ネットワンシステムズは2016年7月22日、マルウエアに感染した端末をピンポイントで検出して推奨セキュリティ対策を提案する「セキュリティアセスメントサービス」を発表、同日提供を開始した。価格(税別)は、監視対象500端末当たり165万円から。
マルウエアの検出には、米ダンバラ(DAMBALLA)の「DAMBALLA Failsafe」を使う(関連記事:マルウエア感染端末を検知するダンバラ、F/W連携で外部通信をブロック)。ユーザー企業の社内LAN上でパケットを4週間収集し、マルウエアを検出する。検出したマルウエアと、既存のセキュリティ対策を踏まえた上で、推奨されるセキュリティ対策をレポートにまとめて提案する。
DAMBALLA Failsafeは、パケットを分析し、マルウエアに感染した端末のネットワーク上での振る舞いを調べる。犯罪者が用意したC&Cサーバー(司令塔サーバー)に関する情報や、マルウエア特有の振る舞いのパターンなどの情報を知識として持っており、これと照らし合わせる。
セキュリティ対策の提案例として、マルウエアの感染を検出した場合は、不正なサイトやC&Cサーバーとの通信を遮断する。脆弱性を突いた攻撃を確認した場合は、脆弱性を含むプログラムを持つ端末を把握し、一括でパッチを適用する。業務に不必要なアプリケーションの使用が確認された場合は、未許可アプリケーションを使えない仕組みなどを導入する。
セキュリティアセスメントサービスの背景には、サンドボックスだけでは標的型攻撃を防ぐことはできず、社内に侵入したマルウエアにどう対処するかが課題となっている、という状況がある。感染したマルウエアは、犯罪者が用意した外部のサーバーと通信し、攻撃の準備を整える。セキュリティアセスメントサービスでは、こうした振る舞いを検出する。
