マカフィーの法人事業とファイア・アイの製品事業の統合が発表されました。今後は新たなセキュリティ専業会社を設立し、人工知能(AI)と自動化を活用した統合型セキュリティプラットフォームの開発に取り組むということです。統合の背景には、先行する新興サイバーセキュリティ企業のEDR等のテクノロジーがあることは明らかで、AIによる自律的なエンドポイント保護のテクノロジーを提供しているセンチネルワンはマカフィーのEDRとの比較を示して、その優位性を強調しています。
SUNBURSTを検出できるか、できないか
マカフィーは1987年に創業され、主にアンチウィルス(AV)ソフトのベンダーとしてサイバーセキュリティーをけん引してきました。一時期、インテルの傘下になりましたが、2017年には独立して単体の企業になりました。しかし、サイバー攻撃の高度化、マルウェアの多様化によってAVはサイバー攻撃を防御するテクノロジーとして十分に機能しなくなり、新たな防御テクノロジーであるEDRが台頭、AVベンダーの代表格と言えるマカフィーもAIを活用してエンドポイントの脅威を検出するMVISION EDRを2018年に公開し、日本市場では2019年より運用を開始しています。
AIエンジンによる自律的なエンドポイントセキュリティーを提供している新興のセンチネルワンは、同社のEDRとマカフィーのEDRを比較して、センチネルワンのEDRの優位性を強調しています。センチネルワンが指摘している1つは検知の差です。米MITER社のMITRE ATT&CKにもとづく2020年の評価では、センチネルワンの検知漏れはマカフィーの10分の1以下。この差についてセンチネルワンは、高度なリアルタイムの振る舞いAIや適切なEDRデータをマカフィーが保持していないことを指摘しており、マカフィーの検知はクラウドアクセス(GTI)に大きく左右され、オフライン時はAVテクノロジーであるシグネチャーと十分とは言えない機械学習に依存していると評価しています。
センチネルワンの振る舞いAIモデルは、エンドポイント上のすべての振る舞いをマッピング、監視、リンクしてストーリーラインと呼ばれるストーリーを作成し、これを行動AIモデルにより継続的に評価し、行動が脅威と判断されると自律的に攻撃阻止の行動を起こします。また、EDRデータについてもセンチネルワンは365日間にわたり保持し、それらデータにより効果的な脅威ハンティングを実現しているということです。その結果、SUNBURSTのようなトロイの木馬によるステルス攻撃の検知も捕捉が可能だということです。
EDRのテクノロジー核に業界再編の動き
センチネルワンはマカフィーとの比較で自動化についても取り上げています。センチネルワンのブラットフォームは自動的に攻撃のストーリーラインが生成され、ワンクリックで修復、ロールバックが可能であり、対応するSOCチームは有効に時間を使って脅威に対処することが出来るということです。一方、マカフィーの自動化は限定的で、顧客はマニュアル作業によるセキュリティイベントの分析、攻撃経路の再構成、エンドポイントの修復、複数のモジュールとエージェントの設定に貴重な時間を費やしていると指摘しています。
センチネルワンはプラットフォーム、自動化とリカバリ、EDRの品質と範囲、付加価値のあるサービスの4つの分野において計10項目にわたりマカフィー製品との比較を示してセンチネルワンの優位性を示しています。アメリカでは、エンタープライズのセキュリティがマカフィーなど従来の企業のテクノロジーからセンチネルワンをはじめとした新興サイバーセキュリティ企業のテクノロジーへととってかわりつつあるようです。こうした流れの中で、既存勢力であるマカフィーのエンタープライズ部門とファイア・アイの製品部門が統合、新たな会社を設立してAIと自動化を活用した統合型セキュリティプラットフォームの開発に乗り出すということですから、これはある意味、台頭する新興サイバーセキュリティ企業に対する「狼煙」なのかもしれません。
■出典
https://jp.sentinelone.com/vs-page/mcafee/
https://jp.sentinelone.com/blog/behavioral-ai-an-unbounded-approach-to-protecting-the-enterprise/
https://japan.zdnet.com/article/35177902/
SentinelOneとMcAfeeの比較
SentinelOne | McAfee | |
プラットフォーム機能 | 単一のプラットフォームにより一元化された直感的なオペレーションが可能 | 複数のモジュールとエージェントを統合。インターフェース間の移動が必要な場合がある |
オンラインでもオフラインでも静的および振舞いAIエンジンで防御 | 検知はクラウドアクセス時に最大の効果を発揮し、オフライン時はシグネチャと機械学習による検知 | |
クラウドSaaS、ハイブリッド、オンプレミスいずれも同様の機能を提供 | セルフホストインスタンスとSaaS ePOインスタンス間で様々な機能設定が可能 | |
自動化&リカバリ | 各イベントをStoryline™に攻撃経路として自動的に再構成し、アナリスト向けに焦点を絞り状況に応じたアラートをおこなう | MVISION、ePO、およびSIEMが分析とコンテキスト化を実行。ただし調査と行為ハンティングのためにMVISION、ePO、およびSIEM間で切替が必要 |
自動的にトリガーもしくはワンクリックで修復とロールバック(特許取得済み)が可能 | DATの修復機能を使用しているが、EDRロールバックは限定的 | |
EDRの品質と範囲 | 静的および振舞いAIを活用した検知 | シグネチャベースのアプローチでの検知。ファイルレス、高度な攻撃TTP、初歩的なAI機能は実装されていない |
MITRE Frameworkと標準で統合されており、MITRE ATT&CKマッピングされている | MVISION Cloudアドオン/モジュールによりMITRE ATT&CKマッピングが可能 | |
2020 MITRE ATT&CK評価で最も網羅性が高い検知と最小の検知漏れ | 2020 MITRE ATT&CK評価ではデータの相関分析が少なく、検知漏れが多い結果に | |
標準で14日間のEDRデータ保持、アップグレードで最長365日間利用可能 | 標準で7日間のEDRデータ保持、アップグレードで最長90日間利用可能 | |
付加価値のあるサービス | SentinelOneのエキスパートスタッフによるVigilance Respond MDRとVigilance Respond Pro MDR+DFIRが可能 | MDRアクティビティはパートナーネットワークに外注 |