標的型マルウェア解析ツール Lastline Analyst 従来型のサンドボックス製品が採用している仮想OS技術を使った分析環境とは一線を画す、 「Full System Emulation」による高精度なマルウェア解析をオンデマンドに利用すること ができるのがLastline Analystです。 Lastlineのサンドボックス環境はCPU、メモリを含むハードウェア全体をエミューレートす ることで、分析を回避する高度なマルウェアの挙動を高精度に検知することができます。 マルウェアの疑いのあるファイル及びURLを分析 ファイルの分析 ①ファイルを指定 ②解凍パスワードがある場合は入力 URLの分析 ③分析結果を表示 ①URLを指定 ②分析結果を表示 構成要件の厳しさ 利用形態はクラウドとオンプレミスから選択可能 高 分析用データは一切社外に出したくない On-Premise (オンプレミス版) 低 分析用データが外部に出ても良い 安価に標的型攻撃対策を実施したい Hosted (クラウド版) 標的型マルウェア分析ツール Lastline Analyst 想定される利用シーン サンドボックス製品を未導入のお客様 • アンチウイルスソフトが検出できなかった怪しいファイルの分析 • ユーザからファイルの安全性について問い合わせを受けた際の調査ツール 知り合いから急にファイルが メール添付で送られてきたんだ けど、開いても大丈夫? PCヘルプデスク 業務に活用 できます。 この添付ファイル、開いちゃっ たんだけど、大丈夫だったか調 べてくれない? 他社製サンドボックス製品を導入済みのお客様 • 既設サンドボックスの分析結果情報が不十分だった場合の再評価(グレーな情報を白黒 判定するために必要な追加情報を提供) サンドボックスでの分析が途中 で終了しているように見えるん だけど、どう判断しようか? より客観的な リスク評価に 活用できます。 この検体、明らかに怪しいんだ けれど、導入しているサンド ボックスが回避されているん じゃないの? Lastlineの特長 マルウェアにとっての回避しにくさ → CPU、メモリなどのハードウェアを含む、 コンピュータ全体をエミューレート 効果① 環境を確認されることによって分析 システムであると判断される論理的な ポイントが無い (Hypervisorは存在しない、仮想OSやEmulate されているOSでは無い) 効果② サンドボックス環境をプログラムとし てカスタマイズでき、ハードウェアの 実装や環境を再現することができる マルウェアの挙動を把握できる度合い 効果③ 全てのレイヤーが分析対象となる ため、マルウェアによる挙動を網 羅的に捕らえることができる (LoopやSleep処理、Kernelやデバイスドラ イバーの偽装を含む) ※ ※ ※ 記載の会社名および製品名は各社の商標または登録商標です。 記載製品の仕様は予告なしに変更される場合があります。 記載の内容は2016年5月のものです。 VM及びOS Emulation ベースのサンドボックス で分析できる範囲 Full System Emulationで 分析 できる範囲 netXデータセンター事業本部 セキュリティサービス部 Tel: 03-5166-1764 Fax: 03-5166-1789 E-mail: [email protected] URL: http://www.scsk.jp/sp/sys/
© Copyright 2024 ExpyDoc
