大企業でもランサムウェアの被害を避けられず、またEmotet(エモテット)の被害を見聞きすると心配になります。客観的にみても、GravityZoneユーザの皆様は他製品のユーザに比べて既に高いレベルで守られているといえますが、それでも高度サイバー攻撃(APT)に対して、今一度とりうる防御体制を確認しておきたいとおもいます。
防御の要はPremium以降で搭載されている次世代検出技術(NGAV)の一つ、Hyper-Detectです。ふるまいヒューリスティックエンジンでも検出できない攻撃に対抗すべく開発されたのが、このローカルで動作するAI機械学習エンジンです。さらにBitdefenderのこれはチューニング可能な点が特徴であり、Aggressiveに感度レベルを強めてもよいですし、NormalのままでもExtendにチェックを入れることで、Aggressive感度で検出してレポートします。
対高度サイバー攻撃防御#2
高度サイバー攻撃では最初の侵入にOSやアプリ等の脆弱性が利用されます。それを攻撃テクニックから見破るのがAAE(Advanced Anti-Exploit)です。現在は再設計されたバージョン2となっています。合わせてエージェントのモジュール構成でもONになっていることを確認してください。
対高度サイバー攻撃防御#3
疑いのあるものをクラウド上の安全なマシン(サンドボックス)で動作させ、その動きを観察することができます。Premium以降では送信、判定まで自動で行われるサンドボックスが搭載されます。そしてBlockingに設定していれば、その判定が下って安全が確保されるまでそのファイルへのユーザがアクセスするのを防げます。
対高度サイバー攻撃防御#4
Enterprise以降ではEDR・eXEDRが利用できます。クラウドのより強力な解析エンジンが単体PCからの情報だけではなく、昨年7月からは複数PCからの情報を相関解析するExtendedEDR(XEDR)も自動で利用可能となっています。そしてさらに他の防御モジュールの情報から総合して、自動でレスポンス、ブロックなど対処する能力も持っています。
- EDRの5製品を検証後にGravityZone Ultraを選定して8500台のエンドポイントのセキュリティを視覚化
- 他のEDRからGravityZoneに移行された方の反応
- 各マシンごとに異なるため通常検出ができないアノマリー(特異)も見つけ出すAnomaly Defense
対高度サイバー攻撃防御#5
万が一防御層が突破され、ランサムウェアが動作したときの最後の砦が、このMitigation(緩和措置)です。これは純粋に暗号化の試みを監視し続け、実施されるや否や(正確には直前)でファイルをバックアップします。このしくみは他社のように既に攻撃社により無効化されているVSSではなく、独自しくみで実装されています。ファイルはRansomware Activity画面からRestore(復元)することができ、管理者の心理的負担を減らす機能でもあります。
対高度サイバー攻撃防御#6
最後に通常時から戸締まりをしっかりしておくことも大事です。Risk Managementにおいて、予めリスクの高いマシンやユーザのふるまいを確認して、問題点をできるだけ潰しておくことで、侵入自体の機会、可能性を減らすことができます。ポリシーで定期的にRisk Scanが行われる設定になっているか確認してください。