本記事の内容は、以下のCato Networks社の記事を元に日本語へ意訳し、再構成したものとなります。
CatoクラウドのDNS Securityは、セキュリティオプション「Threat Prevention」に含まれます。
また、Remoto Browser Isolation(RBI)については、Catoクラウドのセキュリティオプション「RBI」となります。
それでは、DNS SecurityとRBIについて解説します。
Cato DNS Securityについて
CatoのDNS Securityは、すべてのDNSトラフィックを検査し、プロトコルのトラフィックに隠れた悪意のあるDNSアクティビティを防止し、接続が行われる前に悪意のある宛先へのDNSリクエストをブロックします。
AIベースのDNS検査がインラインフィッシング対策を実現
フィッシングは、すべてのCISOが懸念する攻撃のトップです。
Catoのグローバルで膨大なデータレイクを用いて、AIとMLアルゴリズムを継続的にトレーニングすることで、CatoのDNS Securityは、ドメインの不法占拠やその他のWebサイトのなりすましの試みをインラインで識別できるようになります。これは、Webページコンポーネント、ドメインエイジ、人気度、フィッシングサイトで使用されるツールキットに関連するパターンのリアルタイム分析によって実現されます。このフィッシング攻撃のインライン検知は、クレデンシャルハーベスティング(資格情報の搾取)、マルウェア配信、機密データの損失防止に役立ちます。
接続前に悪意のあるドメインとC&Cサイトをブロック
マルウェアをリモートで管理するコマンド&コントロール(C&C)サーバをホストする悪意のあるサイトの数は膨大です。攻撃者は、検出やブラックリスト入りを避けるために、サイト間でC&Cサーバーを絶えず移動させています。CatoのDNS Securityは、Catoのタイムリーかつ継続的に最適化された脅威インテリジェンスシステムを使用して、悪意のあるドメインとC&Cサイトを特定し、それらへのトラフィックとそれらからのトラフィックをリアルタイムでブロックします。CatoのDNS Securityを使用することで、企業は何百万ものWebベースの攻撃にさらされる機会を劇的に減らすことができます。
DNSトンネリングによるデータ損失と悪意のある活動を阻止
DNSトンネリング攻撃は、データ流出やC&Cアクセスの手法として、DNSトラフィックがセキュリティ制御を通過する必要性を利用しています。CatoのDNS Securityは、パケットサイズ、レコードタイプ、ユニークなサブドメインの比率などのDNSリクエストプロパティを分析し、DNSトンネリング攻撃の異常や指標を特定します。CatoのAI/MLアルゴリズムは、DNSトンネリングを識別するために継続的に訓練されており、脅威行為者やドメイン名に関する特定の知識に依存しない保護を可能にします。
暗号通貨マイニングからのリソース流出を防ぐ
暗号通貨マイニングは、システムの不安定化、ユーザーエクスペリエンスの低下、組織のコスト増につながる金銭的利益を得るために、侵害された企業のエンドポイントを使用します。Catoは、専用のルールとヒューリスティックを活用して、暗号通貨マイニングに使用されるドメインを特定し、これらの宛先へのDNSリクエストをブロックします。Catoにより、企業はユーザーの生産性とセキュリティを不正使用による影響から保護します。
新規登録ドメインのブロックでリスク軽減
悪意のあるドメインはすぐに特定され、分類されるため、ほとんどのセキュリティエンジンでカテゴリーベースのブロックが行われます。攻撃者は、カテゴリベースのセキュリティ制御を回避するために新しいドメインを登録します。CatoのDNS Securityは、14日未満のドメインをリアルタイムで識別し、アクセスをブロックします。新しく登録されたドメインのほとんどは悪意があるか疑わしいものであるため、これらをブロックすることで、攻撃対象が減少し、ユーザーへの影響を最小限に抑えながらセキュリティ態勢が改善されます。
DNSセキュリティの脅威とイベントを完全に可視化
