本記事の内容は、以下のCato Networks社の記事を元に日本語へ意訳し、再構成したものとなります。
Cato Networks社は、2024年2月5日に、端末のマルウェア対策であるEndpoint Protection (EPP)と、SASEのネットワークのログだけでなく、エンドポイント(EPP/EDR)も含めた様々なログを統合し、総合的に分析しインシデント対応を一元化するExtended Detection and Response (XDR)をリリースしました。
Cato EPPは、これまでのSASEとしてのネットワーク層を超え、エンドポイントにまでセキュリティ範囲を拡張する製品となり、Cato管理アプリケーション(Cato Management Application、以下、CMA)に完全に統合され、クラウドネイティブな他のセキュリティスタックと連携して動作します。
Cato XDRは、世界初のSASEベースのXDR(Extended Detection and Response)です。Catoクラウドのセキュリティ機能である NGFW、SWG、IPS、NGAM、DNS Security、CASB、DLP、RBIの各種データを始め、Cato EPP、さらに、Microsoft Defender、CrowdStrike、SentinelOne などの主要EDRソリューションと連携により、エンドポイントからネットワークにまたがる豊富なネイティブセンサーから収集される上質なデータから、脅威の探索・検出・対応に単一の共有コンテキストを提供することが可能になります。
それでは、CatoクラウドのEPPとXDRについてご紹介します。
Cato EPPについて
Cato エンドポイントプロテクション(EPP)は、高度なマルウェア、回避型攻撃、ゼロデイ脅威からエンドポイントを保護する世界初のSASE管理型EPPソリューションです。
Cato EPPは、CatoのマルチレイヤーSASEアーキテクチャにエンドポイント保護と検出機能を追加し、管理オーバーヘッドを削減し、セキュリティチームの効率を高め、企業のセキュリティ体制を改善します。
ファイル実行前とランタイムでマルウェアを阻止
Cato EPPは、アーカイブやパックされたファイルを含む300以上のファイルタイプをスキャンします。高度なルールベースの分析と機械学習アルゴリズムを使用し、ファイルの特性分析に基づいて、既知のマルウェア、ポリモーフィック、ゼロデイマルウェアを識別します。Cato EPPは、ヒューリスティックとプロセス行動分析を使用して、疑わしい悪意のあるアクティビティをリアルタイムで検出します。この機能により、システムメモリ内で直接動作するファイルレス・マルウェア、回避型エクスプロイトやゼロデイ攻撃、正規のツールを悪意のある目的に活用する Living Off The Land (※) 攻撃の検出と防止が可能になります。攻撃対象領域をさらに最小化するために、Catoはデバイス制御によってUSBドライブの使用をブロックすることができます。
(※)Living Off The Land(環境寄生型)とは、対策側の監視や調査を回避することを目的として、持ち込んだ正規ツールの悪用や被害者の環境にあるシステムを悪用する、痕跡を残さない攻撃手法。
侵害されたエンドポイントに対する柔軟な封じ込めオプション
マルウェアによる潜在的な被害を最小限に抑えるには、脅威へのリアルタイムな対応が不可欠です。しかし、自動化されたレスポンスとユーザの生産性の間には、微妙なバランスが必要です。Catoは、脅威のブロック、ファイルの隔離、プロセスの終了など、組織のセキュリティ要件に合わせて封じ込めポリシーを調整できる柔軟性を管理者に提供します。
EPPをSASEに統合し、セキュリティ管理を合理化
Cato EPPは、Cato管理アプリケーション(CMA)を通じて完全に管理され、他のすべてのCatoクラウドのプラットフォーム機能とシームレスに統合されています。管理者は、ユーザーデータ、ネットワーク情報、およびセキュリティポリシーが統合された統一コンソールから、保護されたエンドポイントを監視できるという利点があります。Cato EPPにより、管理者はスタンドアロンのエンドポイント保護ソリューションを統合、維持、管理する必要がなくなります。すべてのEPPイベントとアラートがCatoクラウドプラットフォームのネイティブな一部となったため、手動によるSIEM統合も不要になりました。
迅速な導入とユーザー影響のない即時保護
