Bromium

マルウェアの脅威からPCを守りたい

Bromium


Bromium(ブロミアム)は従来のマルウェア対策製品とは全く異なる発想で、外部からの脅威に対して防御・検知・分析します。

外部から送信されてきたファイルや外部のWebサイトへのアクセスはすべて「MicroVM」と呼ばれる隔離された仮想環境で展開されます。
サイバー攻撃はこのMicroVMの中でのみ実行されるため、たとえマルウェアや感染したファイルを開いてしまったり、メールに記述してあるリンク先にアクセスして不正プログラムをダウンロードしてしまったとしても、PCには影響が及びません。

ユーザはもう何も意識する必要はありません。面倒な操作や設定は一切不要で、使用感は今までと何も変わりません。社内でも社外でも、いつでもどこでも安心してPCを使用することができます。
欧米では既に重要な公的機関および有名企業がBromiumを採用しています。

エンドポイントセキュリティの課題


 脅威の現実

成功しているネットワーク侵入のうち2/3が、悪意のメール添付によるもの(*1)
99%のマルウェアが多彩な機能を有している(*1)
92%の組織が、フィッシング攻撃を識別して避けるようエンドユーザに指導(*2)
社会は、ほぼ44%の侵入にさらされている ― フィッシングが最も一般的(*1)
88%の組織が、セキュリティ上の懸念からWebサイトのアクセスを制約している(*3)
71%のWebサイトは24時間以内に永久に消滅したと分析され、悪意のあるコンテンツの配信後、検出を避けるには理想的な環境(*4)

 脅威の侵入経路

メールの添付ファイル

メールの添付ファイル

  •  ランサムウェア
  •  マクロウイルス
  •  悪意のあるファイルへのリンク

外部サイトへのリンク

外部サイトへのリンク

  •  ドライブ・バイ・ダウンロード攻撃
  •  水飲み場攻撃
  •  不正広告
  •  侵害されたDNS
  •  チャットクライアント経由のリンク

ファイルのダウンロード

ファイルのダウンロード

  •  キャプティブポータル
  •  ドライブ・バイ・ダウンロード攻撃
  •  不正広告
  •  スピアフィッシング攻撃

 セキュリティ向上のための方策

多くの企業や組織がセキュリティ対策のため、複数の分野のセキュリティ製品を用いた『多層型セキュリティ』に取り組んでいます。

クラウド制御

クラウド制御

CASB(*1)とクラウドAV(*2)は、クラウドアプリケーションに影響を及ぼす既知のマルウェアを特定し、企業ネットワーク外でセキュリティポリシを強制的に実行するのに効果があります。

プロキシ&ファイアウォール制御

プロキシ&ファイアウォール制御

サイト分類やSSLインスペクション / コンテンツ分析などはすべてプロキシとファイアウォールの制御で実現しており、企業ネットワークへの侵入を試みる既知のマルウェアの特定に効果があります。

ネットワーク制御

ネットワーク制御

ネットワークAV / サンドボックス化 / セキュリティ解析などはすべてネットワーク境界内に入りこむ、または既に入り込んだ既知(または場合により未知)のマルウェアを特定するためのネットワーク制御です。

ホスト制御

ホスト制御

エンドポイントAVとアプリケーションのホワイトリスト化はエンドポイントデバイスのためのホスト制御であり、既知のマルウェアによる侵害を防止します。

(*1)CASB

Cloud Access Security Brokerの略。例えばIT管理部門が認識しないファイルのアップロードや共有を行うなど、エンドユーザが自分で自由にクラウド上のサービスの利用を開始してしまう問題について、管理可能にするような製品分野の総称。

(*2)クラウドAV

SSLインスペクション、コンテンツ分析、ネットワークAV、サンドボックス化、セキュリティ解析。

しかし、これらの多層型セキュリティをすり抜けてマルウェアが侵入する危険性が!

Bromiumは「最後の防衛線」

外部から送信されてきたファイルや外部WebサイトへのアクセスはすべてMicroVM内で展開
ファイルを閉じれば環境は破棄され、元の安全な状態に

Bromium

 従来のマルウェア対策製品との違い

Bromiumなら、新種のマルウェア・未知のマルウェアであってもPCに感染しません。ユーザビリティを低下させることなく高いセキュリティを保ちます。

パターンファイルの更新「不要」

検知・判定に頼らない保護

従来のマルウェア対策製品は主にファイルの形態で侵入するマルウェアを「検知・判定」し、不正なもの(=攻撃)を防ぐ方法が模索されてきました。
Bromiumは「外部から持ち込まれるファイルを実行するアプリケーションごと隔離」することで、検知・判定の成功率とは無関係にPCを100%保護します。

常時ネットワーク接続「不要」

常時ネットワーク接続は不要

Bromiumはブラウザを経由して侵入する脅威に対して既知のものは勿論、未知のものであっても、ホストであるPCから分離します。
常時ネットワークに接続する必要がないため、出張や在宅勤務など、PCを社外に持ち出して使用する場合でも安心です。

  • Bromiumは、Emotet対策にも有効!

