CrowdStrike
クラウドストライク
クラウドストライク
NGAV+EDR+ハンティング「CrowdStrike Falcon」
エンドポイント・セキュリティ・モジュール
自動ブロックと検知・対処
自動化とプロアクティブな防御
①拡張性の高いSaaSモデルを採用
SaaSによる一般的なメリット
- 時間と場所を選ばないSaaSモデルを採用
- 収容台数や社内ネットワーク、管理コンソールの冗長化などの考慮不要
- 追加設備不要で海外拠点や持出端末等への導入も可能
CrowdStrikeのクラウドの特徴
- 世界176ヶ国、10万台/週から収集した1兆個に及ぶ膨大なデータを一箇所に収集
- 集約されたすべてのデータをAI/機械学習などのテクノロジーとともに相関的に分析
- 導入した組織毎ではなく、世界規模で収集したデータをもとに分析することで、高度で新たな攻撃手法もより素早く、確実に発見
- すべてのデータはAPIを介して利用可能
②ユニバーサルエージェント
従来のエンドポイントセキュリティの機能拡張の際の負荷、運用管理の煩雑さを解消するためにユニバーサルエージェントというCrowdStrike社独自のアプローチをとっています。
従来のエンドポイントセキュリティ
- セキュリティ機能の追加に新たなソフトウェアをインストールする必要がある
- パターンファイルを日々更新する必要があり、更新漏れによるセキュリティリスクが発生する
- アンチウイルスは、スキャン時に端末に大きな負荷を与える
- アンインストール時に再起動が必要
ユニバーサルエージェント
- 単一の軽量なエージェントにより、追加機能に対して新たなソフトウェアのインストールが不要
- パターンが不要な為、アップデートの管理やスキャンからのフラストレーションから解放
- 再起動なしにインストールが可能 etc…
③洗練された脅威インテリジェンス
CrowdStrike社が年次で発行している2018年度版 Global Threat Reportによると、攻撃者が1台目の端末を感染させてから、次の端末へ移動するまでに必要な時間は、平均でわずか1時間58分と報告されています。
CrowdStrike では、この1時間58分よりも、より短い時間で防御側が対処できるように製品やサービスを提供しています。検知能力だけでなく、コンテキストと呼ばれる攻撃の背景となる情報の提供を業界でも高い評価を受けている脅威インテリジェンスと統合することで実現しています。
CrowdStrike社では、標的型攻撃・サイバー犯罪・ハクティビズムなどを実行する攻撃者の脅威情報を収集・分析・提供しており、情報として提供しております。これにより、脅威が同時に複数発生してしまったとしても、優先度を容易に決定することが可能となります。
CrowdStrike Falcon
Falcon Prevent
~高度な脅威防御モジュール~
- パターンマッチを利用しない、AV/機械学習ベースのマルウェア防御
- IOAと呼ばれる“振る舞い”による防御
- オンライン/オフラインでも防御機能を提供
- 脆弱性の悪用を防止するためのメモリベースの防御
Falcon Insight
~リアルタイムな検知・調査・対処を実現するEDR~
- パターンマッチを利用しない、AI/機械学習ベースのマルウェアの検知
- IOAと呼ばれる "振る舞い" による検知
- インシデント対応を可能とする詳細でリアルタイムな証拠保全(ログ保全)
- 調査を容易にするビジュアライゼーション機能
- 取得データの全量を数秒で検索可能
- 豊富なレスポンス機能でリモートからの対処を支援
Falcon Overwatch
~エキスパートによる脅威ハンティングサービス~
- マネージドで提供される脅威ハンティングサービス
- IoCに依存しない脅威ハンティングにより、洗練された攻撃手法も検出
- 自社による脅威ハンティングのための高価な基盤・高度な人材への追加投資が不要
- 第三者機関による非常に高い評価
Falcon Discover
~IT環境をセキュアに保つ為の管理機能~
- 組織内に存在するFalcon 未導入端末の可視化
- 利用アプリケーションやバージョンなどの詳細の可視化(Windows のみ)
- ログインしているユーザアカウントとその端末情報の可視化(Windows のみ)
- AWS (Amazon Web Service) 上に展開されているサービスの可視化
