よくあるご質問Faq

Q. 未登録のゼロディ攻撃をどうして検知できるのですか?


A. 攻撃の判定を特定の文字列やシグネチャに頼る方式は、いつまでたっても後追いの対策しかできません。しかもメンテナンス労力も甚大です。
CloudCofferではAIの優位性を活用して、十分、且つ精緻にトレーニングされたAIエンジンが使われています。システムの確認作業はミニマムでありながら、エキスパートに近い判断が出来ています。
また、HTTPヘッダ、ボディともに意味解釈に近い解析が行われるので、多段階のエンコーディング、難読化されたものなども検知しています。

Q. 実行中のシステムで追加学習しない理由はなんですか?


A. 検知の精度を高めるため、CloudCofferでは世界中に15万個も設置したハニーポットで、新規の攻撃を集めています。
これを定期的に分析、解釈して、次の追加パッチなどが必要になるか精査しています。
初期のAIエンジンのトレーニングが非常に高精度で、攻撃タイプを網羅していたため、2016年末からAIエンジン本体のトレーニングは不要でした。
また、現場のシステムでの追加学習は多大な追加資源が必要であり、新ルールとされたものの検証やチューニングなども発生しますが、導入時点のトレーニングが行き届いていれば、これも不要に出来る利点があります。

Q. CloudCofferの不得意分野は?


A. 次のものはCloudCoffer単体でのカバー、対策では不十分かも知れません。

 

・DOS対策:

CPUその他性能上の特性から発生する高帯域にも耐えるシステムにするためには、前段をIPS/IDSモード、後段をインラインWAFモードの2段階構成にする、等の対策もお勧めします。

・マルウェア対策:

例えばメールに添付された怪しいファイルを、流れている通信パケットだけで識別することは困難です。後段のサーバで Sandbox 機能を含めたウイルス検知の利用を推奨します。

・パスワードクラッキング対策:

これもシステムやアプリ側の認証に関わる機能に大きく依存するところで、CloudCofferが特別な対策を講じられない部分です。

Q. (TICK 集団の攻撃:res.pdf について) res.pdf マルウェアが仮想ウイルスとして 特徴的な違い は何か?


A. 単にハッシュを変えているのではなく、アクセス先、 SSL証明書、暗号化方式も変えられる方式です。
従って、振舞い検知型のアンチウイルスでも検知が難しいです。

Q. (TICK 集団の攻撃:res.pdf について) 他のソリューションでは検知できないのに CloudCoffer は何故検知できるのか?


A. res.pdf がマルウェア稼働した際のC&Cサーバ側へのアクセスを検出します。
単にhttp/httpsアクセスを検知するだけではありません。相手先や頻度、パターンなどもAIで考慮されています。ペイロード内容も解釈しています。

Q. (TICK 集団の攻撃:res.pdf について) クライアント侵入時のpdfファイルは、metasploitの msfvenom を利用して、 既存ファイルにreverse_httpsのコールバックを埋め込んだ場合の結果と何が異なるのか?


A. 挙動としてはリバースプロキシで稼働するのは同じです。
リバースHTTPS で有効なSSL証明書が使われています。Metasploitは自己証明書のみです。
TICK攻撃例では各種多数から選んでいます。
自己証明書を使っているものと違って、正当な通信であると誤認させやすいです。

Q.  ホワイトペーパなどはどこにありますか?


A.  https://www.cloudcoffer.jp/ から 左上 CONTENTS で ドキュメント ページへ進んで下さい。
メールアドレスを登録頂きます。(Webinar参加者には弊社営業から送付する等もしています。)
もしくは、担当営業、または aisec@aris-kk.co.jp 宛てでご連絡をお願い致します。