SandBlast Network Security

今日、新たなゼロデイ脅威などの高度な手法で企業ネットワークを狙うサイバー攻撃がますます増加しています。このような攻撃を検出、阻止するためには、従来以上にプロアクティブなセキュリティ・アプローチが欠かせません。回避能力を備えたマルウェアも検出するSandBlast Zero-Day Protectionは、ネットワーク・セキュリティをより高いレベルに引き上げます。危険性の高い攻撃から包括的に保護しながら、安全なコンテンツをユーザに素早く確実に届けます。

メリット

攻撃者による検出回避やネットワーク侵入を阻止し、高額な損失に至る侵害やダウンタイムのリスクを低減

  • 幅広い形式のファイルに潜む新種または未知の脅威を検出、ブロック
  • 独自のCPUレベルの検査を実施して危険性の高い標的型の脅威を早期に発見し、攻撃の展開や検出回避を未然に阻止
  • 静的な分析や振る舞い分析、またはヒューリスティック技術をベースとするソリューションでは実現できない、潜在的な脅威の命令レベルでの評価により、攻撃コードを検出

潜在的に不正なファイルは迅速に無害化して転送。業務への影響は皆無

  • Threat Extractionにより、安全と確認された要素だけで文書ファイルを再構成し、ユーザに即座に転送
  • 実運用環境上での防御モードを実現。一方、許容範囲以上の遅延が発生する従来型のサンドボックスは通常、検出モードでのみ実行
  • バックグラウンドでの効率的な分析により、攻撃の試みを可視化。元のファイルにはエミュレーションの完了後にアクセス可能

脅威対策とセキュリティ管理の統合により、運用価値が最大限に向上、TCOを最小限に抑え、脅威を詳細に可視化

  • 既存のインフラストラクチャや管理ツールを活用して、資本コスト削減と迅速な導入を実現
  • 柔軟性とコスト・パフォーマンスに優れる導入アーキテクチャにより、パフォーマンスと拡張性に関する幅広いニーズに適合
  • 脅威情報を活用する多層防御技術で、包括的なセキュリティと脅威の可視化を実現
  • オープンなフレームワークにより、サードパーティのセキュリティ・ソリューションと容易に統合可能
Ransomware_webinar_notched

SandBlastが備える各種機能の中でもとりわけ特徴的な機能がCPUレベルの検査です。Return-Oriented Programming攻撃などのエクスプロイトを防ぐほか、サンドボックスの処理も高速で実行されます。スピードやシンプルさ、使いやすさを兼ね備えており、さまざまなメリットをもたらしてくれています。

Saul Schwartz氏

エンタープライズ・セキュリティ・エンジニア

se2


 詳細

詳細

特長

ゼロデイ脅威から包括的に保護

Check Point SandBlast Zero-Day Protectionは、2つの中核技術であるThreat EmulationThreat Extractionにより、危険性の高いゼロデイ攻撃や標的型攻撃からネットワークを包括的に保護します。

最先端技術の組み合わせにより、高度なゼロデイ脅威を早期に発見し、攻撃の展開や検出回避を未然に阻止しながら、安全なコンテンツをユーザに素早く確実に転送します。


回避能力を備えたマルウェアも検出

Check Point SandBlast Zero-Day Protectionは、他社のソリューションとは異なり、CPUレベルで検査を実施する独自の機能を搭載しており、攻撃が実行される前に阻止します。

現在、数千の脆弱性に対して数百万のマルウェアが生み出されています。しかし、サイバー犯罪者が脆弱性を悪用するために使用する手法は極めて限られます。Check Point SandBlast Threat Emulationエンジンは、CPUベースの命令フローを監視し、オペレーティング・システムやハードウェアのセキュリティ機能をすり抜けようと試みる攻撃を検出します。

攻撃コードを実行する試みを感染前の段階で検出することで、サンドボックスによる検出を回避される前に攻撃を阻止します。


マルウェアをより的確に検出

Check Point SandBlast Zero-Day Protectionでは、OSレベルの脅威エミュレーションにより、さらなる調査を実施します。ネットワークに送信されてきたファイルをインターセプトして無害なファイルを除外した後、不審なファイルを仮想環境で実行して、ファイルへのリンクが設定されている電子メール内のURLを検査します。ファイルの挙動は、複数のオペレーティング・システムおよびバージョンで同時に検査されます。レジストリの改ざんやネットワーク接続の確立、ファイルの新規作成など、マルウェア特有の不審な活動を示したファイルにはフラグを設定し、さらに詳細に分析します。そして、不正と判断したファイルについてはネットワークへの侵入を阻止します。


詳細レポート

ファイルをエミュレートし、マルウェアであると判断されると、詳細レポートが生成されます。レポートはシンプルで分かりやすく構成されており、ファイルの詳細情報や不審な活動に関する情報に加え、ファイルの実行に起因する悪意のある試みについての詳細な情報も網羅されています。また、ファイルをオペレーティング・システムでシミュレートしている間のスクリーンショットも表示されます。


ThreatCloudエコシステム

新たに検出された脅威の情報は、ThreatCloudの情報データベースに送信されます。ThreatCloudエコシステム全体が共有する新しい脅威のシグネチャは、他のチェック・ポイント・ゲートウェイの保護に役立てられ、脅威の拡散が未然に防止されます。ThreatCloudとの継続的な連携により、最新の脅威情報を配信する業界最先端の脅威対策ネットワークが実現します。

