標的型攻撃対策

次世代ファイアウォール パロアルトネットワークス・PAシリーズ

Point

標的型攻撃に有効な対策をPAシリーズで実施することで、「新しいタイプの攻撃」による重要情報の窃取を回避します。

課題

これまで企業のセキュリティは、ファイアウォールやマルウェア対策ソフトによって外部からの侵入を防ぐ「入口対策」が主流でしたがこうした対策では標的型サイバー攻撃には不十分です。
たとえマルウェアに感染したとしても、組織のネットワークから外部に重要な情報が流出しないようにすることが必要であり、そのためには「出口対策」が不可欠です。

課題1: 脅威の侵入経路を狭め 課題2: マルウェアの侵入を食い止める 課題3: 侵入された感染端末をできる限り早く発見する

PAシリーズのソリューション

たとえ社内のPCがマルウェアに感染しても、情報流出経路となり得るアプリケーションを遮断したり、特定の国への通信を遮断する事で情報流出を防止します。
またボットネット検知レポートにより感染したPCを早期に発見する事も可能です。

標的型攻撃で利用される特定国との通信を遮断できます

国別のIPアドレスを保持しているデータベースを利用し、特定国との不要な通信を遮断することで、
サイバー攻撃でよく利用される特定国への通信を排除します。

特定国との通信は、インパウンド、アウトバウンドともに制御・可視化が可能です。
「未知のアプリケーション」の通信を遮断し、バックドアを閉鎖

App-IDのアプリケーション制御機能により、ボットネットが拡散経路やコントロールに用いる恐れのあるアプリケーションを制御するポリシーを展開することができます。
次のような例があります。

  • 未知のアプリケーションは、バックドア通信を行うアプリケーションの可能性があるため通信遮断

  • ボットネットを拡散させるアプリケーションとして知られるMSNなどのP2PおよびIMアプリケーションをブロック。

  • 既知のボットネット指揮統制アプリケーション (IRCなど) をブロック

  • コントロールルートになりつつあるアプリケーション (ツイッター、Gmail、Google Docs) を制御、検査、監視

ボットネットを構成する機器のリストを表示できます

ボットネット検知レポートでは、未知のアプリケーションやIRCトラフィック、マルウェアサイト、ダイナミックDNS、新たに作成されたドメインなどの幅広いデータポイントが分析されます。
その分析結果ではボットネットのメンバーになっている恐れのある潜在的な感染ホストが一覧表示されます。

  • ログ分析により、ボットネット特有の通信を検知し、感染が疑われる機器をリストアップ。

  • 「振る舞い」を検知することで無数の亜種にも対応。

ボットネット検知画面
暗号化された攻撃を検知、遮断できます

暗号化されたアプリケーション通信も一度SSL復号化機能で紐解き、中身をチェックした後、再暗号化をして通信をやりとりさせます。

  1. 1.httpsサイトの暗号通信(SSL通信)に潜むウィルスなどの脅威を検知することができます。

  2. 2.社内から発信される暗号通信のの内容を精査し、重要情報の社外への送信を防御できます。

※圧縮したファイル内に潜む脅威にも対応。

SSL復号化機能
マルウェアのゼロデイ対策(OS4.1以降)

マルウェアを識別する機能をクラウドにて提供(サービス名: Wildfire)
ファイアウォールが任意のアプリケーションから送られてきた未知の.EXEや.DLLファイルを検出すると、
それらがたとえSSLで暗号化されていたとしても、仮想環境(サンドボックス)で疑惑のファイルを実行し、マルウェアか否かを判定します。
判定後は迅速にシグネチャを自動生成する為、継続する攻撃に備えることができます。

 

WildFire適用イメージ
トップに戻る