Cato EPPは、Cato管理アプリケーション(CMA)またはお客様が選択したモバイルデバイス管理ツール(MDM)を介してプロビジョニングすることができます。管理者は、数分で数千のエンドポイントの保護を開始できます。インストール後、Cato EPPエージェントはバックグラウンドで実行され、エンドユーザーには完全に透過的です。ログイン不要で、エンドポイントでセキュリティイベントが発生すると、ユーザーは即座に保護され、アラートが表示されます。アドホックなマルウェアスキャン活動は、ユーザーまたは管理者がCato管理アプリケーション(CMA)から直接開始できます。
ネットワークとエンドポイントが同じデータレイクを使用することで検出とレスポンスをより速く(XDR対応)
Cato EPPのイベントは、Catoクラウドプラットフォームの各種エンジンによって生成された他のすべてのイベントと同じデータレイクに保存されます。Cato XDRは、AI/ML脅威の検知と調査を最適化するために、ネットワークベースのセンサーとともに、高品質のエンドポイントデータを活用します。管理者は、1つの画面でエンドポイントとネットワークのすべてのセキュリティイベントの統一されたリストを見ながら、ユーザーやデバイスごとにイベントを簡単にフィルタリングすることができ、効率的なインシデント調査と対応が可能になります。
Cato XDRについて
Cato XDRは、世界初のSASEベースのXDRソリューションであり、セキュリティチームにきめ細かく効率的な脅威調査・修復ツールを提供します。Cato XDRのAIとMLアルゴリズムは、膨大なデータレイクから脅威を特定し、Cato管理アプリケーション(CMA)内で分析と解決のために管理可能な方法で浮上させます。
脅威防御エンジンのアラート疲れを見抜く
Cato XDRは、Catoのリアルタイムセキュリティエンジンによって生成されたブロックイベントを集約し、単一の脅威防御インシデントにグループ化します。これらのインシデントは、セキュリティチームがアラート疲れを克服し、侵害されたデバイスを迅速に検出し、適切な封じ込めと修復のアクションを取るのに役立ちます。
回避的なセキュリティ脅威の検出と修復
Cato XDR 脅威ハンティング(Threat Hunting)インシデントは、CatoのAI/MLエンジンによって作成されます。脅威ハンティングエンジンは、データレイクを継続的にスキャンし、防御レイヤーでブロックされなかった常駐脅威の異常な指標を探します。脅威ハンティングエンジンは、さまざまなシグナルを1つのインシデントにグループ化し、セキュリティ・アナリストがさらに調査を行います。さらに、MLアルゴリズムは各インシデントにリスクスコアを提案し、セキュリティチームが脅威の調査に優先順位をつけられるようにします。
異常検知で不審なユーザー行動を調査
Cato XDRは、悪意を示す可能性のある異常な行動を特定するために、エンドユーザー行動分析(EUBA)機能を統合しています。異常検知AI/MLエンジンは、ユーザーのネットワークアクティビティを事前に計算されたベースラインと比較し、異常検知インシデントの作成を通じて、疑わしい逸脱について警告します。セキュリティ・チームは、報告されたインシデントが悪意あるものか良性かを効率的に調査・判断し、それに応じて行動を起こすための詳細な情報と洞察を得ることができます。
生成AIとMITRE ATT&CKマッピングでインシデント調査をスピードアップ
Cato XDRは、セキュリティチームの効率的な運用を可能にするため、複数のAI技術を使用している。生成AIは、Cato XDRのインシデント「ストーリーテラー」に使用されており、インシデントのデータポイントを脅威のストーリーにシームレスに結び付け、理解しやすく伝わりやすい要約を作成します。
脅威とリスクの分析をさらに支援するために、Cato XDRのインシデントは特定のMITRE ATT&CK TTPs(Tactics Techniques and Procedures)にマッピングされ、セキュリティチームが攻撃のキルチェーンにおける攻撃者の進捗状況を正確に理解するのに役立ちます。
エンド・ツー・エンドの可視性と迅速な修復を実現
XDRソリューションの一般的な課題は、修復アクションが異なるプラットフォーム上で実行されることです。
Cato XDRは、Catoクラウドプラットフォームのネイティブ機能であり、セキュリティチームが同じソリューション内でアクティブな脅威を修復することを可能にします。エンドポイントと攻撃封じ込めのためのファイアウォールルールは数分で設定でき、インターネットとの悪意のあるトラフィックをブロックし、WANを介したマルウェアのさらなる拡散を防止します。EPPスキャンは即座にトリガーされ、感染や侵害の可能性があるエンドポイントをプロアクティブにクリーニングします。
