新しいEDR機能を次世代サイバーセキュリティソリューション全体に拡張し、最も包括的で統合された脅威検知対応システムを構築するSophos XDR
次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、業界で唯一、ネイティブ・エンドポイント、サーバー、ファイアウォール、およびメールセキュリティを同期して連携させる業界唯一のXDR(Extended Detection and Response)ソリューションであるSophos XDRを発表しました。Sophos XDRは、その包括的な統合型アプローチにより、豊富なデータセットと詳細な分析機能を活用して脅威の検知、調査、および対応が可能となり、組織のITインフラ全体にわたるセキュリティ可視化を実現します。
ソフォスの最高製品責任者のDan Schiappaは次のように述べています。「高度に複雑なランサムウェアやサイバー犯罪が非常に多く発生しており、効果的かつ包括的なサイバーセキュリティ対策がかつてないほど急務となっており、必要不可欠となっています。Sophos XDRは、複数のアクセスポイントを利用して侵入し、ネットワークを移動して検知を回避し、可能な限り迅速に大きな被害を与えるような、非常に巧妙で回避型の攻撃を未然に防御する画期的なソリューションです」
増強される攻撃手法
ソフォスは、本日、新たな調査レポート「ProxyLogonの脆弱性を利用する攻撃を阻止する作戦」(日本語準備中)を公開しました。このレポートでは、ProxyLogonエクスプロイトを使用してExchange Serverを乗っ取り、大企業を攻撃とした事例について詳細に説明しています。今回の調査では、攻撃者がネットワーク内を水平に移動して、2週間にわたり、アカウント情報の窃取、ドメインコントローラの乗っ取り、複数のマシンでのさらなる攻撃の足掛かりの構築、ハッキングしたマシンへのアクセスを維持するための商用リモートアクセスツールの展開、悪意のある複数のプログラムを配信した方法について説明しています。
Dan Schiappaは次のように述べています。「このレポートで説明しているように、攻撃者は何度も繰り返し戻ってきて標的を攻撃しています。異なるツールを使用する場合もあれば、Cobalt Strikeなどの同じツールを複数のマシンに展開する場合もあります。この攻撃者は、脅威ハンターが攻撃の痕跡として通常検出している標準的なRDPではなく、市販のリモートアクセスユーティリティを使用していました。当レポートでは、人間が手動で行っているサイバー攻撃が複雑であること、そして、いくつもの段階と攻撃方法を組み合わせたインシデントは、ITセキュリティチームにとって追跡して防止することがいかに困難であるかを説明しています。標的となったこの企業は、自社のさまざまな場所で波状的に展開された攻撃に対応することができませんでした。ソフォスが公開した『ランサムウェアの現状(2021年版)』では、このようなインシデントが多く発生している状況が示されています。調査対象となったIT管理者の54%以上が、サイバー攻撃が高度化しており自社のITチームだけでは対応できないと考えています。XDRは、このような状況の中で極めて重要な防御機能を担います」
豊富なデータセットを利用した詳細な脅威分析
Sophos XDRは、ソフォスの次世代ソリューションのポートフォリオ全体の可視性を高め、脅威の詳細情報を提供します。Sophos XDRの中核となるのは、セキュリティ業界でも最も充実したデータセットです。Sophos XDRでは、最大90日間分のデバイスに保存されるデータに加え、30日間の各製品の連携から生成されクラウドベースのデータレイクに保存されるデータなど、2種類のデータが提供されます。 オンデバイス・フォレンジックとデータレイク・フォレンジックを融合させた独自のアプローチにより、最も幅広く、最も深いコンテキストを持つ高度な知見を提供します。この知見は、セキュリティアナリストが Sophos Central を介して、またオープンなアプリケーションプログラミングインターフェース (API) を介して、セキュリティ情報・イベント管理 (SIEM)、セキュリティオーケストレーション・オートメーション・レスポンス (SOAR)、プロフェッショナル・サービス・オートメーション (PSA)、リモートモニタリング・管理 (RMM) システムに取り込み、活用することができます。
データレイクには、Intercept X、Intercept X for Server、Sophos Firewall、およびSophos Emailから収集される重要な情報が保存されます。今年後半には、Sophos Cloud OptixとSophos Mobileからも、このデータリポジトリにデータが提供されるようになります。セキュリティチームやITチームは、これらのデータに簡単にアクセスして、製品を横断して脅威ハンティングを行ったり、過去から現在までの攻撃者の活動に関する詳細な情報を迅速に把握できます。また、履歴データにオフラインでアクセスできるようになることから、紛失したデバイスや攻撃の影響を受けたデバイスに対する保護が強化されます。
