スローガン既存セキュリティ対策を補完する、標的型攻撃対策ソリューションスローガン付きブランドロゴ FireEye 標的型攻撃対策専用アプライアンス単色表示用白ヌキ用 FireEyeのコンセプト ※ 黒の四角い背景は白ヌキ状態を示すためのもので、デザインされたものではありません。一般的なサイバー攻撃は、使いまわしで既知のマルウェアなどが主に使われ、攻撃のプロセスも非常に単純です。IPS・ UTM・NGFWに代表される既存ソリューションで、攻撃に対するブラックリスト型の検知・防御が可能です。これに対して、標的型攻撃は、その標的専用に未知のマルウェアが作成されます。また、その攻撃のプロセスも既存のセキュリティソリューションに検知されない様に、複雑且つ高度化されています。既存のセキュリティソリューションだけでは、標的型攻撃を検知・防御出来ません。既存のセキュリティソリューション正式社名ロゴタイプ既知の攻撃・マルウェアと一致するかを照合するパターンマッチ検知 FireEyeセキュリティソリューション独自の仮想環境で、未知の攻撃・マルウェアを検知する動的解析既存ソリューション PortScan/Dos攻撃既知の攻撃 FireEyeは、従来のシグネチャベースのセキュリティ対策を補完し、セキュリティの完全性を高めます。標的型攻撃既知の脆弱性を突いたExploit FireEye 既知のマルウェアとその亜種未知の脆弱性を突いたExploit/未知のマルウェア標的型サイバー攻撃メール（添付ファイル/URL）主要な機能 FireEyeは、標的型攻撃からネットワークを保護する専用アプライアンス機器です。仮想実行エンジン(MVX)による未知のマルウェアの動的解析による検知、ならびに世界中のFireEyeによる検知情報をベースにしたC&Cサーバ情報共有クラウド(DTI-Cloud)により、コールバック通信を遮断します。仮想実行エンジン(MVX※) DTI-Cloud 機器内部イメージ全通信をキャプチャし、複数の仮想環境でマルウェアを実行して解析。仮想DNS 仮想Webサーバ世界中に導入されたFireEyeの仮想実行エンジンで検出した脅威情報やC&Cサーバの情報を、 DTI-Cloud※で収集し、最新の脅威情報を自社の機器にフィードバックします。仮想C&Cサーバ ※Dynamic Threat Intelligence Cloud コールバック通信先も仮想環境下で再現します。 ※Multi-Vector Virtual eXecution Engine 仮想クライアント導入実績国内海外 -大手を中心に約100社の実績テレビ局、新聞社、通信社、銀行、保険、金融工学、官公庁、製造業など -Fortune100企業の25%以上が導入 -40ヶ国以上、1500台以上の導入実績テレビ局、新聞社、通信社、インターネット検索サイト、金融、石油、ガス、官公庁など国内で80%以上の市場シェア（ITR Market Viewの2012年度売上ベースに基づく） 23 http://www.gsx.co.jp 製品ラインナップ/構成イメージ製品ラインナップ WebとEmailの混合攻撃（メール本文内URL） NXの構成イメージ DTIクラウドインターネット EX NX CM CM C&Cサーバ Web経由の攻撃 FX httpトラフィックをキャプチャし、仮想実行エンジンで解析。 Email経由の攻撃（添付ファイル） FW ※ミラーリングでの導入が一般的 AX 感染端末からの拡散詳細分析 FireEye NX ・HTTPトラフィックをキャプチャし、アプライアンス内の仮想実行エンジンの解析を基に、未知の脆弱性を突く攻撃やマルウェアを検知します。（入口対策）・FireEyeで見つけたC&Cサーバの情報を基に、C&Cサーバへの通信を検知、防御します。（出口対策） EX ・Emailの添付ファイルをアプライアンス内の仮想実行エンジンにて解析し、未知の脆弱性を突く攻撃やマルウェアを検知します。（入口対策）・攻撃メールを防御します。（MTAモードの場合） FX ファイルサーバに拡散、待機しているマルウェアを仮想実行エンジンの解析を基に検知します。 CM NX/EX/FXの情報を集約し、一元管理・他社で取得したC&Cサーバの情報を各機器に共有します。 AX 任意のURLやファイルを詳細分析します。 Proxy IPS クライアント FireEye製品アラート解析サービス(GSXオプション) アラート解析サービスは、通常運用時からGSXにアラートをメールにて共有、またFireEye製品に接続できる環境を設定頂きます。お客様が解析が必要と判断されるアラートについて、ご依頼を頂く都度解析を実施し結果をご報告させて頂きます。実施内容サービスの流れ項目内容ログ分析アラート発生に至るまでの経緯やその内容を、FireEyeの膨大なログの中から分析します。対象端末の特定アラート対象の端末情報（IP、ホスト名）を特定します。対象メールの特定アラート対象のメール情報（From、To、件名）を特定します。防御状況の確認不正通信に対するFireEyeの防御（リセットパケット送出）状況を確認します。マルウェアスキャン数十種類のアンチウイルスソフトによる検体スキャンを実施します。（マルウェア検体が入手できるアラートの場合のみ）イベント相関チェック関連するアラートとの突合を実施します。（アンチウイルスソフトのアラートを頂戴できる場合のみ）対応策の検討対応策を検討し、レポートとして提示します。 ※上記の実施内容は導入されたFireEye製品の種類あるいはバージョンにより異なる場合があります。また発生したアラート内容により実施内容も異なります。 ※上記の実施内容はFireEye製品のログから読み取れる情報を元に可能な限り実施します。 FAQ Q1 FireEyeを導入すると、ネットワークに負荷がかかって、パフォーマンスが低下しませんか？ Q2 SPAN/TAPモードでは、ミラーポートへの接続となりますので、既存ネットワークのパフォーマンスに影響は与えません。また、障害時にも、通信への影響は生じません。 Q3 FireEyeはC&Cサーバとの通信を検知するだけですか？発見後にC&Cサーバとの通信を防ぐことはできますか？ FireEyeがリセットパケットを送信し、C&Cサーバとの通信を遮断することが可能です。また、他製品との連携で遮断することも可能です。 FireEye製品ラインナップは全て導入する必要がありますか？ Q4 想定する脅威や予算に応じて導入するラインナップは選択可能です。C&Cサーバへの通信を水際で防止する為には最低限 NXを導入ください。自社の機器で発見した脅威情報やマルウェア情報を社外や日本国外に送信したくないのですが･･･送信はせず、全世界で検出された脅威情報やマルウェア情報を受信のみするライセンス体系もご用意しています。本カタログは、2014年4月時点における内容になります。 24 http://www.gsx.co.jp