Traps

Traps エクスプロイト防御(ゼロデイ脆弱性対策) 概要

開始者 tmuroi ‎09-29-2017 09:51 PM - 編集済み ‎03-10-2019 05:09 PM (3,440 閲覧回数)

Trapsのエクスプロイト防御は正規アプリケーション(例:Internet ExplorerやAdobe Reader)上のメモリ上で行われる動作(攻撃テクニック)を監視することで、シグニチャを利用せずにゼロディ脆弱性を悪用する攻撃や、ファイルレスマルウェアの実行を阻止することができます。

 

これにより、パッチ未適用の環境において脆弱性が存在する環境上でも、Trapsは攻撃を阻止することができます。

 

一般的なネットワーク/ホスト型IPS(シグニチャ利用)とは異なり、Trapsはゼロデイ脆弱性(未知の脆弱性)に対する防御機能を搭載しており、基本的な機能は下記となります。

 

 1.アプリケーション脆弱性対策

   例:Adobe Flashの脆弱性を悪用し、バッファオーバーフローを用いてメモリ上に攻撃コードを配置して
     自動実行するなどの攻撃テクニックを検知して阻止

     (Heap SprayやROP(Return Orientied Programming)など、様々な検知技術を搭載)

 2.エクスプロイトキット対策

   例:Internet Explorerを用いて、エクスプロイトキットが仕込まれたWebサーバにアクセスし、

     クライアントPC上の脆弱性を調査され、脆弱性に対応したコードを実行される攻撃を阻止

 3.カーネル脆弱性対策

   例:カーネル脆弱性を悪用して権限を取得する動作や、

     不正なAPC(Asyncronous Procedure Call)呼び出しによるDoublePalsarの攻撃、

     悪意のあるシェルコードへのアクセスを阻止

 4.クラウド上でダンプ解析

           Trapsがエクスプロイト防御機能で検知した際にTrapsエージェント上から取得した
                    メモリダンプをクラウド上で解析し、より正確な判定を実施

 

2017-09-30_07h45_51.png

 

Trapsのエクスプロイト防御機能はパロアルトネットワークス社の研究者の知見から、セキュリティレベルを保ちつつ、他のセキュリティ製品との互換性をポリシーとして自動配信し、オフライン状態においても動作します。そのため、運用管理者は脆弱性に対する特別な知識を必要とせず、メンテテンスフリーで未知の脆弱性攻撃から保護することができます。

 

また、ホワイトリスト機能が充実(各種エクスプロイト防御で利用されるテクニックを、プロセス単位/アプリケーション単位で調整指定可能)していますので、セキュリティレベルを落とさず、脆弱性対策を行うことができる製品となっています。 

7.png

     互換性ポリシーの自動配信機能により除外されないアプリケーションが発見された場合のみ、

     ホワイトリストを登録。除外登録も管理コンソール上から容易に実現

 

Trapsエージェントがエクスプロイト攻撃を検知した場合には、攻撃の阻止や利用者のデスクトップ画面にポップアップ通知を表示することができます。