また、ソフォスは本日、業界最高水準のエンドポイントの検出応答システムであるSophos EDRの新バージョンもリリースしました。定期的に実行される新しいクエリや、カスタマイズ可能なコンテキスト・ピボット機能により、セキュリティアナリストやIT管理者は、セキュリティ問題を迅速かつ正確に特定、調査、対応することが可能になります。ユーザーは、構成済みの新しいクエリや、SophosLabs Intelixとの統合でもたらされる強力な脅威インテリジェンスを利用できます。Sophos EDRをご利用のお客様は、90日間分のデバイスデータに加え、データレイクにある7日分のクラウドホスティングデータ(30日分にアップグレード可能)にもアクセスできます。
Ted BakerのサイバーセキュリティアナリストであるAlistair Knowles氏は次のように述べています。「当社は、世界各国に数百の店舗を展開している英国最大級のファッションブランド企業であり、セキュリティは常に最優先で取り組むべき課題です。当社は、顧客のデータを保護することに全力を尽くしています。セキュリティ対策では、まずネットワークを高度な脅威から保護することから始めています。Sophos XDRは、貴重なエンドポイントデータを可視化する重要な機能を提供し、実際に被害をもたらす前に脅威を検出して阻止します。新しいデータと過去のデータの両方を簡単に利用できるため、干し草の山の中にある針のようなインシデントでも簡単に探し出し、その影響範囲を判断できます。例えば、Splunkのようなソリューションと統合すれば、さらに深い知見を得ることができます。脅威を無力化するために必要なフォレンジック調査を実施する能力を得ることができました。さらに、ソフォスのLive Response機能によりリモートから問題を修復できるようになりました。この機能は現在のテレワーク環境で必須となっています」
進化するサイバーセキュリティ:適応型サイバーセキュリティ・エコシステム
Sophos XDRとEDRは、ソフォスの適用型サイバーセキュリティ・エコシステム(ACE)の一部であり、脅威の予防、検知、対応を最適化する革新的なセキュリティアーキテクチャです。Sophos ACEは、自動化と分析機能に加え、ソフォス製品、パートナー、お客様、開発者の意見を総合的に取り入れながら、継続的に改善できる保護機能を実現し、学習と進化を繰り返し、好循環を生み出しています。
Sophos ACEは、ソフォスのソリューションやサービスから得られる実用的な知見と、SophosLabs、Sophos AI、およびSophos Managed Threat Responseチームの脅威インテリジェンスを相関させて、データレイクを構築しています。 オープンAPIにより、お客様、パートナー、開発者は、ソフォスのシステムと連携するツールやソリューションを構築したり、既存の統合機能を活用したりできます。 ソフォスは、このアプローチにより業界をリードしており、すでに多くのベンダー製品と統合しています。
先述のSchiappaは次のように述べています。「攻撃者はこれまで以上に狡猾になっており、検知を回避する術を身につけています。このような攻撃の進化に対応する唯一の方法は、挙動やイベントを分析して迅速に対応するAIによるオートメーションと、不審なシグナルを相関させて本当の攻撃であるかどうかを判別する人間のアナリストの能力を組み合わせることです。ソフォスの適用型サイバーセキュリティ・エコシステムは、高く評価されているソフォスのSynchronized Securityのアプローチを進化させたものであり、複雑な課題であってもスマートに解決できます。このスマートエコシステムは、つながり合うビジネスとオンライン環境を保護するために設計されています。昨年からテレワークやクラウドの急速な採用が余儀なくされており、このようなスマートエコシステムが今まさに求められています」
提供開始時期について
Sophos XDR、およびIntercept X Advanced with EDRとIntercept X Advanced for Server with EDRのEDR機能のアップデートは、ソフォスのパートナー企業を通じて、5月19日から全世界で利用可能になります。パートナーやお客様は、すべてのXDRおよびEDR製品を、クラウドベースのSophos Centralプラットフォーム上で、単一のユーザーインターフェースから簡単に管理できます。