Overview
標的型攻撃対策ソリューションである 「AhnLab MDS」 は、差別化された可視性およびサイバーキルチェーンを基盤に標的型攻撃への効果的な対応を可能にします。
特定の対象を狙った緻密かつ高度化した攻撃 (Advanced Persistent Threat、APT) は、以前より増加の一途をたどっています。
標的型攻撃は、主にメール・Web・エンドポイントを介して企業や機関に流入します。エンドポイントに直接侵入後、不正行為を働くランサムウェアもまた、攻撃経路の面では標的型攻撃の一種と言えます。
従来のセキュリティ脅威とは異なり、単一のセキュリティソフトウェアやセキュリティ装備だけでは、標的型攻撃への対応に限界を迎えています。近年、セキュリティソリューションの検知を迂回するため、巧妙な技術や様々な手法を複合的に用いた攻撃を展開し、莫大な被害をもたらしているのが現状です。
高度化・多角化し続ける標的型攻撃への効果的な対応に向け、最新攻撃に関する特性を多方面から考慮するとともに、従来のセキュリティソリューションと有機的に連携した、「サイバーキルチェーン (Cyber Kill-Chain)」 の確立が必要とされています。
また、どのような攻撃が、いつ、どこで、どんな目的を持ち、どの経路から侵入してきたのかを確認・対応するため、「脅威の可視化 (Threat visibility)」 の確保がまず求められています。
AhnLab MDS は、差別化された可視性およびサイバーキルチェーン (Cyber Kill-Chain) を基盤に、様々な攻撃侵入経路に応じ、最適化した対応策を提供する標的型攻撃対策ソリューションです。
ネットワークサンドボックスや専用エージェントを介し、様々な経路から流入する脅威に対し迅速な収集を行い、シグネチャベース・レピュテーションベース・非シグネチャ (signature-less) ベースなどのマルチエンジンを基盤に、従来の手法を用いる既知の脅威から未知の脅威、さらには新・亜種脅威にいたるまで、正確かつ効率的に検知・分析を行います。
主要機能
マルチエンジンベースにより、既知の脅威から未知の新・亜種脅威まで、様々な経路から流入してくる脅威の可視化、および正確かつ効率的な対応策を提供します。
1. 脅威および異常トラフィックの検知&分析
- 主要インターネットサービスにおけるプロトコルの収集・分析 – HTTP、SMTP、SMB / CIFS、FTP など
- 流入・流出ファイルに関する双方向トラフィックのモニタリング
- 仮想マシン (VM) ベース分析による新種マルウェアの診断
- 非実行型 (non-PE) マルウェア専用エンジンの搭載 - MS オフィス / HWP プログラムなど
- VM 分析過程、C&C 検知内容に対する PCAP ベースのパケットキャプチャおよび PCAP ファイルのダウンロード
- マルウェア感染 PC による有害サイトアクセスおよび C&C 通信の検知・遮断
2. メール基盤の脅威検知&隔離 (MTA)
- 不正または疑わしい添付ファイルおよび URL を含むメールの検知・自動隔離
- メールの添付ファイルに対する動的分析
- メール本文内の URL およびスクリプトに対する多次元分析
- 管理者コマンドによる隔離解除が可能
- ライセンス適用方式
3. 脅威への対応&駆除
- マルウェア感染が懸念されるホストに対し、マルウェアの駆除 (自動・手動) およびネットワーク隔離
- マルウェア分析中の実行型 (PE) ファイルに対する 「実行保留 (Execution Holding)」 機能
- マルウェア感染が懸念されるホストに対し、「疑わしいファイル抽出」 機能
- 必要時、削除されたファイルに対する復元が可能
4. 統合モニタリング&ログ管理
- ダッシュボードを介してセキュリティ状況および主要イベント情報の提供
- マルウェア流入状況および異常トラフィックの発生有無をリアルタイムで確認
- イベントの種類、IP アドレス、行為内容 (ファイル / プロセス / レジストリ / ネットワーク) などに対する詳細なログ提供
- 様々な分析レポートに関するテンプレートの提供
- コントローラーを介して提供されるエージェント機能・パッチアップデート機能
- 個別・全体ホストに対する告知事項の配信機能
- エージェント数の増減に対し、サーバーファーム式の拡張で柔軟に対応可能
- MDS エージェントの未設置ホストに自動配布
- 自動・手動 DB バックアップ
- 3rd party セキュリティ管理システム (SIEM、ESM) 連動のための syslog 転送
- AD (Active Directory) 連動による内部ユーザー情報の提供
特長
AhnLab MDS は、差別化された脅威の可視化 (Visibility) およびマルチエンジンベースの分析により、高度化した最新攻撃にも効果的に対応します。
1. 脅威の可視化 (Threat Visibility)
• ダッシュボードによる直観的な脅威推移および攻撃フローチャートの提供
- 脅威推移:脅威の種類 / 流入経路 / 拡散規模 / 検知および分析状況などの情報提供
- 攻撃フローチャート:脅威の種類 / 行為 / 攻撃段階応じた詳細情報および対応案の提示
• 動的コンテンツ分析 (DICA) をベースとしたアセンブリコードおよびメモリに関する詳細な分析レポートの提供
2. マルチエンジン分析 (Multi Engine-based Analysis)
• シグネチャベース・レピュテーションベース・非シグネチャ (signature-less) ベースなど、マルチエンジンによる脅威分析
- ランサムウェアおよび新・亜種脅威にいたるまで、正確かつ効率的に検知・分析
• 業界随一を誇る 「メモリ分析ベースのエクスプロイト (exploit) 検知技術」 適用
- 不正行為の種類および行為発生の有無に関わらず、マルウェア検知が可能
