XG Firewall v18 を最大限に活用 – パート 4

製品XG Firewall
20208月 10作成者:

ゼロデイ脅威とランサムウェア対策

ランサムウェアの現状 2020 年版レポートででは、調査に加わった 26 か国の参加企業の半数以上が、過去 12 カ月間にランサムウェアの被害にあったことを報告しています。  この結果により、ランサムウェアのような高度な脅威がより攻撃対象を絞り、より回避力に優れるため、ゼロデイ脅威を予測的に特定して保護する必要性が高まっていることが分かりました。

XG Firewall v18 の優れた新機能を最大限に活用するシリーズの第 4 回では、新しいランサムウェアの亜種などの最新のゼロデイ脅威から保護するように設計された XG Firewall v18 の新機能に特に焦点を置いていきます。

Xstream 脅威対策

前回の記事では、Xstream アーキテクチャ、新しい DPI エンジン、新しい TLS インスペクションソリューション、Network Flow FastPath について説明しました。  これらはすべて、最新のゼロデイ脅威を特定して阻止するうえで重要な役割を果たします。  この記事では、新しいクラウドベースの脅威インテリジェンスと Sandstorm Protection のサブスクリプションの一部である Sandstorm のサンドボックス技術について説明します。

製品概要

XG Firewall v18 には、最新の脅威を検出するために、新しい ML (機械学習) ベースの脅威インテリジェンスと新たに拡張された Sandstorm のサンドボックスのバージョンが含まれます。  これらは連携して、最新のゼロデイ脅威を特定します。  どちらも SophosLabs Intelix を搭載しており、機械学習テクノロジー、数十年にわたる脅威の調査、大容量のインテリジェンスを活用して、未知の脅威に対し卓越した保護を提供します。

XG Firewall の Xstream DPI エンジンは、ネットワークに入ってくるファイルに対して AV 分析を実行します。アクティブなコードがある場合はファイルを一時的に保持し、静的および動的 (サンドボックス) 解析の両方を実施するためクラウド内の SophosLabs Intelix サービスに送信します。  次に、結果の詳細な概要を提供し、ファイルが安全であることが分かった場合にのみ、ファイルをダウンロードする人、またはメールの受信者にリリースします。

最後の手順は重要です。ファイアウォール上の多くの高度なマルウェアソリューションは、解析が完了する前にエンドユーザーにファイルをリリースするため、すべての解析が完了した後にそのファイルが結局は脅威として確定された場合に、大規模でコストのかかるクリーンアップにつながる可能性があります。

スキャンされたファイルの処理についてもう少し詳しく見ていきます。

脅威情報の解析

脅威インテリジェンスは、複数の機械学習モデルを使用して、ファイルの特性、機能、遺伝、およびグローバルレピュテーションを解析します。新しいファイルを SophosLabs データベースにある既知の良好ファイルや不良ファイルと比較して、数秒で判定結果を表示します。リアルタイムで実行する必要はありません。  これにより、新しい脅威や既存脅威の新亜種を迅速かつ効率的に特定できます。特に、パスワードで保護されたドキュメントのような簡単にサンドボックス化できないファイルに効果的です。

Sandstorm サンドボックス解析

ファイルは脅威インテリジェンス解析に送信されると同時に、クラウドサンドボックス環境にある動的な動作解析にも送信されます。クラウドベースなので、追加のソフトウェアやハードウェアは不要です。また、ファイアウォールのパフォーマンスに影響を与えません。

SophosLabs は、動作に基づいて脅威を特定するために、業界をリードする Intercept X 次世代型エンドポイント製品の最新の保護テクノロジーを Sophos Sandstorm サンドボックスに統合しました。これには、ディープラーニングによる解析、エクスプロイト検出、およびリアルタイムでアクティブなランサムウェア暗号化ファイルを検出する CryptoGuard が含まれます。  サンドボックスは、サンドボックス回避テクニックだけでなく、すべてのファイル、メモリ、レジストリ、ネットワークのアクティビティも監視します。  他社のファイアウォール製品では、最も優れた脅威防御である Intercept X を使用したこのようなランタイム解析は提供出来ません。また、XG Firewall が提供する、ファイル実行中のイベントを示すスクリーンショットのタイムラプスなどの情報やレポートレベルも提供しません。

