メインコンテンツにスキップする
TECHNOLOGY

企業ネットワークの保護:Kaspersky Endpoint Detection and Response(KEDR)

EDRクラスのソリューションは、単一のエンドポイントソリューションとは異なり、複数ホストのイベントを可視化し、「高度な」検知方式(サンドボックス、ディープラーニングモデル、イベント相関)と、インシデント調査、プロアクティブな脅威ハンティング、攻撃への対応のためのエキスパートツールを提供します。

Kaspersky EDRは、企業のITシステムを保護するためのサイバーセキュリティソリューションであり、ITセキュリティにEndpoint Detection and Response(EDR)を追加し、以下を可能にします。

  • 多くのホスト上のイベントから、複雑な攻撃のパターンを自動および手動で抽出します。
  • 攻撃の進行をブロックすることで、その攻撃に対応します。
  • 将来の攻撃を防ぎます。

EDRのニーズ

最近まで、典型的なサイバー攻撃は大量のマルウェアを使用していました。これらの攻撃は、個別のエンドポイントを標的にし、単一のコンピューター内でマルウェアを爆発的に増加させます。マルウェアの集団攻撃が自動的に実行され、大量のメール、フィッシングWebサイト、偽のWi-Fiホットスポットなどを経由してランダムに被害者を選び出します。対処方法は、大量のマルウェアからホストを保護するエンドポイント保護ソリューション(EPP)でした。

EPPベースの効果的な検知の登場により、攻撃者は、コストがかかるものの、特定の被害者に対して標的型攻撃を仕掛ける効果的な戦術に切り替えました。標的型攻撃は高コストになるため、利益を得ることを目的に、通常は企業に対して使用されます。標的型攻撃には偵察が含まれ、被害者のITシステムに侵入して、その保護を回避するように設計されています。攻撃キルチェーンでは、ITシステムの多くのホストを巻き込みます。

標的型攻撃は、さまざまな方法と人主導の相互的性質により、EPPベースのセキュリティを回避できます。

  • EPPは、単一のエンドポイントでの検知に基づいて機能しますが、高度な攻撃は多くのホストで実行され、さらに別のエンドポイントで疑われないようにアクションを実行します。ホストのEPPがこれらのアクションの一部を検知した場合でも、攻撃者は最終的に複数ホストのキルチェーンを構築するため、このような攻撃の痕跡は、多くのホストに分散します。
  • EPPの判定は自動的に実行されるため、攻撃者は、その攻撃が被害者のEPPまたはその他の自動セキュリティソリューションで検知されていないことを確認できます。攻撃者は、この場合に備えて、アンチマルウェアのファーム全体を保持しています。
  • 誤検知のリスクがあるため、ベンダーは、EPPソリューションを「パラノイド」(最高レベルのセキュリティ)レベルに設定するだけでは、保護を強化できません。そのため、正規のアクションが実行されている場合はもちろん、キルチェーンの一部である可能性のあるホストで何か不明瞭なことが起こっている場合でも、EPPは干渉しないように設計されています。

サイバーセキュリティのベンダーは、標的型攻撃に対処するために、Endpoint Detection and Response(EDR)機能を備えたEPPソリューションを強化しています。

  • 手動および自動で相関付けできるように、多くのホスト上のイベントを一元的に把握
  • イベントに関する十分なデータをセキュリティスタッフに提供
  • 対応と修復のためのツールを作成し、人主導のサイバー防御で人主導の攻撃に対抗

基本的に、EDRでは、高度な攻撃に対するエンドポイント保護の新たな層が追加されています。

Kaspersky EDRによるセキュリティの強化

Kaspersky EDRは、既存のEPPソリューションの保護機能を強化します。EPPでは、単純な集団攻撃(ウイルス、トロイの木馬など)に特化していますが、EDRは高度な攻撃に重点を置いています。このソリューションでは、攻撃の観点から合理的なソフトウェアを使用したイベントだけでなく、マルウェアの動作も分析して表示し、キルチェーン全体を明らかにします。

