
FFRI yarai 新バージョンの機能強化ポイント(Ver 3.3)
FFRI yarai の新バージョンVer 3.3 (2019年11月リリース)では、大きく2つの機能強化ポイントがあります。
防御エンジン強化により、最新の脅威に対するカバレッジの拡大
まず、防御エンジンの強化内容についてですが、近年の攻撃手段として定着しつつある、ファイルレスマルウェアやランサムウェア対策のさらなる強化、脆弱性攻撃対策強化、巧妙な耐解析機能をもったマルウェアに対抗する検出ロジックなどの様々な新機能を搭載しています。
今回のエンジン強化のポイントとしては、脅威のトレンドとして存在感を増している正規プロセスに紛れるようなステルス性の高いマルウェア攻撃に対して、様々な視点での防御範囲を拡大していることです。
近年では、マルウェアがセキュリティ対策ソリューションの検知を逃れるために、攻撃プロセスを正規ツールに紛れ込ませたり、実行ファイルを使わない手法(ファイルレス)のように巧妙に攻撃を隠蔽することが増えています。こういった証跡を捕捉しにくい攻撃は、FFRI yaraiのようなリアルタイムに防御を行う対策が効果的です。
例えば、以下の機能追加・強化内容が正規プロセスの中で動くようなマルウェアの検知回避手法を検出し、防御します。
- .lnkマルウェア対策強化
- 監視対象の拡充(.iqyファイル, .slkファイル, .wizファイル)
- スクリプトを利用するMicrosoft Office の脆弱性攻撃対策
- コマンドラインの難読化(DOSfuscation)対策強化
- DLLサイドローディング、DLLドロッパー対策強化
- コードインジェクション対策強化
さらに、各防御エンジンの既存検出ロジックもブラッシュアップし、パフォーマンスの改善や検出精度を向上しています。
ZDPエンジン
脆弱性攻撃対策強化
Use After Free脆弱性対策強化
Static分析エンジン
ファイルレス
マルウェアの対策強化.lnkマルウェア対策強化
機械学習エンジン
動作・検知性能
安定性の向上
監視対象の拡張子を拡充
流行する攻撃に悪用される拡張子(.iqyファイル、.slkファイル、.wizファイル)を監視対象に追加
Office製品の保護強化
スクリプトを利用する
Microsoft Officeの脆弱性攻撃対策悪意ある挙動が難読化されたマルウェアの対策強化
コマンドラインの難読化
(DOSfuscation)対策強化DLLを悪用する攻撃手法の対策強化
DLLサイドローディング、DLLドロッパー対策強化
Internet Explorer、エクスプローラーを悪用する攻撃手法の対策強化
コードインジェクション対策強化
ランサムウェア対策強化
ロジックの見直しによる検出精度の向上
耐解析機能を持つマルウェア対策
解析に耐性があるマルウェアの対策強化
パフォーマンス改善
Windows Defenderと同居時のパフォーマンス向上等
HIPSエンジン
新機能「クラウド連携機能」で、検出精度の向上と同時に、検出後の運用負荷を低減
2点目は、新機能「クラウド連携機能」です。
本機能は、世界中から収集した脅威情報のデータベースを持つ、FFRIセキュリティ独自のクラウドと連携することにより、FFRI yarai の検出精度を高めることが可能になります。
そもそも、FFRI yarai はローカルの防御エンジンのみでマルウェアの検出が可能であり、オフライン環境であっても問題なく運用可能です。さらに、このクラウド連携機能を利用することで、ホワイトリストチューニングの対応コストを低減させられるメリットがあります。
FFRI yarai は振る舞い検知の特性上、導入の初期段階では通常業務で使用している正常なアプリケーションの振る舞いを過剰に検出しないかを見極め、必要に応じて例外リスト(ホワイトリスト)に登録する必要があります。
これまで、社内からの問合せやその確認作業を管理者の手で行う必要がありましたが、「クラウド連携機能」によって自動化させた事で初期構築時等の例外リスト登録作業負荷を大幅に低減させました。
パターンマッチングに依らない、いわゆる次世代エンドポイントセキュリティ製品を導入する際には、検出後の対応にかかるコストが一つの検討ポイントになります。例えば、EDRであれば、基本的には事後対応を前提としているため、それぞれの検知イベントに対して適切なレスポンス対応が求められることになります。
またNGEPP(NGAV)においても検出後のマルウェアが本当に悪性のマルウェアであるかの判断を行う必要があります。
FFRI yarai は新機能「クラウド連携機能」を含めて、以下のような検出後の対応コストを低減する仕組みが用意されています。
- クラウド連携機能
- マルウェアの検出精度を上げることにより、例外リスト登録作業を削減
- 検体自動判定システム
- 実際に検出されたマルウェアについても、管理コンソール上から自動でFFRIセキュリティのクラウドに問い合わせが可能
- サポート体制
- ご購入元の販売店にお問い合わせいただくことで、日本国内のFFRIセキュリティサポートでマルウェアの白黒判定を回答
次世代エンドポイントセキュリティ製品の導入選定においては、マルウェア検出範囲の網羅性を追求することと同時に、過検出の対応を含めた検出後の対応コストについても検討しておくことが必要です。
FFRI yarai は、未知マルウェアの検出能力向上と合わせて、運用性の向上についても同時に追求しており、コストメリットのあるエンドポイントセキュリティを実現します。
特集一覧
FFRI yarai Home and Business Edition Version 1.4のポイント
いわゆる、CDM(Continuous Diagnostics and Mitigation)とは
テレワーク導入時に検討すべき次世代エンドポイントセキュリティとは
FFRI yarai 新バージョンの機能強化ポイント(Ver 3.3)
マルウェアから保護するマルチエンジン型エンドポイントセキュリティとは
HOME »FFRIセキュリティ BLOG » FFRI yarai 新バージョンの機能強化ポイント(Ver 3.3)