- Threat Emulation - サンドボックス
一般的なOSレベルのエミュレーションを行うだけでなく、CPUレベルのエクスプロイト検出を行う独自技術を備えています。例えば、OSレベルのサンドボックスでは、悪意ある実行コードが動いた後からしか検出できませんが、CPUレベルのサンドボックスであれば、エクスプロイト自体を検出するため、悪意ある実行コードが動く前に防御することが可能です。 - Threat Extraction - 無害化
悪意のあるファイルを無害化する機能です。ファイルに存在する潜在的な脅威を除去し、再構成した上で安全なファイルをユーザに配信します。これによってエンドユーザはマルウェア感染などの心配をせずに添付ファイルを開けるようになります。
SandBlast TE Appliancesの特長
-
未知のマルウェアやゼロデイの脅威を未然に保護
昨今、数千の脆弱性に対して数百万のマルウェアが生み出されています。しかしサイバー犯罪者が脆弱性を悪用するために使用する手法は極めて限られています。
SandBlastは、他社のソリューションと異なりOSだけでなくCPUレベルで検査を実施する独自の機能を搭載しています。その為、攻撃が実行される前に阻止できるため、脅威対策のボトルネックとなるスピードや保護範囲、精度のトレードオフも解消されるので、防御モードに設定していても業務に影響を及ぼしません。
また、SandBlastのThreat Emulationエンジンは、CPUベースの命令フローを監視し、OSやハードウェアのセキュリティ機能をすり抜けようと試みる攻撃を検出することが可能です。攻撃コードを実行する脅威を感染前に検出することで、サンドボックスによる検出機能を回避される前に攻撃を阻止します。
そして、新たに検出された脅威情報は、ThreatCloud(※)情報データベースに送信されます。それにより、他のチェック・ポイント・ゲートウェイが保護され、脅威の拡散が未然に防止されます。※ThreatCloudとは、チェック・ポイントがサイバー犯罪阻止を目的とした業界初のセキュリティ・インフラストラクチャです。ThreatCloudは、チェック・ポイントの研究機関や世界規模のセンサー・ネットワーク、業界の情報提供サービス、そして業界発の脅威情報マーケットプレイスであるThreatCloud IntelliStoreに参加する専門ベンダーから収集されたリアルタイムの脅威情報を随時配信します。
-
Threat Emulation(サンドボックス)による未知の脅威の検出
Threat Emulationは、スピード、精度ともに業界最高レベルのサンド・ボックス・エンジンにより、不審なファイルを分析し、攻撃者による組織ネットワークへの侵入を阻止します。
Theat Emulationエンジンは、まずCPUレベルでインストラクションの検査を行い、OSやハードウェアに備わっているセキュリティ機能の回避しようとする試みを検出します。これによってサンドボックスによる防御をすりぬけようという試みを阻止します。サンドボックスでは、一般的ではないシステム・レジストリの変更やファイルの新規作成、ネットワーク接続の確立、システム・プロセスの改変を行うかどうかなど、OSレベルでの検査が行われ、最終的にマルウェアと判断されたファイルはネットワーク内への侵入がブロックされるようになっています。これらの防御機構により、ファイルに仕組まれた未知のマルウェアは感染前に阻止することが可能です。
また、ファイルをエミュレートするたびに詳細レポートを生成することが可能です。レポートはシンプルで分かりやすく、ファイルの実行に起因する悪意のある攻撃についての詳細な情報も網羅されており、ファイルをエミュレートしている間のスクリーンショットも確認可能です。 -
Threat Extraction(メール無害化)による潜在的な脅威を無害化したコンテンツの配信
Threat Extractionは、リスクの高いマクロや埋め込みファイル、外部リンクなどの潜在的脅威を除去した上で、安全と確認された要素だけで文書を再構成して、無害化されたファイルをユーザに転送することができます。一般的な製品では、脅威を検出してからブロックするまでに時間を要しますが、チェック・ポイントのThreat Extractionは、すべてのリスクを予防的に排除するため、無害化された安全な文書ファイルを遅延なく利用可能することが可能です。無害化する方法は元のファイルフォーマットを維持する方法と、PDFに変換する方法の2パターンがあります。
Threat Extractionは、アクティブ・コンテンツや埋め込み式オブジェクトなど、悪意可能なコンテンツを削除し、潜在的な脅威のないファイルを再構成します。そして無害化したコンテンツを遅延無しでユーザに転送します。再構成の後に、文書ファイルをすぐにユーザに転送する、またはThreat Emulationの応答を待機してから再構成の必要性を判断するかを選択することも可能です。 -
選べる導入パターン
お客様の環境に合わせて、クラウド・サービスタイプと専用アプライアンスの選択が可能です。
-
クラウド型
・既存の環境で利用することが可能なため、新しい機器を導入する必要はありません。 -
専用アプライアンス型
・クラウドへのファイル送信を希望されないお客様はプライベート・クラウド用のエミュレーション専用アプライアンスを導入することで、クラウドにファイルを送ることなく、検査することが可能です。
-
クラウド型
製品ラインナップ
本製品は、ユーザー環境の要件に合わせて、専用アプライアンスまたはクラウド・サービスのどちらかを選択することができます。
ハードウェア仕様
モデル名 | TE250XN | TE2000XN-28VM | TE2000XN-56VM |
---|---|---|---|
推奨検査ファイル数/時 | 1,300 | 5,000 | 8,000 |
仮想マシン数 | 8 | 28 | 56 |
スループット(Gbps) | 1 | 2.6 | 5.2 |
ストレージ | 1 x 960GB SSD | 1 x 2TB SSD | |
メモリ | 16GB | 128GB |
導入パターン
導入パターン1:
既存のチェック・ポイント社セキュリティ・ゲートウェイに加え、専用アプライアンスによる検知・防御・イベント分析
- 外部メールサーバでメールを受信
- 外部メールサーバからSandBlastへ送信
- SandBlast内で無害化およびスキャン
- 無害化した添付ファイル(文書ファイル)付きメールを内部メールサーバへ送信
Check Pointセキュリティ対策 | |
---|---|
メール無害化 | ◯ |
サンドボックス(メール) | ◯ |
サンドボックス(ウェブ) | ◯ |
イベント分析 | ◯ |
レポートティング | ◯ |
入口対策(IPS等) | ◯ |
出口対策(ボット対策等) | ◯ |
導入パターン2:
既存の他社セキュリティ・ゲートウェイに加え、専用アプライアンスによる検知・防御・イベント分析
- 外部メールサーバでメールを受信
- 外部メールサーバからSandBlastへ送信
- SandBlast内で無害化およびスキャン
- 無害化した添付ファイル(文書ファイル)付きメールを内部メールサーバへ送信
Check Pointセキュリティ対策 | |
---|---|
メール無害化 | ◯ |
サンドボックス(メール) | ◯ |
サンドボックス(ウェブ) | − |
イベント分析 | ◯ |
レポートティング | ◯ |
入口対策(IPS等) | − |
出口対策(ボット対策等) | − |
導入パターン3:
既存の他社セキュリティ・ゲートウェイに加え、専用アプライアンスによる検知・防御
- 外部メールサーバでメールを受信
- 外部メールサーバからSandBlastへ送信
- SandBlast内で無害化およびスキャン
- 無害化した添付ファイル(文書ファイル)付きメールを内部メールサーバへ送信
Check Pointセキュリティ対策 | |
---|---|
メール無害化 | ◯ |
サンドボックス(メール) | ◯ |
サンドボックス(ウェブ) | − |
イベント分析 | − |
レポートティング | − |
入口対策(IPS等) | − |
出口対策(ボット対策等) | − |