Darktrace(ダークトレース)

概要

内部ネットワーク上に存在するデバイス・ユーザの行動を監視し「未知の脅威」を検知

サイバー攻撃が複雑・多様化し、情報漏えいなどの被害が深刻化する中、被害を未然に防ぐには、外部からの攻撃阻止や内部犯行によるリスク低減に努めるとともに、未知の脅威をいち早く検知し、その対策を行う必要があります。

Darktrace(ダークトレース)「Enterprise Immune System」は通常とは異なる通信パターンをAIによる機械学習と数学理論を用いた通信分析で自己学習し、ネットワーク内の異常通信・行動をリアルタイムに自動検知・可視化します。また、運用面で課題をお持ちのお客様に対しては、「Darktrace監視運用サービス」をご用意しております。これにより、未知のサイバー攻撃に対する早期対策やセキュリティレベルの向上を強力に支援いたします。

Darktrace「Enterprise Immune System」の概要図

既知の攻撃 境界防衛:Fire wall IDS/IPS/WAF Web Filter Anti Virus など エンドポイントセキュリティ 未知の攻撃 検知+分析:DARKTRACE ENTERPRISE IMMUNE SYSTEM(お客様ネットワーク) インシデント対応 DARKTRACEは境界防衛、インシデント対応にフィードバック

Darktrace監視運用サービス

Darktraceの検知したアラートの報告/調査サービスをご提供します。 報告対象のアラート内容を確認し、原因および影響調査後にメールにてご報告します(標準サービス)。

お客様環境:DARKTRACE 内部機密サーバ クライアント端末 1お客様環境からのアラート Secure OWL Center:セキュリティアナリスト 2アラート内容の確認 3原因・影響調査 4当社よりご報告(調査結果・対処方法) お客様 5報告内容を確認 6対応策の検討・実施

監視運用サービスメニュー

平日営業時間 夜間休日時間
対応時間 当社稼働日 9:30~17:30
15時までに発生したアラートは当日対応
当社稼働日時間外、土日祝日
対象アラート 高危険度(70%以上)
検知トリガー アプライアンスからのアラートメール受信
検知後アクション
  • アラート内容確認
  • 原因および影響調査
  • 貴社セキュリティ担当者様にメール連絡
  • 貴社セキュリティ担当者様に電話連絡
    • 発生連絡となり原因および影響調査は含みません。
    • アラート1件につき、お客様連絡先(最大3名)に順に1回電話連絡
対応件数
  • 30件/月を想定
    • 想定件数を超える場合は、翌月に超過分をご発注いただきます。
  • 10件/月を想定
    • 想定件数を超える場合は、翌月に超過分をご発注いただきます。

報告内容イメージ

[報告内容 ※サンプル]

【アラートNo】:24801/24802
【検知日時】:2017年1月19日 10:00:00
【検出脅威】:Data Sent to Rare Domain(75%) / Download and Upload(78%)

【検知内容】
対象端末より、短期間に内部サーバのポート番号 445 に対して SMB 接続し、約1.1GBのデータをダウンロード、同量のデータをまれな外部の通信先へアップロードした通信を検知しました。このような挙動は社内のデータが外部に流出される不正な行動である可能性があるため、注意すべき事象であるとしてDarktraceによって検知されました。

  • 対象端末:PC001(172.16.1.1)
  • 内部サーバ:SV001(192.168.100.1)
  • 通信先:storage-kccs.co.jp(xxx.xxx.xxx.xxx)

内部サーバから読み取りに成功したファイルは以下となります(一部抜粋)
SMB Read Success - share=¥¥192.168.100.1¥share file=customer¥ABC 株式会社¥運用¥個人情報¥DE本部¥34950284_201701.csv [445]
SMB Read Success - share=¥¥192.168.100.1¥share file=customer¥ABC 株式会社¥運用¥個人情報¥FG本部¥34950285_201701.csv [445]

【確認事項】
外部への情報漏えいや社内ポリシーで許可されていない操作である可能性があります。当該端末の利用状況や操作ログを確認し、このデータ転送が業務上想定されたものであったかを確認することを推奨します

  • 監視対象アラート、対応件数は、導入時のチューニングにて決定します。
  • 報告会、レポート作成は含まれておりません。

特長

1.ベイズ推論・機械学習を用いた通信分析

ベイズ推論・機械学習といった高度な数学モデルを用いた通信分析により、正常な通信パターンと通常とは異なる通信パターンを自己学習します。

これまでのセキュリティソリューションでは、既知の攻撃パターンを定義したシグネチャ(*1)に基づく攻撃検知方式が用いられてきましたが、Darktrace「Enterprise Immune System」はシグネチャを必要としない新たなアプローチで、デバイスやユーザ動作のわずかな変化を検知し、デバイスのマルウェア感染、従業員による不適切な行為など、脅威となる可能性があるイベントを検出します。

(*1)シグネチャとは、既知のウイルスなどのプログラムコードの一部分のこと。コンピュータウイルスなどの検知・識別に用いられる。

2.時系列で通信状況を分析可能にするThreat Visualizer

Darktrace「Enterprise Immune System」で検知したイベントは、Threat Visualizerの対話型インターフェイスによりさまざまな観点で分析することが可能です。検出したイベントが発生しているデバイス単体の詳細情報から、接続先ネットワークの情報まで時系列で遡り一連のイベントの発生状況を画面上で再現します。また、通信パケットの情報をエクスポートすることも可能ですので、詳細なフォレンジック分析による調査も可能です。