3. ネットワークおよびエンドポイントとの連携による脅威対応
• ネットワークサンドボックス分析、専用エージェントベースによるエンドポイント対応連携
• 専用エージェントを介して感染ホストをネットワークから隔離
- 脅威の内部拡散を遮断
• 実行保留 (Execution Holding、EH) 機能による疑わしいファイルの実行防止
- ランサムウェアの実行遮断
• マシンラーニングベースの 「疑わしいファイル抽出」 機能により、潜在型脅威にも対応
- エンドポイント内の疑わしいファイル収集および自動分析・対応
導入効果
AhnLab MDS は、最新標的型攻撃の 「ライフサイクル」 に応じて攻撃段階別・タイプ別に最適な対応を提供します。
1. サイバーキルチェーン (Cyber Kill-Chain) ベースの精巧な対応
AhnLab MDS は、サイバーキルチェーンをベースに、ネットワーク (インターネット)・メール・エンドポイントなど、様々な経路からの侵入による初期感染、また感染後の C&C サーバーとの通信による二次感染・内部拡散・情報流出などの不正行為、および隠匿・潜伏型の脅威にいたるまで、最適化された対応を提供します。
2. ネットワークおよびエンドポイントの有機的な連携による強固な対応
異常トラフィックの分析・遮断など、ネットワークレベルでの対応とともに、専用エージェントによるエンドポイントレベルでのマルウェア駆除、疑わしいファイルに対する 「実行保留 (Execution Holding、EH)」、疑わしいプロセスに関する分析などの機能を駆使することで、標的型攻撃に対しより能動的な対応を可能とします。
構成図/使用環境
構成図
企業の環境に応じて、AhnLab MDS を基本設置、または拡張構築することで、ネットワーク (インターネット)・メール・共有フォルダー・エンドポイントなど、様々な経路から侵入する最新脅威に効果的に対応できます。
製品仕様
AhnLab MDS
|
区分
|
MDS 5000B
|
MDS 10000B
|
MDS 20000B
|
|
最大スループット
|
2G
|
5G
|
10G
|
管理エージェント (推奨) | 1,000個 | 3,000個 | 6,000個 |
|
ログストレージ
|
SSD 1.92TB * 1ea.
|
SSD 1.92TB * 2ea.
|
SSD 1.92TB * 4ea.
|
|
RAID
|
未対応
|
Optional (デフォルト(default) : 未対応、RAID 1)
|
Optional (デフォルト(default) : 未対応、RAID 10)
|
|
NIC (ネットワークインターフェースカード)
|
NIC 2個装着可能 1GC 8 Ports
1GF 4 Ports 1GF 8 Ports 10GF 4 Ports
|
NIC 2個装着可能 1GC 8 Ports
1GF 4 Ports 1GF 8 Ports 10GF 4 Ports
|
NIC 2個装着可能 1GC 8 Ports
1GF 4 Ports 1GF 8 Ports 10GF 4 Ports
|
|
電源
|
550W Redundant
|
|
ラックマウント
|
1U
|
1U
|
1U
|
AhnLab MDS Manager
|
区分
|
MDS Manager 5000BR
|
MDS Manager 10000BR
|
|
管理
エージェント
|
総合型(DV + HC)
|
2,000個
|
5,000個
|
|
単位型(HC 専用)
|
5,000個
|
10,000個
|
|
CPU
|
1 * 3.30GHZ、6Core
|
1 * 3.40GHz、8Core
|
|
RAM
|
32GB
|
64GB
|
|
HDD
|
2 x 1TB、2 x 2TB
|
2 x 2TB、2 x 4TB
|
|
RAID
|
RAID 1
|
RAID 1
|
|
ネットワークインターフェース
|
1GbE 2 Ports (Copper)
|
1GbE 2 Ports (Copper)
|
|
電源
|
400W Redundant
|
800W Redundant
|
|
ラックマウント
|
1U、19 inch
|
2U、19 inch
|
|
サイズ(WxDxH)
|
437 x 503 x 43 mm
|
437 x 647 x 43 mm
|
※ DV (Data Viewer) : 総合モニタリングおよびログ管理
※ HC (Host Controller) : MDS Agent 総合管理 / エージェント追加時、MDS Manager 追加必要
AhnLab MDS Analysis Manager
|
区分
|
MDS Analysis Manager
|
|
タイプ
|
ソフトウェア
|
|
OS
|
CentOS 7.9
|
|
最小仕様
|
CPU: 8Core、3.0GHz、MEM: 24GB、HDD: 2TB、SSD: 1TB
|
|
推奨仕様
|
CPU: 16Core、2.4GHz、MEM: 64GB、HDD: 4TB、SSD: 2TB
|
|
特徴
|
マルチテナント機能対応、Agent & MTA 管理未対応(アップデート予定)
|
|
マルチテナント
|
管理サイト最大 100個対応
|
AhnLab MDS Agent
|
区分
|
OS
|
|
Client PC
|
Windows 7 SP1 (KB4490628、KB4474419 パッチ環境) Windows 8(8.1) / 10 / 11
|
|
Server
|
Windows Server 2008 SP2 (KB4493730、KB4474419 パッチ環境)、
Windows Server 2008 R2 SP1 (KB4490628、KB4474419 パッチ環境)、
Windows Server 2012 / 2016 / 2022
|
※ 上記の OS 32/64 bit をサポートします。
