Symantec Endpoint Protection 技術でコンピュータが保護される仕組み
HOWTO101774
Last Updated May 02, 2019
既知や未知の脅威に対する Symantec Endpoint Protection の中核的な保護では、防御のために階層化されたアプローチが使用されます。この包括的なアプローチによって、攻撃を受ける前、受けているとき、受けた後のネットワークを保護します。Symantec Endpoint Protection は、ツールを提供することで攻撃を受ける前にセキュリティ態勢を高め、攻撃にさらされるリスクを低減します。
ネットワーク内のコンピュータに対する完全な保護を実現するために、すべての保護を常時有効にします。
Symantec Endpoint Protection 技術が防止する攻撃の種類
Symantec Endpoint Protection は、次に説明する包括的なセキュリティアプローチを使用して、攻撃チェーン全体にわたって環境を保護します。このアプローチには、侵入、感染、汚染と漏洩、修復と予防接種の各ステージがあります。
フェーズ 1: 侵入
ハッカーは、一般的に、侵入のフェーズでソーシャルエンジニアリング、ゼロデイの脆弱性、SQL インジェクション、ターゲットマルウェアやその他の手段を使用して、組織のネットワークに侵入します。
Symantec Endpoint Protection は、次の技術を使用して、ハッカーがシステムに侵入する前に攻撃に対する防御を構築します。
侵入防止/ファイアウォール (ネットワーク脅威防止): 着信と発信のすべてのトラフィックを分析し、ブラウザ保護を提供して、前述のような脅威がコンピュータで実行される前にそれらを遮断します。ルールベースのファイアウォールとブラウザ保護が、Web ベースの攻撃から保護します。
侵入防止の管理を参照してください。
ファイアウォール保護の管理を参照してください。
アプリケーション制御: ファイルアクセス、レジストリアクセス、プロセスの実行を許可する方法を制御します。
アプリケーション制御、システムロックダウン、デバイス制御についてを参照してください。
アプリケーション制御の設定を参照してください。
デバイス制御: ハードウェアを選択するためのアクセスや、情報のアップロードやダウンロードを行えるデバイスの種類を制御するためのアクセスを制限します。
デバイス制御の管理を参照してください。
メモリエクスプロイト緩和機能: よく使用されているソフトウェアのうち、ベンダーによってパッチが適用されていないものに対するヒープスプレー、SEHOP 上書き、Java エクスプロイトなどのゼロデイ攻撃を無効化します。
メモリエクスプロイト緩和機能ポリシーを使用した、メモリ改ざんの試みに対する Windows クライアントの強化を参照してください。
フェーズ 2: 感染
ターゲット攻撃では、ハッカーは一般的にソーシャルエンジニアリング、ゼロデイの脆弱性、SQL インジェクション、ターゲットマルウェアやその他の手段を使用して、組織のネットワークに侵入します。
Symantec Endpoint Protection では、次の技術を使用して、システムが感染する前に、これらの攻撃を検出して予防します。
メモリエクスプロイト緩和機能: マルウェアを検出します。
ファイル評価の分析 (Insight): シマンテック社の Global Intelligence Network を使用した人工知能に基づいています。この高度な分析により、ユーザー、Web サイト、ファイル間の膨大な数の相関関係が検査され、急速に変異するマルウェアを識別し、それに対する防御を行います。主要な属性 (ファイルダウンロードの原点など) を分析することで、シマンテック社は、ファイルが良好か不良かを正確に識別し、ファイルがクライアントコンピュータに到達する前にすべてに評価スコアを割り当てることができます。
ダウンロードインサイト検出の管理を参照してください。
高度な機械学習: Global Intelligence Network 内にある良好ファイルと不良ファイルの何兆もの例を分析します。高度な機械学習はシグネチャレス型の技術で、マルウェアの新たなバリアントを実行前の段階で遮断できます。
高速エミュレーション: 多形態のカスタムパッカーを使用する、隠れたマルウェアを検出します。スキャナが、簡易的な仮想マシンで各ファイルをミリ秒単位で実行します。これにより脅威の状態が再現されるため、検出率とパフォーマンスの両方が向上します。
