皆さまは、ケビン・ミトニック(Kevin Mitnick)氏によるゼロデイ攻撃の「販売」サービスや、healthcare.govのハッキングに関するニュースを耳にされたのではないでしょうか。ゼロデイ攻撃や巧妙化した脅威は日々増加を続けています。

では、ゼロデイ攻撃とは、いったいどのようなものなのでしょうか。ゼロデイ攻撃とは、オペレーティングシステムやアプリケーションなどの脆弱性を、脆弱性が発見された日(つまり「ゼロディ」)やそれに近い日に悪用する攻撃を指します。実際、脆弱性の修正は時間がかかる作業なので、検出から解決までの期間に攻撃を仕掛けるわけです。AVとIPSは依然として必須のセキュリティ機能ではありますが、このような攻撃や巧妙な脅威が深刻なセキュリティ被害を及ぼさないようにするには、セキュリティ階層を追加する必要があります。

そこで、Barracuda NextG Firewallバージョン6.0に新たに追加されたのが、Barracuda Advanced Threat Detectionです。これは、ゼロデイ攻撃と標的型攻撃で巧妙な脅威を特定し、阻止することを目的とした機能です。

Barracuda Advanced Threat Detectionは、階層型セキュリティの一部として実装され、Barracuda NextG Firewallのウイルス対策/侵入防止階層の上位に実装されます。Webサイト上でユーザがファイルのダウンロードをリクエストすると、ファイルはAV/IPSエンジンに送信されます。AVとIPSの両方がファイルに問題がないことを確認すると、次にクラウドベースのAdvanced Threat Detection仮想サンドボックスに送信されます。ここでファイルは実行され、厳格な検証チェックを経て、各種OS(MacOS XやWindowsなど)のエミュレーションが実行されます。

以上が「標準プロシージャ」です。このプロシージャでは、Advanced Threat Detectionがファイルの信頼性を検証するまで、ファイルはエンドユーザに提供されません。これに対して「先進プロシージャ」では、Advanced Threat Detectionエンジンとエンドユーザにファイルが同時に提供されます。このプロシージャでは、要求元のユーザ/IP/マシンは自動的に隔離され、Advanced Threat Detectionエンジンが「悪意のないファイル」であることを検証するまで保留状態になります。悪意のあるファイルだと判断されると、受信者は隔離され、更なる制御処理が行われます。

Barracuda Advanced Threat Detectionによるファイルチェックでは、悪意のある操作、ファイルの動作、システムレジストリのエントリ、検出回避、ネットワーク操作(ボットネットコマンドやコントロールセンターへの暗号化接続の確立など)が検証されます。もちろん、以上の実行結果は任意の形式にカスタマイズし、オンデマンドレポートとして管理者に送信することが可能です。

Barracuda Advanced Threat Detectionは、Barracuda NextG Firewallの物理アプライアンス、仮想アプライアンス、Microsoft AzureおよびAmazon Web Services向けのパブリッククラウドエディションで提供されています。

Barracuda ATDは無料でお試しいただけます。詳しくは次のサイトをご覧ください。
http://www.barracudacentral.org/atd

Barracuda NextG Firewallバージョン6.0は30日間無料でお試しいただけます。こちらからお申し込みください。

※本内容はBarracuda Product Blog 2014年10月13日Advanced Threat Detection in the Barracuda NG Firewallを翻訳したものです。

Daniel Korsunsky

本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