    検出を回避し増殖を続けるEmotetには、従来の検知型マルウェア対策製品では対処できません。

特長


Bromiumは文書を開く都度フレッシュなOSで開いて、終わると同時にMicroVMごと消去します。MicroVM内にはユーザの文書や資格情報といった「価値のある情報」は一切存在しないため、詐取されるものは何もありません。

リスクがある操作はMicroVM上で実行

リスクがある操作はMicroVM内で実行

Bromiumは、リスクがある操作の一つ一つ(ブラウザの個々のタブと信頼しない個々のファイル)に対して独立した「マイクロ仮想マシン(以下、MicroVM)」を生成します。
  • ユーザは個々の操作の実行がPC本体上かMicroVM内なのかを意識する必要はなく、表示上も差はありません。

  • ユーザは通常使用している機能をそのまま使うことができます。ファイルの保存、一つの文書ファイルから別の文書もしくはウェブページからドキュメントへのコピー&ペーストなども可能です。

  • アプリケーションはMicroVM内に隔離されています。仮にマルウェアが存在したとしてもMicroVMの内部と外部のインターネットにしかアクセスできない仕組みのため、ユーザのPC本体ばかりでなく、ユーザ自身の資格情報や社内ネットワークも安全に保たれます。

技術的階層での位置づけ

技術的階層での位置づけ

BromiumはWindowsのエンドポイント上で仮想化を使ってアプリケーションを隔離します。
  • 自己防衛し、自己修復するエンドポイントの実現。
  • ユーザタスク単位で、最小権限しかもたされていない、ハードウェア強制施行の使い捨て仮想マシン環境。
個々のMicroVMはカーネルを含むOSが備わっています。
  • 攻撃は「OSとアプリケーション」から「ハイパーバイザーとCPU」に絞られ、実際に影響を受ける事は非常に限定的になります。
  • ハードウェアで施行されるコンテナは、実際のPCと個々のMicroVM間の「仮想のエアギャップ」の役割をします。

 その他の特長

  •  多様なファイルに対応
  •  高いユーザビリティ
  •  クライアントPCを一括管理

Officeファイル(Word、Excel、PowerPoint)、PDF、画像ファイル、動画ファイルなど多様なファイルに対応しています。


BromiumはWeb分離やネットワーク分離などを行う必要がないため、ユーザビリティを損なうことがありません。


Bromiumの動作設定は管理サーバで一括管理可能。クライアントPC用ソフトウェア(Bromium Secure Files & Browsing)も自動で配布できるため、管理も簡単です。

機能


Bromiumは以下のモジュールから構成されます。
  •  Endpoint Protection[ Protect(防御)機能 ]
  •  Threat Analysis[ Respond(対応)機能 ]
  •  Enterprise Controller

既知 / 未知両方の脅威に対して完全な保護を実現

  • エンドポイント侵入を防御するためにWebサイト・Eメール・文書・USB・その他実行ファイルをハードウェア隔離するためにMicro-virtualization(Microvisor)を活用
  • 会社のネットワークから外れた場合であっても、攻撃からモバイルユーザをプロテクト
  • イントラネットや高価値のSaaSサイトへの攻撃者のアクセスをブロック
  • 自動復旧機能を通じて根気良くマルウェアを除去

即時に攻撃の可視化と脅威分析情報を提供

  • MicroVMやホストOS上で実行するマルウェアに対するリアルタイム攻撃のフォレンジックを提供
  • ホスト監視からの「攻撃のインジケータ(IoA)」とマイクロVMからの「侵入のインジケータ(IoC)」をエンドポイントに跨って収集し相関分析
  • エンドポイント上のIOAとIOCを早期に識別するため検索機能を提供
  • 可視化と分析のためにすべての攻撃の今現在のグラフィカルな画面を提供

中央管理機能でAgentの展開やBromium全体の脅威管理に利用

  • 情報システム担当者が集中化されたダッシュボードからリアルタイムに、危険なセキュリティイベント・攻撃のキルチェーン・リスクプロファイルを監視・分析・レポートすることを可能に
  • エンドポイントの隔離と監視能力のすべてに亘る完全な、きめ細かなポリシー制御を提供
  • 完全に自律的なインストールとアップデートエンジンで大規模な展開も加速
  • 多層化防御を提供するために、リアルタイムにSIEMシステムやネットワークセキュリティツールへの脅威インテリジェンスを発行

構成


Bromium稼動時の一般的な構成です。
 最もシンプルな構成

最もシンプルな構成

PoC(*1)や検証などの用途では、データベースとBromium Enterprise Controllerを同一サーバに導入することも可能

(*1)PoC:Proof of Concept = 概念実証

 多様な要件に対応可能なスケーラビリティ例

多様な要件に対応可能なスケーラビリティ例

[ PCの安全を100%守る ]… 2013年以降、Bromiumは推計20億以上のMicroVMが実行されましたが、侵害報告件数はゼロです。(米国Bromium社調べ