目指すは自動復旧と根本原因解析――ソフォスがサーバ向けエンドポイントプロテクションを発表:サーバも重要な「エンドポイント」
ソフォスは「Sophos Intercept X」のWindowsサーバ版「Sophos Intercept X for Server」を発表した。復旧を含むインシデント対応の自動化と根本原因の解析を目指す。
ソフォスは2018年7月27日、同社のセキュリティ保護ソリューションをサーバ向けにも展開した「Sophos Intercept X for Server」を発表した。クライアント向けとして提供されている「Sophos Intercept X」の機能をWindowsサーバにも適用したもので、ソフォスが2018年2月に発表したディープラーニングやニューラルネットワークモデルのエンジンを用い、エンドポイントやファイアウォールと連携した保護が可能だ。
ソフォスは「サーバも、クライアント同様に重要なエンドポイントである」と定義。ランサムウェアだけではなく、不正にブロックチェーンのマイニングを行う「クリプトマイニング」においては、クライアントPCよりもリソースが潤沢なサーバが狙われるとし、「サーバこそがより強固に守るべきものと考え、サーバ版の提供に至った」と述べる。
発表会では、実際にWindowsサーバでマルウェアが実行されたときのデモが行われた。サーバ上でランサムウェアのデモアプリが実行されると、即座にIntercept X for Serverが検知し挙動をブロック。その情報が同社独自のプロトコルで、ソフォスのファイアウォールに伝搬した。その後はサーバ上での通信がブロックされるため、C&Cサーバと通信するようなマルウェアの行動がブロックされる。さらに、その後しばらくするとサーバでクリーンアップ作業が行われ、ランサムウェアが駆除されると元の通り通信が行えるようになる。
ソフォス独自のプロトコル「Security Heartbeat」により、Intercept Xが見つけた脅威情報がファイアウォール製品にも伝搬され、該当サーバ/クライアントのネットワークを遮断する。クリーンアップ作業が完了するとリスクは消え、通信を復活させるところまで自動化が可能
さらに同製品では、根本原因の解析が可能だ。ダッシュボードではランサムウェアの元となるプログラムのプロセス名とともに、変更を加えようとしたファイルの数、そしてそのプログラムがどこからやってきたかが図示される。端末からのファイル駆除だけではなく、そのファイルがファイルサーバの共有フォルダからコピーされたことも図示されるため、根本的な対策が行えるという。
Intercept X for Serverはクラウド上に作成されるサーバに対してもポリシーを適用可能で、クラウド、オンプレミス混在の環境でも一括して管理が可能だ。ソフォスは、同製品により、復旧を含むインシデント対応の自動化を目指すという。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 毎月約7日間もの時間を取られているシステム管理者の希望は「自動復旧ができる仕組み」――ソフォス
@ITは、2018年6月8日、福岡で「@ITセキュリティセミナー」を開催した。本稿では、ソフォスの講演「攻めのインシデント対応 〜シンクロナイズドセキュリティ〜」の内容をお伝えする。 - インシデント調査後になってしまう「駆除」フェーズを早期化、自動化するには――ソフォス
2018年2月15日に大阪で開催された@ITセキュリティセミナーで、ソフォスは、同社が提唱する「シンクロナイズドセキュリティモデル」の挙動と効果を解説した。 - ソフォス、UTMとエンドポイントの連携でセキュリティ運用を自動化
ソフォスは2015年12月9日、UTM(Unified Threat Management)アプライアンス製品「Sophos XG Firewall」の機能を強化し、エンドポイント向けセキュリティ製品と連携して被害の最小化を図る「Sophos Security Heartbeat」を実装した。