アウトバウンドの通信に特化したオランダの次世代標的型攻撃対策製品(ネットワールド)
ネットワールドは、オランダのRedSocks社と日本で初めてディストリビューター契約を締結、次世代標的型攻撃対策製品「RedSocks Malware Threat Defender」の販売を開始した。
製品・サービス・業界動向
新製品・新サービス
RedSocks社のCEOであるピム・コーネリッセン氏は、同社は2012年12月に設立されたが、その当時から「ネットワークはすでに感染しているもの」という精神を持ち続けている。製品の特徴として、アウトバウンドのトラフィックで感染をリアルタイムに検出できること、Netflow/IPFIXでのモニタリングのためプライバシーデータを見ないで済むこと、拡張性、データの保持、プラグアンドプレイにより10分で使用できる実装の容易さ、NSAによるバックドアがないことを挙げた。
「RedSocks MTD」は、ファイアウォールやルータなどのミラーポートに接続し、Netflow/IPFIXによってすべてのアウトバウンドパケットの中から必要なフロー情報(送信先のIPアドレスやURL、デバイスの送信元IPアドレス、MACアドレス、ポート番号、プロトコル)を抽出して保有、RedSocks社のエキスパートチーム「The Malware Intelligent Team(MIT)」から送られてくるC&Cサーバの情報と照合し、マルウェアの通信を検出する。このためサンドボックス製品よりも検出力が高いという。MITからの情報は現在30分に1回であるが、年内に20分に1回になる予定だ。
「RedSocks MTD」はアウトバウンドでの検出に特化した製品であるため、ネットワールドではFireEyeやパロアルトなどのインバウンド対策製品との組み合わせも考えているという。また、検出後の対応はCSIRTやSOCで行うことになるが、ファイアウォールやIPSなどとの連携も進めていくとしている。さらに、ルータなどがNetflow/IPFIXに対応していない場合のためのプローブも用意している。なお、日本において複数の企業などがPOC(概念実証)を進めているという。参考価格は、150Mbpsまでの場合(帯域により価格が異なる)でアプライアンスと初年度サブスクリプションで4,230,000円、次年度サブスクリプションは1,395,000円(ともに税別)としている。
関連記事
この記事の写真
/