サンドボックス化は、悪意の特性を明らかに持っていないと思われる、通常無害なファイルに潜む脅威を検出する際に特に効果的です。  ハッカーによって破壊されたマクロを含む Office ファイル、または無害な実行可能ファイルやアプリケーションの更新は、サンドボックス化による検出の主要候補です。

脅威対策を最大限に活用する方法

この非常に重要な保護を有効にするために必要な重要事項は、次の 3 つです。

  1. お客様のすべての XG Firewall ライセンスに Web と Sandstorm Protection のサブスクリプションが含まれていることを確認してください。最新の脅威から保護するには、両方のサブスクリプションを有効にする必要があります。XG Firewall v18 の新しい脅威インテリジェンス解析は、Sandstorm ライセンスの一部であり、追加費用なしで以前のバージョン以上の価値を提供します。  XG Firewall にログインし、管理メニューに移動して、有効なサブスクリプションのリストを表示します。  この重要な保護対策を講じていないお客様は積極的にアップグレードしてください。
  2. XG Firewall の新しい脅威保護テクノロジーは、復号化されたトラフィックのみを検査、分析できるため、TLS の暗号化された Web トラフィックが検査されていることを確認してください。Web トラフィックの大部分が暗号化されているため、ネットワークにダウンロードされているファイルを復号化し、検査して、潜在的な脅威を分析することが重要です。  この優れた新機能を活用する詳細な方法については、XG Firewall v18 の高性能の TLS インスペクションソリューションに関する最近の記事を確認してください。
  3. Web トラフィックを管理するすべてのファイアウォールルールにおいて、次の 2 つの Web フィルタリングセキュリティオプションが設定され、Web トラフィックのスキャンと、ここで説明する最新のゼロデイ攻撃対策テクノロジーを使用できることを確認します。

以上です。とても簡単に出来ます。

新機能の最大限な活用、新しく改善された脅威インテリジェンスレポートの詳細、およびその結果をどのように解釈するかに関する詳細なガイドについてはこちらのビデオをご覧ください。

自分でテストする

SophosTest.com では、無害で便利なテストファイルをご覧いただけます。こちらはパートナー様向けに提供されるサンプルレポートとなります。

また、解析されている最新のファイルのダウンロードについては、Control Center のウィジェットを確認してから、ドリルダウンして詳細を確認してください。

Control Center のウィジェット (上で強調表示されている)をクリックすると、解析されたファイルとその結果の詳細なリストがドリルダウンされます。  結果列にマウスを合わせると、脅威メーターが表示され、解析結果の概要の詳細が分かります (以下を参照)。

新しいゼロデイ攻撃脅威対策機能を含む XG Firewall v18 の新機能を最大限に活用するために参考となるサイトは次のとおりです。

Sophos XG Firewall を初めて使用する場合は、 XG Firewall がお客様のネットワークにもたらす大きな利点と機能の詳細をご覧ください。

 

XG Firewall の販促活動

ソフォスパートナーポータルでは、豊富な営業資料を提供しています。カテゴリを選択して結果を絞り込むことで、資料のリストをフィルタリングできます。また、お住まいの地域でセールスプロモーションをご利用いただけるかどうかをご確認ください。素晴らしい機会を見逃さないために時々ご確認することをお勧めします。

著者について

Chris McCormack is a network security specialist at Sophos where he has been focused on firewall and network protection since joining Sophos in 2008. When not evangelizing Sophos network security products, Chris specializes in providing advice and insight into the latest threats and network protection technologies and strategies.