未知のウイルス対策 -WildFire®-

既存のシグネチャによるアンチウイルス対策の限界に対するソリューション

 

クラウド版とアプライアンス版の違い

• ファイアウォールとしてPAシリーズを利用している
• 標的型攻撃対策にも興味がある
• 通常のアンチウイルスやアンチスパイウェア以外に、ゼロデイマルウェアもブロックしたい
• 念のため、ネットワーク上のマルウェアをモニタリングしておきたい
• 運用の手間をできるだけかけたくない

• 原則、ファイルを社外に送信できない
• 予算に限度は設けず、できる限りのセキュリティ対策をしたい
• サンドボックスの運用を自社で行いたい
• 既に他社サンドボックス製品を利用していて、それを置き換えたい

出口対策（感染端末検知）

Botnetレポートによるウイルス感染端末の特定

• アプリケーション制御、URLフィルタリング、脅威防御の機能を組み合わせた対策
• 振る舞いベースでバックドア通信を検出し、24時間ごとにレポート
• レポートのみとなり、ブロックのアクションは手動で行う必要がある
• HTTP Traffic
  　- MalwareとbotnetのURLカテゴリに属するサイトにアクセスした通信
  　- Dynamic DNSサイトにアクセスした通信
  　- ホスト名の代わりに、IPアドレスでブラウジングする通信
  　- 30日以内に登録されたドメインに対する通信
  　- Unknown URLから実行ファイルをダウンロードする通信
• Unknown Application
  　- 1時間内のUnknownアプリケーションのセッションの数
  　- 1時間内のUnknownアプリケーションのDestinationの数
  　- ペイロードの最小サイズ、ペイロードの最大サイズ
• Other Applications
  　- IRC (Internet Relay Chat) 通信に対してもBotnet検知を行う