Falcon Device Control
~接続されたUSBデバイスの可視化と制御~
- USBデバイスの利用状況の可視化
- デバイスの種類(ストレージ、マウスなど)や固有情報を基にした利用制限が可能
- 利用制御ポリシーは、任意の端末群ごとに柔軟な適用が可能
- Insightと統合されたエージェント、コンソール
Falcon Spotlight
~脆弱性の管理をより容易に~
- Windows OSの脆弱性を可視化しリスクのある端末の洗い出し
- スキャンや待ち時間不要
- 適用されていないパッチベース、CVE番号ベースで端末の検索
- 脅威インテリジェンスと組み合わせることで、より優先度の高い脆弱性を把握可能
- Insightと統合されたエージェント、コンソール
Falcon Sandbox
~検体の詳細調査のための高精度サンドボックス~
- Hybrid Analysis (動的&静的分析)テクノロジーによる正確な分析力と高い検知力
- 動的解析環境は、常に最新のAnti-VM, Sandbox に対応
- オンプレミス及びプライベートクラウドの双方での提供が可能
- 外部のマルウェア検査基盤との連携により、トリアージが容易
- CrowdStrike社の脅威インテリジェンス及び Falcon MalQuery との統合が可能※
- Restful API による運用が可能
※MalQueryとの統合には、ライセンスが必要となります。また、オンプレミスの場合には、Threat Intelligence との統合にも別途ライセンスの追加が必要となります。
Falcon Malquery
~マルウェア分析の収集を劇的に変える高速検索サービス~
- 20年以上に渡り収集された膨大な数のマルウェアの検索エンジン
- 特許取得技術により、マルウェアのバイナリなどのデータに含まれる文字列、バイト列を高速に検索
- 検索には、Yara rule も利用可能で、定期的な検索も可能
- 検索で得たマルウェアはダウンロード可能
Falcon X
~複数機能を統合した自動脅威解析モジュール~
- ブロックしたマルウェアに関する追加情報を入手する為、自動的にサンドボックスでの解析を実施
- 帰属済み攻撃者の情報を提示
- 解析から得られたインディケータと同一サンプルと類似したサンプルのインディケータも提供
- CrowdStrike社が収集したインディケータ情報の提供
- Falcon Sandboxの利用
- CrowdStrike社が追跡する110を超える攻撃者のプロフィール情報の閲覧
- CrowdStrike社の戦略的かつ戦術的な脅威インテリジェンスの利用可能(Premium)
※旧Falcon Intelligence製品は、Falcon Xに統合されました。
Falcon Sandbox
外部機関評価
- 【CrowdStrike発表】CrowdStrike、ガートナー社のCritical Capabilities for Endpoint Protection Platforms Reportにおいて、Type Aのユースケース(「リーンフォワード」な企業)部門の最高スコアを獲得
- 【CrowdStrike発表】CrowdStrike、独立系調査会社が「エンドポイントでの脅威の検知・対応におけるリーダー」として位置付け
- 【CrowdStrike発表】CrowdStrike、独立系調査会社が「エンドポイントセキュリティにおけるリーダー」として位置付け
- EDR 市場占有率 No.1(2017年度実績:金額ベース)
富士キメラ総研「2018 ネットワークセキュリティビジネス調査総覧(上巻)」
システム要件、OS
- Windows
-
- Desktop: 7 SP1(*1), 7 Embedded POSReady※1, 8.1, 10
- Server: 2008 RS SP1, 2012, Storage Server 2012 R2, 2012 R2, 2016
- Mac
-
- Sierra、High Sierra、Mojave
- Linux※2
-
- Amazon Linux, CentOS, Red Hat Enterprise Linux, SUSE Linux Enterprise Server, Ubuntu (LTSのみ)
※1 32bit版も対応
※2 Linuxの各ディストリビューションにおける対応バージョンの詳細については、お問い合わせください。