プロアクティブな防御を実現しながら安全なコンテンツを迅速に転送

チェック・ポイントのソリューションでは、脅威対策のボトルネックとなる、スピードや保護範囲、精度に関するトレードオフも解消します。Check Point SandBlast Zero-Day Protectionの場合、他社のソリューションとは異なり、検出モードや防御モードに設定していても業務に影響を及ぼしません。

SandBlastを構成するThreat Extractionのコンポーネントは、マクロや埋め込みリンクなどの高リスクのコンテンツを削除して脅威を除去し、安全と確認された要素だけで文書を再構成します。

脅威を検出、ブロックするまでに時間を要する一般的な検出技術と異なり、Threat Extractionはすべてのリスクを予防的に排除するため、安全な文書ファイルが素早くユーザに転送されます。


ビジネスに不可欠な多種のファイル形式に対応

Check Point SandBlast Zero-Day Protectionは、Microsoft Office(Word、Excel、Power Point)から、Adobe PDF、アーカイブ・ファイルに至るまで、ビジネス環境で広く普及しているさまざまな形式の文書を保護します。


柔軟かつ容易に導入可能

Check Point SandBlast Threat Emulationは複数の導入形態をサポートしており、コスト・パフォーマンスに優れたソリューションとしてあらゆる規模の組織に適合します。ファイルは、既存のゲートウェイからSandBlastのクラウド・ベースのサービスまたは自社運用のアプライアンスのいずれかに幅広いスループットで送信できます。

Check Point SandBlast Threat Extractionは、既存のセキュリティ・ゲートウェイにSoftware Bladeとして導入します。その処理は、ネットワーク全体への適用、または個人やドメイン、部門単位での適用も可能です。対象とするユーザやグループはニーズに応じて管理者が指定できるため、小規模から始めて徐々に拡大する運用も容易です。


包括的な統合ソリューション

Check Point SandBlast Zero-Day Protectionは、Check Point Security Managementと完全統合されているため、セキュリティ・ポリシーやプロファイルの作成、単一の統合プラットフォームからの設定が可能となります。またCheck Point SmartEventを利用すれば、組織を狙う脅威の網羅的な把握とレポート作成が可能で、セキュリティ・イベントの迅速な調査および解決が実現します。


最高水準のセキュリティを実現するバンドル

バンドル製品のNGTX(Next Generation Threat Extraction)では、Check Point SandBlast Zero-Day Protectionの保護機能に加え、IPS、Application Control、URL Filtering、Antivirus、Anti-Bot、Anti-Spamの各種Software Bladeが提供する機能をチェック・ポイント・ゲートウェイ上で利用できます。以上の組み合わせにより、不正なファイルのダウンロードや危険なWebサイトへのアクセス、ボットによる通信を遮断し、被害の発生を未然に防ぐ包括的なセキュリティが実現します。


SandBlastソリューション・ファミリー

SandBlast Zero-Day Protectionソリューション・スイートには、Webブラウザエンドポイントクラウド・アプリケーション向けの高度な脅威対策を実現する製品も含まれています。

仕様

THREAT EMULATION
特長 説明
サポートされるファイル形式 Adobe PDF、Microsoft Office、EXE、アーカイブ・ファイル、Flash、Javaアプレット、PIFを含む40種以上のファイル形式をサポート
サポートされるエミュレーション環境 Microsoft Windows XP、7、8
Microsoft Office、Adobe Reader
動作環境条件 SecurePlatformまたはGaiA
THREAT EXTRACTION
特長 説明
サポートされるファイル形式 Microsoft Office 2003~2013、Adobe PDF
パフォーマンス ユーザ数8,000人の環境でスループットの低下は1%以下

1 GBのメモリが必要
対応バージョン/OS SecurePlatform、またはGAiAのR77.30以降
SandBlast – Network Security: 導入形態
分散型導入 – ネットワーク全体に導入され、センサとして動作するチェック・ポイントのセキュリティ・ゲートウェイがファイルやオブジェクトをSandBlastアプライアンスに転送し、検査を実施
SandBlastサービス – エミュレートおよび分析するファイルは、既存のセキュリティ・ゲートウェイまたはExchange Server対応エージェントからこのクラウド・ベースのサービスに送信されます。その際、インフラストラクチャの構成を変更する必要はありません。このサービスにより、セキュリティ脅威の状況とサービスの利用状況の両方を集中的に管理、可視化できます。
インラインまたはSPANポートでの導入 – SandBlastアプライアンスをインラインで接続 – ファイルやオブジェクトについてはSandBlastアプライアンスによりインラインで調査を実施
MTA – メール転送エージェント(MTA)として動作するチェック・ポイントのセキュリティ・ゲートウェイが着信メールを受信し、コンテンツを検査または無害化してから、次のホップのメール・サーバに転送 – MTAはThreat EmulationとThreat Extractionの両方をサポート
Threat Prevention API – オープンAPIにより、文書ファイルをThreat Emulationによる検査用およびThreat Extraction用のSandBlastアプライアンスに転送