検知した脅威に“対策優先度”を付け通知、迅速な対応を促す「DAMBALLA Failsafe」
ビッグデータと機械学習で標的型攻撃対策、ダンバラが日本進出
2015年04月08日 06時00分更新
感染後の検出・対応を短期間で達成に導くための新製品
標的型攻撃対策製品「DAMBALLA Failsafe」を開発・提供する米DAMBALLA(ダンバラ)は4月7日、日本オフィスの開設と、販売パートナーのアズジェントによる国内販売開始を発表した。「ビッグデータ」と「機械学習」をキーワードに、日本の標的型攻撃対策製品の市場を開拓する。
2006年、ジョージア工科大学のセキュリティ研究者を中心に設立されたDAMBALLA。昨年からグローバル展開を開始したばかりだが、すでに20カ国100社の金融機関や製造業などで導入され、評価を得ている。新たな市場として日本に注目する同社は、ビッグデータと機械学習をキーワードに日本の標的型攻撃対策製品の市場を開拓する。
DAMBALLA Failsafeは、アンチウイルス製品の検出をすり抜け、社内ネットワークへの侵入に成功したマルウェアに対し、感染活動やC&Cサーバとの通信などを含む挙動を検知・分析し、ビジネスへの深刻な影響度に基づく“優先順位”をつけて通知する。
「これまでのセキュリティ対策は『防御』に重きが置かれており、疑わしいものはすべて通知してきた。その結果、セキュリティ部門には日々膨大なアラートが届き、実害のあるものを切り分けるだけでも大変な作業だった。ある調査によると、大手企業では毎週1万7000件のアラートを受けていたが、本当に怪しいと思われるアラートはわずか12%だったという」(米DAMBALLA CEO、デビット・ショルツ氏)
ショルツ氏は、セキュリティ部門ではアラート分析だけで数カ月、発見した深刻なリスクへの対応にはさらに数週間かかるのに対し、攻撃者は一瞬で侵入できると指摘する。
DAMBALLA Failsafeでは、8つの検知エンジンを実装しており、C&Cサーバを含む通信からの攻撃者情報の特定、ファイルのダウンロードやHTTPリクエストの精査、自動化された活動やふるまいの検出、回避行動の発見、エビデンス収集などを実行。その後、収集した情報をケースアナライザーで相関分析し、9つのリスク分析エンジンで「深刻度」を割り出してから、「対応優先度」を付けてセキュリティ担当者へと通知する。
検知エンジンは、DAMBALLA Threat Intelligence Centerで作成される。同センターは、年間8兆のパッシブDNSレコードやインターネット通信/モバイルデータ(世界のインターネットトラフィックの約12%)など、膨大な情報から検知モデルを作成し、DAMBALLA Failsafeに配信している。
「同センターでは常に最新の脅威を調査し、検知エンジンの開発を行っている。今年中にも検知エンジンを2つ追加する予定だ」(ショルツ氏)
(→次ページ、大企業やxSP向けに展開、「導入した瞬間から異常を検知」)