Darktrace Enterprise Immune System

Darktrace(ダークトレース)は企業情報ネットワークの動態を学習し、わずかな変化も検知して警告を通知!
「すでに侵入してしまった悪意のプログラムの動態」をはじめ、「内部不正利用・操作ミス等による動態」も可視化、迅速な対応を支援します。

導入前のよくあるネットワーク構成例 導入後のネットワーク構成図 データキャプチャと解析 再帰的ベイズ推定 3Dトポロジカル・ネットワーク・プロテクションによる脅威の情報視覚化
Darktrace会社概要

Darktrace(ダークトレース)
会社概要

2013年英国ケンブリッジにて設立。数学者や機械学習の専門家と元政府のインテリジェンス・エキスパート(米NSA、英国諜報機関MI5、政府通信本部GHCQ)により起業。新しい機械学習と数学理論に基づいた画期的な技術の製品を開発。

会社概要ページ
セキュリティ防御の新ソリューション

新セキュリティ
ソリューション

企業情報ネットワークの「生の動き」を継続的に収集して、人と機器およびネットワークの情報を、数学理論に基づいて「モデル化」「学習」「蓄積」します。「モデル化」「蓄積」されたデータを基に「学習」した対象の各デバイスが「通常と異なる動作」を行った場合、それらをリアルタイムに「脅威」「情報漏えい」の要因として「把握」し,,,,

詳細を見る
News Release

ニュース・リリース
トピック

2016年7月26日:ダークトレース、世界規模の事業拡大で前年度比売上600%増を達成!~機械学習アプローチにより1,200社で16,000以上の深刻なサイバー攻撃を検知~

Get in touch with us

脅威の
進化

ほとんどの組織は内部ネットワークの状況を把握できていません。

  • 標的型攻撃やシステムの脆弱性を突いてくるゼロデイ攻撃は進化し、従来の防御では限界に近づいています。
  • 内部クライアントが突然、重要データへのアクセスを知る方法は限定的で発見が遅れています。
Provisioning for VM visualization

仮想化環境の可視化
vSensor

Darktrace vSensorおよびOS-Sensorは、Enterprise Immune Systemの自己学習型リアルタイム脅威検知機能を仮想化環境にシームレスに拡張できます。オンプレミスおよびクラウドを含むネットワークのあらゆるポイントに対して優れた可視性と理解を提供します。

詳細を見る

Darktrace(ダークトレース)が検出する異常な挙動

Darktrace は、他のセキュリティ製品では通過してしまう異常な挙動をルールやシグネチャまたは何らかの事前の知識に頼ることなくEnterprise Immune Systemによる独自の技術で検出することができます。
以下の例は、それぞれの異常な挙動に対して特定の技術的要素に名前を与えています。これらの要素はしばしばルール定義に利用され、それぞれの特定構成要素の解釈を容易にするためDarktraceの通知は、モデルに脅威の挙動を特徴づけています。Darktraceは、これらの個別の要素を集合的に扱い時間をかけてモデル化していきます。これらのパラメータの挙動が相互に、前の時点と相対しているかで通知のステータスを決定します。この点が個別のパラメータまたはそれらのセットに含まれるしきい値の事前設定に依存するルールベースのシステムと異なるところです。ただし、Darktraceはその適応型数学モデルのベースラインまたはシード点として既存のルールを利用することも可能であり、事前の履歴が存在しない環境ではこの方法が多くのケースで採用されています。

検出する異常な挙動例

危険なマルウェアに関連したリモートアクセス攻撃

Darktrace(ダークトレース)は企業ネットワークに対するRAT(Remote Access Tool)を使った攻撃を特定しました。これは良く知られたBotnetに関連した活動の結果のように見えました。Botnetは攻撃者がインターネットを介して制御する、感染したコンピュータで構成されるインフラです。メディアではこのBotnetが東ヨーロッパのサイバー犯罪グループによって運営されていることが報道されていました。攻撃者はBotnetを利用してクレジットカード情報の取得、企業の機密データの盗み出しや電子メールを使った攻撃など、様々な悪質な活動を行います。

この事例で特定されたウイルスの変化形はサンドボックス防御による検出を回避するよう適応しており、またホストベースのセキュリティツールやアンチウイルスソフトを回避するよう一部の処理プロセスを隠していました。これは既存のセキュリティツールで検出されないよう複雑なアルゴリズムを使った極めて狡猾で動的なマルウェアです。Darktraceはコンピュータの挙動を経時的に比較することによりこのマルウェアの存在の痕跡を発見することができました。