Threat Visualizer 利用イメージ

3.オフィスだけでなく工場などのIoT/M2Mセキュリティにも利用可能

デバイスの種別を問わず検知が可能なことから、オフィスの内部サーバ、ネットワーク機器、クライアント端末だけでなく、工場内の各種デバイスなどIoT/M2Mセキュリティ対策にも有効です。

DARKTRACE オフィス:内部機密サーバ クライアント端末 工場など:IoTデバイス

4.Darktrace「Enterprise Immune System」で検知した脅威の例

ボットネットへのリモートアクセス

ボットネットは、マルウェアに感染したコンピュータで形成され、攻撃者によって制御されたネットワークです。攻撃者は、クレジットカードの詳細情報の収集、企業の機密データの窃盗、電子メール攻撃など、さまざまな悪質な行動のためにボットネットを使用します。
一部のマルウェアは、実行プロセスを非表示にする、サンドボックスに検知されないように適応するなど、複雑なアルゴリズムでホストでのセキュリティツールやアンチウイルスソフトを巧妙に回避するため、従来のセキュリティツールで検知することは非常に困難です。
Darktrace「Enterprise Immune System」は、コンピュータの行動モデルを作成し、行動の変化を抽出することで、マルウェアの痕跡を発見しました。

ドメイン生成アルゴリズム

特定のマルウェアでは、コントロールサーバを隠ぺいする手法として、「ドメイン生成アルゴリズム」という手法が使用されています。ドメイン生成アルゴリズムは、ランダムに大量生成されたドメインを使い捨て、現在のコントロールサーバのドメインを特定できないようにする手法です。これによりセキュリティ担当者は不正URLのブラックリストなどによる防御が非常に困難になります。
Darktrace「Enterprise Immune System」は、このドメイン生成アルゴリズムの使用を異常な挙動として検知し、未知のマルウェアを発見しました。

内部犯による異常なファイルダウンロード

従業員がその権限を乱用して機密情報を持ち出す際には、大量のデータダウンロードなど、通常の利用とは違ったファイル転送が発生します。しかし、このようなデータ通信を通常の通信と区別し、異常を察知することは困難です。
Darktrace「Enterprise Immune System」は、端末ごとに行動モデルを作成することで、普段の利用方法とは異なる異常な通信を検知しました。

個人持ち込みデバイス(BYOD)へのフィッシング攻撃

フィッシング攻撃とは、正規の問い合わせやビジネス上のやりとりであるかのように装った電子メールを送付し、そこに埋め込まれた悪質なリンクや添付ファイルをユーザにクリックさせる攻撃です。
フィッシング攻撃は高い成功率を有することがよく知られており、公開された企業の問い合わせ窓口のほか、個人デバイスがしばしばターゲットにされます。個人持ち込みデバイスの電子メール通信は、企業の境界防御によって守られた社内メールに比べて防御が薄く、よりフィッシング攻撃の危険に晒されます。
Darktrace「Enterprise Immune System」は、社内ネットワークに接続された個人持ち込みデバイスによる、業務外の電子メールダウンロードを検知しました。

無償トライアルのご案内

netskope 無償 評価プログラム(PoV)

4週間・無償でご利用いただける評価プログラムをご用意しています。
Darktraceの効果を実際にお確かめください。

短期間で評価機を導入可能!
お申し込み後、評価機のご利用に必要な情報をお伺いするヒアリングシートに回答いただき、当社にて初期設定を行います。導入作業はタップもしくはミラーポートへの接続などを含め、約1~2時間で完了します。

事前にご準備いただく必要があります。

お客様環境のセキュリティリスクを週次レポート!
発見したセキュリティリスクをまとめたセキュリティレポートを毎週提供(合計3回)。
お客様環境におけるセキュリティリスク改善にご活用いただけます。

レポート作成には、Darktrace社へのリモート接続(22/tcp)が必要です。

トライアルお申し込み別ウィンドウで開きます

導入事例

Darktrace社について

Darktrace Limited(Darktrace)は、世界経済フォーラムにて“テクノロジー・パイオニア”に選出された世界をリードするサイバー防御企業の1つです。エネルギーおよび公益事業、金融サービス、ヘルスケア、電気通信、製造、小売り、輸送を含む産業分野の世界的大手企業がDarktraceの自己学習型アプライアンスを使用しています。
詳細は、URL:https://www.darktrace.com/別ウィンドウで開きますをご覧ください。

関連動画

AI型セキュリティ免疫システム
Darktrace「Enterprise Immune System」のご紹介
(再生時間:3分24秒)

価格

「お問い合わせ・資料請求」より、お問い合わせください。

カタログダウンロード

京セラコミュニケーションシステム(KCCS)は、セキュリティブランド「SecureOWL」を展開しています。
鋭い眼光と広い視野で暗闇でも見通すフクロウ(OWL)をブランドのキャラクターとしました。お客様の環境を監視し、大切な情報を守るためのセキュリティソリューションを提供します。