Kaspersky EDRは、Kaspersky Enterprise Security EPPと完全に統合されており、他のベンダーのEPPソリューションと連携できます。EDRには、以下の機能が追加されています。

  • 複数ホストのイベントの可視化:ITシステム全体に分散している攻撃の痕跡を集約
  • 「高度な」方式による検知:この検知では、高度な前処理、サンドボックス、「高度な」機械学習モデル(ディープラーニングなど)など、通常のユーザーワークフローに影響を与える可能性があるため、通常のユーザーエンドポイントでは利用できない多くの計算能力が必要になりますが、高品質の検知が可能です
  • インシデント調査、プロアクティブな脅威ハンティング、攻撃への対応のためのエキスパートツール

Kaspersky EDRの設計

要素

  • エンドポイントセンサー:1つのエージェントまたはスタンドアロンでKaspersky Endpoint Securityと統合(他のEPPソリューションとともに導入)
  • オンプレミスサーバー(イベントストレージ、分析エンジン、管理モジュール、オプションでサンドボックス)。オンプレミスの場所でイベントデータを顧客が完全に制御
  • リアルタイムでの検知の強化と新たな脅威への迅速な対応のためのKSNクラウドまたはKPSNプライベートクラウド

Kaspersky Threat Management and Defenseの一部としてのEDR

Kaspersky EDR、Kaspersky Anti Targeted Attack Platform、Kaspersky Cybersecurity Service(KCS)は、高度な保護と脅威インテリジェンスに適しています。

  • Kaspersky Anti Targeted Attack Platformでは、ネットワークベース、Webベース、メールベースの検知機能が追加されており、標的型攻撃の検知の範囲を「エンドポイント + ネットワーク」レベルに拡張します。
  • KCSでは、顧客のITセキュリティチームへの専門家によるサポートが追加されており、トレーニング、脅威インテリジェンスデータの提供、Kasperskyによるセキュリティオペレーションセンター(SOC)の管理などのオプションを利用できます。

セキュリティ情報およびイベント管理(SIEM)システムとの統合

EDRをサードパーティのSIEMシステムと統合できます(検知データは一般的なイベント形式であるCEFでエクスポートされます)。

主な機能

イベントの集約と可視性の継続的な一元管理。EDRは、ホストからイベントをリアルタイムで集約します。

  • EDRは、原因や疑わしさに関係なく、イベントを継続的に集約します。これにより、EDRは未知のマルウェアに対して効果を発揮します。疑わしいイベントまたはマルウェアイベントのみを集約して、セントラルノードのディスク容量を節約するように設計できます(他のEDRソリューションと同様)。ただし、認証情報を盗んだ攻撃者の正規のアクションはログに記録されず、認識されない新しい脅威もログに記録されません。
  • EDRセントラルノードは、ホストからセントラルノード上のストレージにイベントフィードをアップロードします。他の一部のベンダーのEDRは、イベントをホストに直接保存します。イベントに関するデータがセントラルノードで必要な場合、ホストにログ情報を要求します。このような設計により、セントラルノードのディスク容量が節約されますが、接続に依存するため(ホストの可視性はネットワーク内のホストの可用性に依存)、検索が遅くなります。

自動検知。単一のホストの範囲内に現れる脅威は、ヒューリスティック分析、ふるまい、クラウドによる検出機能を備えたKaspersky Endpoint Security(または別のEPPホストアプリケーション)で検知されます。これに加え、EDRでは、複数のホストからのイベントフィードの相関に基づいて、複数ホストの範囲で検知の層が追加されています。

EDRホストエージェントでは、イベントベースの検知に加え、疑わしいオブジェクトまたはメモリの一部をセントラルノードに自動的に送信して、大量の前処理、ヒューリスティック分析、機械学習アルゴリズム、サンドボックス、クラウドによる検知の拡張、カスペルスキーの脅威データフィードに基づく検知、カスタム検知ルール(YARA)など、通常のホストの計算能力では処理できないアルゴリズムを使用して詳細に分析します。

