情報漏えいの未然防止

マルウェアは端末に感染後、C&Cサーバと通信を試みます。
通信確立後、ネットワーク情報および機密情報の収集（遠隔操作）から、実際の情報の持ち出し（目的実行）まではある程度の時間の猶予があります。 初期の通信確立の時点で被疑端末を特定、対策を打つことで情報漏えいを未然に防ぐことが可能になります。
検知後、端末の隔離やアンチウイルスソフトの
　　更新とスキャン、駆除等により、漏えい阻止 C&Cサーバと通信開始情報の収集 情報持ち出し 偵察 武器化 デリバリ 攻撃 インストール 遠隔操作 目的実行

セキュリティインシデントに対する迅速な解析・分析

万が一、情報漏えい・セキュリティインシデントが発生してしまった場合、その後の対応により企業ブランドへのダメージ、解決コストが大きく変わります。 Arbor Spectrumで検知したトリガーはもちろんのこと、SIEMや他のデバイスから入手した IPアドレスの過去の通信を迅速に可視化します。 影響範囲の特定や、その他の端末への感染活動も瞬時に把握することが
可能です。感染元の特定からセキュリティホールを発見し、セキュリティ
レベルを高めることにもつながります。

現在、実施している情報漏洩対策のプラスアルファーとして、ArborNetwrks Spectrum は最適なソリューションであると考えます。

1. 高度な脅威に対する有効な対策
2. 情報漏えいが発生してしまった後の感染経路、感染源の隔離、関連部署、関係会社への報告書の作成のリソース及びコスト削減

すべての企業は、何かしら情報漏えい対策をしています。
しかしながら、情報セキュリティ担当者を悩ませる問題として、情報漏えいを防げるかという問いかけは日々進化していく”高度な脅威”に対しては完全には防げないという現実があり、日々対策を強化していくという以外にありません。

従来の対策の悩み

Firewall/IPS/サンドボックスでは
セキュリティインシデントをすべて防ぎきれない エンドポイントセキュリティも　 　
万全ではない セキュリティインシデントの
　　　加害者になっている可能性 ネットワークを介さないマルウェア感染 一度侵入されたら感染の拡大もわからない 内部からの故意による情報漏えい

ネットワークセキュリティ製品の課題

パケット通過時のみ検査。
通過後は検査不可。 一度中に入られると
行動を把握することが不可能 標的型攻撃は日々進化しており、ネットワークセキュリティ製品で全てを防ぐことは不可能。
検知率が50%を下回っている製品もある。 Firewall IDS Sandbox

SIEM、フォレンジックの課題

セキュリティインシデント発生！ 何が起きているのか
　　わからない

SIEMによる相関分析、およびフォレンジックログの調査により、
影響範囲・根本原因を追究することは非常に困難であり時間を要する。
また解析にはスキルを有する人間が必要。また、その間に被害は拡大してしまう。

Arbor Spectrum による解決

• 標的型攻撃への対策
• 包括的な分析・解析

Arbor Spectrumで実現できること

情報漏えいの未然防止
セキュリティインシデントに対する迅速な解析・対応

マルウェアは端末に感染後、C&Cサーバと通信を試みます。
通信確立後、ネットワーク情報および機密情報の収集（遠隔操作）から、実際の情報の持ち出し（目的実行）まではある程度の時間の猶予があります。 初期の通信確立の時点で被疑端末を特定、対策を打つことで情報漏えいを未然に防ぐことが可能になります。
検知後、端末の隔離やアンチウイルスソフトの
　　更新とスキャン、駆除等により、漏えい阻止 C&Cサーバと通信開始情報の収集 情報持ち出し 偵察 武器化 デリバリ 攻撃 インストール 遠隔操作 目的実行

■ マルウェア感染端末の異常行動

マルウェア感染したデバイスは、C&Cサーバーへ接続し指示を待ちます。 昨今のマルウェアは C&Cサーバーとの通信にSSL を用いる為、トラフィックの振舞やペイロードチェックでは検知する事が難しくなっています。 Arbor Networks Spectrum オンプレミス
セキュリティデバイス

万が一、情報漏えい・セキュリティインシデントが発生してしまった場合、その後の対応により企業ブランドへのダメージ、解決コストが大きく変わります。 Arbor Spectrumで検知したトリガーはもちろんのこと、SIEMや他の
デバイスから入手した IPアドレスの過去の通信を迅速に可視化します。 影響範囲の特定や、その他の端末への感染活動も瞬時に把握することが
可能です。感染元の特定からセキュリティホールを発見し、セキュリティ
レベルを高めることにもつながります。

■ マルウェア感染端末の異常行動

多くのマルウェアに感染したデバイスは、 内部のネットワーク構成を確認したり、感染を広げる目的として、スキャニング行為を開始します。 Arbor Networks Spectrum オンプレミス
セキュリティデバイス Port 21.22.23.24･･･スキャニング Host A, B, C, D･･･スキャニング Syn フラッディング 意図しないホストへのアクセス

8時間シフトでのインシデント調査数

Arbor Spectrum の画面イメージ

Incidentをリアルタイムに表示。時間軸もマウスロールで変更可能であり、
IP/Port/Incident等で柔軟にフィルタが可能。
素早く目的の攻撃を絞る事が可能。

詳細を確認したいIndicatorをクリックすると、そのIndicatorに関する通信端末が表示される。
内部のどの端末が調査対象であるか簡単に把握が可能。

怪しい通信をドリルダウンすることでパケットの中身を見ることが可能。
実際にどのような通信があったのかを簡単に調査。

該当の端末が他にどのような通信を行っているのかを一画面で把握可能。
他への感染行動やその他の怪しい通信の有無を確認可能。

現実的な対処として、可能な限りの適切な対策をしたうえで、情報漏洩は完全に防げないという視点に立ちセキュリティに対し投資していくステージになっていると考えます。
情報漏洩が報告された時点で、感染経路、感染源の隔離、関連部署、関係会社への報告書の作成　といった作業やコンサルタントに支払う費用を可能な限り最小にとどめるかといった視点も必要になりつつあります。

多層防御 (入口、出口対策 ＋ 内部活動の監視)

FW = Security Check IPS = Security Scanner Spectrum = Security Cameras

DATA CENTER HQ Router Branch Branch Firewall IPS Load Balancer Spectrum

Arbor Spectrum の導入イメージ

Arbor Networks™
Spectrum
管理コンソール Arbor Networks™ Spectrum
パケット・コレクター DMZ Arbor Networks™ Spectrum
フロー・コレクター

パケットキャプチャまたはフローの受信により解析。
インラインの導入は不要

スタートアップ構成

注：コンソール用プラットフォームサーバは含まれません。
注：詳細はお問い合わせください。

現在　準備中です。
導入検討、導入前の検証（POC)は無償にて機器貸し出しサポートをいたします。
ご興味がございましたら、お問い合わせページにてご依頼ください。