Symantec Endpoint Protection のエミュレータがマルウェアを検出およびクリーニングする方法を参照してください。
ウイルス対策ファイル保護 (ウイルスとスパイウェアの対策): シグネチャベースのウイルス対策とファイルヒューリスティックを使用してシステム上のマルウェアを探して撲滅し、ウイルス、ワーム、トロイの木馬、スパイウェア、ボット、アドウェア、ルートキットから保護します。
クライアントコンピュータでのスキャンの管理を参照してください。
スキャンの種類とリアルタイム保護についてを参照してください。
振る舞いの監視 (SONAR): 機械学習を活用することでゼロデイ防御を提供し、約 1,400 のファイルが実行される間にその振る舞いをリアルタイムで監視することで、ファイルのリスクを判断し、新たな未知の脅威を防止します。
SONAR の管理を参照してください。
フェーズ 3: 汚染と漏洩
データ漏洩とは、データがコンピュータから許可を得ずに転送されることです。侵入者がこれらの対象システムを制御できるようになると、知的財産やその他の機密データが盗まれる可能性があります。攻撃者は取得した情報を使用して分析を行い、その後の攻撃や詐欺に利用します。
フェーズ 4: 修復と予防接種
Symantec Endpoint Protection には 1 つのコンソールと、オペレーティングシステム、プラットフォーム、あらゆる規模のビジネスにわたって保護を提供するエージェントが含まれます。
Power Eraser: リモートからトリガできる拡張ツールで、APT (Advanced Persistent Threat) に対処し、執拗なマルウェアに対する修復を行います。
Symantec Endpoint Protection Manager コンソールから Power Eraser を実行する前に知るべきことを参照してください。
ホストインテグリティ: ポリシーを強制適用し、権限のない変更を検出し、損害の評価を行うことで、エンドポイントを確実に保護し、コンプライアンスを維持します。その後、ホストインテグリティは、要件を満たさない管理下システムを隔離します。
ホストインテグリティの仕組みを参照してください。
システムロックダウン: ホワイトリストに登録された (良好であることが分かっている) アプリケーションの実行を許可し、ブラックリストに登録された (不良であることが分かっている) アプリケーションの実行をブロックします。どちらのモードでも、システムロックダウンはチェックサムとファイルの場所のパラメータを使って、アプリケーションが承認済みであるか、未承認であるかを検証します。システムロックダウンは、単一のアプリケーションのみを実行するキオスクの場合に役に立ちます。
システムロックダウンの設定を参照してください。
セキュア Web ゲートウェイの統合: プログラム可能な REST API を使用してセキュア Web ゲートウェイとの統合を可能にし、クライアントコンピュータでの感染の広がりをすばやく止めることができるようにします。
EDR コンソール統合: Symantec Endpoint Protection は、Symantec Endpoint Detection and Response と統合して、攻撃に優先順位を付けることで、ターゲット攻撃や APT (Advanced Persistent Threat) を迅速に検出、応答、遮断するように設計されています。EDR (エンドポイントにおける検出および対応) 機能は Symantec Endpoint Protection に組み込まれています。そのため、エージェントを追加で配備する必要がありません。
システムロックダウンの設定を参照してください。
Symantec Endpoint Protection 技術が防止する攻撃の種類
表: 各 Symantec Endpoint Protection 技術が防止する攻撃の種類 に、攻撃の種類と、それぞれに対する保護を提供する Symantec Endpoint Protection 技術の種類を示します。
Legacy ID:
v97539434_v81626096
購読すると、この記事が更新されたときに更新内容が配信されます。ログインが必要です。
ご意見ありがとうございます。以下にコメントがある場合はお知らせください。(ログインが必要です)