手動検知(脅威ハンティング)では、攻撃と脅威の痕跡をオペレーターがプロアクティブに検索できます。EDRにより、ストレージに集約された、多くのホストからのイベントの履歴全体を「ハンティング」できます。

  • ストレージを検索して攻撃や疑わしいイベントの痕跡を探し、それらを関連付けて潜在的なキルチェーンを再構築できます。データベース内の検索クエリにより、複合フィルター(ホスト、検知テクノロジー、時間、判定、重大度レベルなど)をサポートします。
  • 新しいIOCをEDRにアップロードして、以前に検知されなかった永続的な脅威を検知できます。
  • 疑わしいオブジェクトを手動で送信して、「高度な」検知方式で詳細に分析できます。
  • 企業がKL TIPサービス(Kaspersky Threat Intelligenceプラットフォーム)を有効にしている場合は、脅威データベース内のオブジェクトに関する情報を要求できます。

対応とは、オペレーターが脅威を検知したときに実行できるアクションです。これらの対応には、以下のものがあります。

  • インシデント調査、キルチェーン内のイベントの再構築。
  • プロセスの強制終了、ファイルの削除または隔離、プログラムの実行、その他のアクションなど、ホストでのリモート操作。
  • オブジェクト実行のハッシュベースの拒否による、検知された脅威の封じ込め。
  • マルウェアの動作によってホストに加えられた変更のロールバックには、EPPソリューションを利用します。例えば、Kaspersky Endpoint Securityでは、そのようなマルウェアの動作を元に戻します。

防御は、エンドポイントでのオブジェクトのアクティビティを制限するポリシーです。

  • ハッシュベースの実行拒否ポリシーにより、ITシステム全体で特定のファイル(PE、スクリプト、オフィスドキュメント、PDF)を実行できないようにし、現在世界中に広がっている攻撃を防ぐことができます。
  • 以前にサンドボックスでマルウェアとして検知された、ホスト上のオブジェクトまたはURLの自動検知。
  • アプリケーションの実行制御(ホワイトリスト、起動制御、権限の制御)、ネットワークアクセスのポリシー、USBドライブアクセスには、EPPソリューションを利用します。Kaspersky Endpoint Security EPPでは、これらすべての防御機能を提供します。

Kaspersky EDRの管理はロールベースで、ワークフロー管理(アラートの割り当て、アラートステータスの追跡、アラート処理のログ記録)が可能です。メール通知は、アラートの種別とそれらの組み合わせ(検知の種別、重大度など)に応じて柔軟に構成されます。

ユースケース:キルチェーンの検知

EDRホストエージェントは、社内のEDRサーバーにイベントを定期的に送信します。

  1. サーバーで受信したイベントの1つが、企業のITシステムで固有に発生するファイルの実行に関連付けられています(ハッシュで判断)。このファイルには、他にも疑わしい特徴があります。
  2. サーバーが詳細な調査を開始し、ファイル自体をダウンロードして、EDR分析エンジンで自動的に分析します。ファイルが自動分析用のキューに入ります。
  3. サンドボックスがファイルの動作をマルウェアとして検知し、オペレーターに警告します。
  4. オペレーターは手動調査を開始し、感染に関連する可能性のあるイベントをチェックします。
    a.標準の管理者ツールを使用して、感染したマシンがインターネットから利用可能な企業のWebサーバーからアクセスされたことを確認します。サーバー上で実行されている疑わしいファイルとプロセスを検索し、疑わしい実行可能ファイルが作成されていることを見つけます。最終的に、攻撃者がサーバーのWebサイトの脆弱性を悪用してアップロードしたWebシェルを見つけます。
    b.この攻撃のすべてのコマンドと制御(C&C)サーバーを識別します。
  5. オペレーターが攻撃に対応します:
    a. 検知されたすべてのC&Cをブロックします。
    b. 悪意のあるプロセスを強制終了します。
    c. ハッシュによるマルウェアファイルの実行をブロックします。
    d. マルウェアと疑わしいファイルを後で調査するために隔離します。

関連するカスペルスキー製品

関連テクノロジー