すべての脅威アクティビティはCatoのデータレイクに記録され、管理者は単一のコンソールから必要な脅威情報に即座にアクセスできます。DNS Security イベントは、DNS保護に関連するすべてのイベントへのフィルタリングとドリルダウン機能を備えたセキュリティ脅威ダッシュボードに表示されます。セキュリティチームは、複数のデータソースを集約したり、複数のコンソール間を移動したりすることなく、組織に対するDNSの脅威を迅速に理解し、評価することができます。
Cato Remote Browser Isolationについて
Remote Browser Isolation(以下、RBI)とは、安全で隔離された環境で未知のWebサイトへのアクセスを行うことで、セキュリティとユーザーの生産性のバランスをとります。インスタントオン(即時起動)RBIにより、管理者はブロックされたサイトへのアクセスを要求するチケットを大幅に削減でき、ユーザーは安全で合理化されたエクスペリエンスで中断のない生産性を享受できます。
クラウド型セーフブラウジングの即時導入
Cato RBI は、追加のハードウェアやソフトウェアを導入することなく、すべてのロケーションとユーザーに対して、わずか数クリックですぐに有効にすることができます。カテゴライズされていないWebサイトへのアクセスは、自動的にリモートセッションで隔離され、Webコンテンツのグラフィカルな表示がユーザーのブラウザにストリーミングされます。
Webベースの攻撃リスクの低減
Webブラウジングは、コードがユーザーのデバイス上でローカルに実行されるため、マルウェアの配信、クレデンシャル情報の盗難、その他の悪意のある行為を可能にする可能性があり、重大なリスクをもたらします。RBIは、コンテナ化された環境でサイトをレンダリング(データ処理し映像を表示させる)し、セッション終了時に完全に破棄することで、Webサイトのコードをエンドポイントから分離します。このプロセスは、ユーザーに対してシームレスかつ透過的に行われ、悪意のあるコードがデバイスに到達するのを防ぎます。
リスクの高いWebアクセスパターンの管理と制御
管理者は、インターネットアクセスのパターンとリスクを理解し、どのサイトにRBIが読み込まれ、どのユーザーが最も頻繁にRBIを使用しているかを追跡・監視する必要があります。Catoは、管理者が統合イベントログを簡単にフィルタリングし、宛先、ユーザーID、ボリューム、その他のメトリクスに基づいてRBIイベントを追跡することを可能にします。RBIポリシーは、企業固有のニーズに合わせて微調整できる。管理者は、Cato管理アプリケーション(CMA)を使用して、調査やトラブルシューティングのためにRBIを手動で読み込むことができます。
フィッシングやランサムウェアに対する重要な防御策
未定義サイト(Undefined)や未分類サイト(Uncategorized)は、フィッシングキャンペーンやランサムウェアの配信によく使用されます。Cato RBIは、完全に隔離された環境で未定義サイトや未分類サイトを自動的に起動し、ユーザーデバイスとの間でデータやファイルが転送されるのを防ぎます。その結果、RBIはこのようなWebサイトを脅威のベクトルとして排除し、労力ゼロでユーザーの生産性に影響を与えることなく、フィッシングやランサムウェアから組織を大幅に強力に保護します。
まとめ
CatoクラウドのDNS SecurityとRBIの記事をご紹介させていただきました。
Catoクラウドに少しでも興味をお持ちになられた方は、遠慮なくSCSKまでお問い合わせください。
SASE、Cato Networks社、Catoクラウド(Cato Cloud/Cato SASE Cloud)自体の知名度もまだまだ低い状況です。
SCSKでは、2021年からSASEの主要ソリューションを一同に紹介を行うオンラインセミナー「SCSK SASE Solution Summit(通称S4 エスフォー)」を定期的に開催しております。これまで14回開催し、1,800名以上の方にご参加いただいております。
S4については、次回2024年4月以降に開催する予定ですので、改めてご案内します。
来月、2024年3月14日に、Catoクラウドの主要機能を2時間・デモ形式でご覧いただけるセミナーを開催しますので、ご興味のある方は是非ご参加ください。
SASE、Catoクラウドセミナー以外に、Catoクラウドのお客様導入事例の制作、FAQサイト運営、この TechHarmony(技術ブログ)で、皆様のお役に立て、Catoクラウドの知名度アップに少しでも貢献できればと考えております。