高度に訓練された実証済みAI/MLを搭載したオープンなXDR
Cato XDRは、Catoクラウドプラットフォームのネイティブセンサーからの生のデータと、サードパーティのEDRソリューションなどの外部センサーからのイベントを、単一のデータレイクに収集するオープンなXDRソリューションです。Cato XDRは、脅威ハンティングと異常検知のために高度なAIとMLアルゴリズムを使用しています。このアルゴリズムは、元軍人のセキュリティ・アナリストとデータ・アナリストによって開発され、ペタバイトのデータと数兆件のイベントで訓練され、すでに数万件の確認されたセキュリティ・インシデントで実証されています。Cato XDRは、SOCチームが脅威の滞留時間を短縮し、セキュリティ・インシデントを迅速に修復することを可能にします。
脅威の検知、調査、対応(TDIR)のための単一コンソール
Cato XDRは、脅威の検知、調査、対応(Threat Detection , Investigation and Response:TDIR)を行い、インシデントのライフサイクル全体を管理する単一のコンソールをSOCチームに提供します。Cato管理アプリケーション(CMA)内のXDRダッシュボードは、すべてのインシデント、そのステータス、MLで計算されたリスクと優先度を表示します。個々のインシデントの調査は、ワンクリックで完了し、AIを活用した洞察と推奨によって強化された、さらなる分析のための共通のデータ表示構造を備えています。SOCチームは、管理コンソールを切り替える手間を省き、効率を高め、ヒューマンエラーの可能性を減らすことができます。
業界で最も広範なネイティブセンサーが、より優れた検知と迅速なレスポンスを実現
Cato XDRは、Catoクラウドプラットフォームのセキュリティ機能をネイティブセンサーとして使用します。Catoクラウドの NGFW、SWG、IPS、NGAM、DNS Security、CASB、DLP、RBIからのデータは、Catoデータレイクに保存され、Cato XDRへの高品質なインプットとして機能します。ネイティブセンサーのデータはソースで削減されないため、Cato XDRのAI/MLアルゴリズムは、外部ソースからのデータを処理するAI/MLに比べて、重要なシグナルを見逃す可能性が大幅に低くなります。SOCチームは、比類のないレベルのインシデント精度と豊富な調査用データから利益を得ることができます。
MLを活用したクラウド規模の脅威インテリジェンスにより、有効性を向上し、誤検知を削減
Cato XDRは、250以上の脅威インテリジェンスソースによって強化されており、500万件以上の有効なIoCレコードを生成します。Catoは、専用に構築されたクラウドスケールのMLプラットフォームを使用して、何百ものソースから脅威インテリジェンスフィードを取り込み、その中の各IoCレコードを処理して検査し、正確で最新のブラックリストとホワイトリストを維持します。
Catoは、セキュリティチームに最新の脅威インテリジェンスデータを提供し、誤検知をほぼゼロに抑えた効率的な運用を実現します。
まとめ
CatoクラウドのSASEから少し離れて、EPP、XDRの記事をご紹介させていただきました。
Catoクラウドに少しでも興味をお持ちになられた方は、遠慮なくSCSKまでお問い合わせください。
SASE、Cato Networks社、Catoクラウド(Cato Cloud/Cato SASE Cloud)自体の知名度もまだまだ低い状況です。
SCSKでは、2021年からSASEの主要ソリューションを一同に紹介を行うオンラインセミナー「SCSK SASE Solution Summit(通称:S4 エスフォー)」を定期的に開催しております。これまで13回開催し、1,600名以上の方にご参加いただいております。
次回は、2024年2月15日に開催いたしますので、ご興味のある方は是非ご参加ください(2024年2月時点)
さらに、2024年3月14日には、Catoクラウドの主要機能を2時間・デモ形式でご覧いただけるセミナーを開催しますので、ご興味のある方は是非ご参加ください。
SASE、Catoクラウドのセミナー以外に、Catoクラウドのお客様導入事例の制作、FAQサイト運営、この TechHarmony(技術ブログ)で、皆様のお役に立て、Catoクラウドの知名度アップに少しでも貢献できればと考えております。