悪意あるWebドライブバイ攻撃

ある企業では、ユーザの一人がブルース音楽についての普通のWebサイトを閲覧中に悪意ある「ドライブバイ(通りすがり)」攻撃を受けてしまいました。ユーザが気づかないうちに、マシンは最近カリフォルニアで登録された別のサイトにリダイレクトされていました。詳細に調査するとドメイン名に疑わしい点がありました。ドメイン名の一部に別のドメイン名を偽装したものが含まれていたのです。

それに続いて、マシンはさらにいくつかの別のサイトにもリダイレクトされていました。Darktrace(ダークトレース)は、これがユーザの行動によるものではなかったと判定し、マルウェアがデバイスに既にインストールされていたことを指摘しました。

疑わしいJavaダウンロード

あるユーザが、エレクトロニクスに関するWebサイトを閲覧していたところ、マシンが別のサイトにリダイレクトされ、そこで悪意あるJavaScriptのダウンロードを促されました。これは悪質なコンテンツを注入するのによく使われる、不正利用の多いスクリプト言語です。これに引き続き、マシンは‘.jar’ファイル(Javaアーカイブファイル)をバックグラウンドでダウンロードし、これをその後攻撃者がマシンの悪用に使用しました。

このファイルはセキュリティ業界では悪意のあるものとして知られていましたが、この企業で使われていた他の防御システムはこの攻撃を防ぐことができませんでした。

ランサムウェアへの感染

Darktrace(ダークトレース)は企業のマシンの中の1台に疑わしい挙動の兆候を複数検出しました。あるユーザが朝早く、人気のあるニュースサイトを閲覧していたところ、疑わしい検索バーがブラウザに組み込まれました。これはおそらくページ上の悪意ある広告コンテンツをユーザがクリックしてしまった結果と思われます。その後マシンはユーザの検索結果をバックグラウンドで操作しました。おそらくクリックスルーによる収益を上げようとしたものです。

これらの悪意あるリンクのいずれかをクリックすると、ユーザは怪しげなWebサイトに誘導され、さらに様々なダウンロードを行います。詳細な分析の結果Webサイトは前日に登録されたものでした。登録には明らかに偽の情報が使われていました。電話番号はロシアのもので、住所は米国のものでした。
この挙動は良く知られたランサムウェアの形態に感染した兆候を示していました。ランサムウェアとはユーザのファイルを暗号化して読めなくし、ロック解除と引き換えにユーザに金銭を要求するマルウェアの一種です。これはこの企業のデータ整合性と事業の継続に対する明確なリスクとなりました。Darktraceはこのマルウェアが既に写真、打ち合わせの内容や製品の試験結果報告を含む多数の内部ファイルにアクセスしていることを検知しました。

社内のリソースに対するポートスキャニング

Darktrace(ダークトレース)は、1台のマシンがその社内のネットワークに対してポートスキャニングを行っていることを検知しました。これは明らかにどのマシンが特定のサービスを実行しているかを確認するための行為です。このマシンはApple製品でしたが、古いWindowsオペレーティングシステムを実行中だとしており、この点も不審でした。ポートスキャニングはこのマシンの通常の生活パターンと比較しても異例であり、この挙動は攻撃者が不正利用を行う前にネットワークを偵察しようとしていたものであることを示唆しています。

BYOD(個人のデバイス持ち込み)ポリシーのリスク

あるユーザが自分のiPhoneで社内ネットワークに接続し、会社のものではない電子メールをダウンロードしたことが検知されました。このタイプの電子メール通信は境界セキュリティツールでは監視されず、企業をスピアフィッシング攻撃の危険にさらします。これは攻撃者が実在の連絡先、あるいは企業を装ってユーザに悪意あるリンク、あるいは電子メール添付ファイルをクリックさせようとするものです。スピアフィッシング攻撃は成功率が高いことで良く知られており、防御の薄いことが多い個人用デバイスをわざと標的にします。このiPhoneが社内ネットワークに接続されていたことを考えれば、フィッシング攻撃が成功することにより攻撃者はこのiPhoneを踏み台にして社内リソースに入り込み、システムの整合性と企業の信用を危険にさらす可能性があったのです。