Symantec Endpoint Protection (SEP) には、ファイルベースの保護、ネットワークベースの保護、振る舞いベースの保護、評価ベースの保護という 4 つの主要なマルウェア対策技術が含まれています。 保護技術が有効かどうかを検証する方法と、対応するアラートはどのようなものなのか知りたい。
シマンテックのファイルベース保護 には、ファイルベースのアンチウイルスエンジン、Malheur エンジン、Bloodhound テクノロジーを含む複数の保護エンジンが含まれています。アンチウイルスエンジンで警告を発するには、後述する EICAR ファイルを使用します。
ファイルベース保護のテストは、EICAR (European Institute for Computer Antivirus Research) を使用します。 このファイルは悪意のあるものではなく、多くのアンチウィルスベンダーでテスト用の文字列とファイルとして合意されています。ファイルベースアンチウイルスのテスト用ファイルは EICAR のウェブサイト からダウンロードできます。.txtファイルのほか、.zip アーカイブに埋め込まれたバージョンもあります (1 レベルか複数レベルの深さ)。ウイルスとスパイウェアの対策ポリシーのテスト では、EICAR を使用してテストする方法について、正確な手順を説明しています。
シマンテックのネットワークベース保護 は、悪意のある攻撃がシステムにマルウェアを持ち込む前にブロックするように設計された一連の技術です。ファイルがユーザーのコンピュータに物理的に作成されるまで待つ必要があるファイルベースの保護とは異なり、ネットワークベースの保護は、ネットワーク接続を介してユーザーのマシンに到着する受信データストリームの分析を行います。 3 つの主要なエンジンがあります。
IPS エンジンまたはブラウザ保護が機能していることを検証するには、オペレーティングシステムまたはブラウザの基本的な脆弱性を実際に悪用する必要があります。IPS およびブラウザ保護エンジンをテストするには、2 つの方法があります。警告と通知を最大化するには、脆弱性のあるブラウザ、プラグイン、およびオペレーティングシステムを用意することが有効です。Metasploit、Core Impact、Immunity Sec's Canvas などのプログラムを使用して、基盤となる OS、ブラウザ、サードパーティアプリケーションの脆弱性を実際に悪用することもできます。
Metasploit、Core Impact、Canvas などのテストツールを使用して IPS およびブラウザ保護ソリューションをテストすることは、Web 攻撃ツールキットに類似した実際の攻撃を模倣する上で最も効果的です。テストを実行する際には、テストを簡単にロールバックできるように、仮想環境を使用することをお勧めします。 サーバ側のエクスプロイト (MS-RPC と LSASS サービスを悪用するテスト)をセットアップしてオペレーティング システムを悪用し、クライアント側のテストでは実際のウェブサーバを実行し、テスト対象のエンドポイントを URL に移動してブラウザまたはブラウザ プラグインの脆弱性を悪用するよう設定します。
注: NMAP スキャンや Nessus 脆弱性スキャンの実行は、悪意のある行為を行うものではなく、"安全" チェックを除外するように設定しても、IPS やブラウザ保護エンジンが作動することはありません。
nmap -A を使ってコンピュータをスキャンすると、ネットワーク脅威防止 (ファイアウォール) コンポーネントの警告を作成することができます。
UXP は Un-Authorized Download Protection の略です。
ネットワークベースの保護レイヤーの中で、この最後の防御ラインは、シグネチャーを使用せずに、未知の脆弱性やパッチが適用されていない脆弱性を緩和するのに役立ち、ゼロデイ攻撃に対するさらなる保険となります。
シマンテックの振る舞いベースの保護技術 は、これまで知られていなかったゼロデイコンピュータの脅威から、効果的かつ非侵襲的に保護することができます。Symantec Online Network for Advanced Response (SONAR) は、振る舞いベースのテクノロジーのメインエンジンであり、人工知能に基づく分類エンジン、人間が作成した行動シグネチャ、行動ポリシーロックダウンエンジンを特徴としています。これらのコンポーネントを組み合わせることで、ソーシャルエンジニアリングや標的型攻撃に多い脅威に対して、業界最高水準のセキュリティ保護を実現しています。
Sonar テクノロジーをテストしアラートを発するには、英語版技術文書 に添付された socar.zip ファイル(Eicarと同様にパスワードは "infected") を解凍し、悪意のない "SOCAR.EXE" 実行ファイルを起動します。
SONAR のテストに関する追加情報は Socar.exe テストファイルを使用して SONAR が機能していることを確認する を参照してください。
シマンテックの評価ベースの保護技術 は、STAR が開発した一連の保護技術に新たに追加されたものです。評価ベースのセキュリティは、マイクロ分散型マルウェアという脅威の最新動向に対応するものです。1 億 3 千万人以上のユーザーの知恵を結集した評価システムは、ユーザーの匿名の採用パターンに基づいて、どのアプリケーションが良くて、どのアプリケーションが悪いかを学習します。そして、このインテリジェンスを使用して、地球上のほぼすべてのソフトウェアファイルを自動的に分類します。このレピュテーションデータは、シマンテックのすべての製品で利用され、新しいマルウェアを自動的にブロックしたり、逆に新しい正規のアプリケーションを識別して許可したりします。
評価テクノロジーをテストするには、まず評価テクノロジーなしでテストし、検出が起こらないことを確認します。英語版技術文書 に添付された、害のない cloudcar.zip (cloud eicar に似ている) を開きます。 解凍して Cloudcar.exe (パスワードは "symantec") ファイルを取得します。 インターネットからシステムを切り離し、右クリックメニューの [ファイルインサイト] を実行します。"悪い" 評価とは検出されません。インターネット接続を行い、インターネットと当社のレピュテーションクラウドテクノロジーに接続した状態で、ファイルを右クリックし [ファイルインサイト] を選択します。ファイルは "悪い" と評価され、ファイルが信頼できないことが示されます。