定~運用開始は1日程度で終わるなど、導入が非常に容易となっています。
  3. マルウェア感染端末の対処プロセスを短縮化し、SOC・CSIRTチームの作業効率化を実現
    現在、社内SOC・CSIRTを構築している組織が大幅に増加しているにも関わらず、多くの組織においては専任の技術者が置けない状態が依然として続いています。DAMBALLA Network Insightでは「疑わしきを警告」するのではなく、専用アプライアンスの「Sensor」の検知内容から証拠を積み上げて被疑端末を特定します。このため、従来であれば、セキュリティアナリストがその経験に基づいて構築する「分析ロジック」を、アプライアンスソリューション内で提供することが可能となり、貴重なセキュリティアナリストのスキルと手間を開放し、SOC・CSIRTチームの作業効率化を実現します。 DAMBALLA Network Insight構成

製品ラインナップ

ハードウェア仕様

Management Console Sensor MicroSensor Virtual Sensor
DAMBALLA Network Insight管理サーバ
管理サーバ。各Sensorに収集されたデータの相関分析を行います。Sensorと統合した「Combo」として利用も可能です。2Gbpsのスループットに対応。
DAMBALLA Network Insightセンサー
疑わしい通信の証跡を収集し、Management Consoleに渡します。
2Gbpsのスループットに対応。
DAMBALLA Network Insightマイクロセンサー
小規模環境向けのSensorです。
100Mbpsのスループットに対応。
VMware上で稼働するSensorです。
200Mbpsのスループットに対応。
マルウェア検知のための構成

クラウドでのDamballa利用に関して

~クラウドセキュリティは万全ですか?~

Damballa(クラウド対応版)のクラウド環境における特徴と、Cloudベンダーが提供するCloudセキュリティサービスの比較を以下にまとめます。
なお、Damballa(クラウド対応版)に関しては別途弊社にお問い合わせください。

DAMBALLA論理構成図

機能 Damballa(クラウド対応版) Cloudセキュリティサービス
概要
  • 実際のネットワークトラフィックミラーを解析し、エージェント無しに最終的な判断を提供
  • 12の脅威検出エンジンでと9つのリスクプロファイラーに対して、行動モデル、ペイロード分析、脅威インテリジェンスを適用
  • 感染に関連するリスクの優先順位付け及び、アクティブな侵害デバイスの検出とアクティブな侵害デバイスの優先順位付けを自動化
  • クラウドベンダーが提供するセキュリティサービスで、仮想サーバにエージェントを導入
  • サーバやAPのログを収集・解析を行うSIEMやEDR系のソリューションが主流
    例)Azure:Azure Security Center、Azure Sentinel
          AWS :Amazon GuardDuty、CrowdStrike
長所(特長)
  • ISPと協業により、14年間に渡りビッグデータを蓄積
  • ビッグデータから、リアルタイムでAIにより脅威インテリジェンスを生成 (1900億件/日のDNSレコード学習)
  • 12個の脅威検出エンジン(挙動解析、データ解析)
  • 他ベンダー脅威インテリジェンスの取り込み可能
  • エージェントレスの為、サーバOSを問わない
  • クラウドサービスを変更しても監視品質が変わらず利用可能
  • クラウド側の脅威インテリジェンスと組み合わせて、さらに高い品質のインテリジェンス化が可能
  • ミラーしたパケットの全てを検査・解析
  • 通信パケットを見ているのでリアルタイム性が高い
  • クラウドベンダー独自の脅威インテリジェンス
  • クラウドサービスとセキュリティサービスとの統一的操作性
短所
  • 管理サーバーとセンサー用のインスタンスが必要
  • トラフィックミラー用のインスタンスが必要
  • ログに記録されないインシデントは見落とす可能性有り
  • 脅威インテリジェンスの量が非公開
  • エージェントが必要な為、利用可能OSが限定
  • 通信パケットではなく、トラフィックのログを監視しているため、リアルタイムな検知ができていない場合がある
  • 自社の脅威インテリジェンスに関する情報(量・更新頻度)が未公開の為、監視や検知・検出品質が不明
  • サードパーティのインテリジェンスの導入を推奨しないものもあり、異常検出が洩れるおそれがある
まとめ(導入)
  • アプライアンスのイメージファイルをインスタンスに展開するだけで導入可能
  • エージェントレスの為、仮想サーバーへの負担が少ない(エージェントと相性問題等のリスクも無い)
  • エージェントを全ての仮想サーバに導入する必要あり
  • ログ収集ポリシーや分析のテンプレートの作成・チューニングが必要
  • インシデントのリスク判定が精緻化されておらず、リスク判定のAI学習が十分でないものもある(不正の可能性でアラートを発出; 過検知)
まとめ(運用)
  • 感染の検知では、AIを利用した証跡の積み重ねにより優先順位を付けて判定(運用の自動化)
  • スレッドインテリジェンスによる検知で、特別なチューニングが不要
  • 過検知対応の為、SIEMによって生成されたアラートの、継続的なチューニングが必要
  • 複数のクラウドサービスで構成される場合、一元的に監視が困難
その他
  • オンプレとクラウドのハイブリッド利用や複数のクラウド利用などの場合でも、それぞれにセンサーを置くだけで一元管理が可能
  • クラウドベンダー依存の為、ハイブリッド利用や複数のクラウドの利用する場合、それぞれに原則として個別のセキュリティサービスの導入が必要
  • クラウドサービスの監視ダッシュボードは、通常のシステム運用を想定しており、緊急対応向けにダッシュボードを最適化するための負担が大きい

オンプレ導入パターン

パターン1:一般例

各所に複数のセンサーを配備しマルウェアを検知

Network InsightのSensorまたはMicroSensorは、インターネットへの出口のあるネットワーク内でファイアウォール・DNSサーバ・プロキシサーバに向かう通信をSPANポートでミラーリングし、その情報をもとにメタデータを作成します。Sensorが処理したメタデータをManagement Consoleに転送して解析し、その結果をNetwork InsightのUIに表示します。

パターン2:小規模環境への導入例

小規模ネットワークにおけるマルウェア検知例

Network Insight Management Consoleの一つの特長は、Sensorと統合した「Combo」アプライアンスとして利用できます。但し、その場合はSensorと同一スループットに対応しますが、Management Consoleの機能として1台の追加Sensorまたは4台の追加MicroSensorかVirtual Sensorまでのサポートとなります。

MC Combo
Sensor 無制限
Micro/Virtual
Sensor
無制限 4

関連サービス

セキュア・ドック(MSS版)
セキュア・ドック(MSS版)は、マルウェア感染の早期発見・特定する製品 DAMBALLA Network Insight のレンタル/センサーの設置/管理/監視/通報までをサービスにパッケージして提供する継続的なセキュリティ監視サービスです。
詳細ページ
セキュア・ドック(スポット版) セキュア・ドック(スポット版)は、マルウェア感染の早期発見・特定する製品 DAMBALLA Network Insight を利用した4週間のスポット診断サービスです。マルウェア感染の疑いがある場合の初動調査やインシデント発生後の予後経過観察の一環としてご活用いただけます。
詳細ページ
構築サービス 既存ファイアウォール製品(Check Point製品・他社ファイアウォール製品)からのリプレースメニューやバージョンアップメニューもご用意しています。お気軽にお問合せ下さい。 詳細ページ