【EDR比較】VMware Carbon Black対センチネルワン NGAV+EDRとAIエンジンによるエンドポイント監視

 VMware Carbon Black は米・マサチューセッツ州を拠点とするサイバーセキュリティ企業です。前身のCarbon Black はEDRのパイオニアとして知られています。Carbon Blackは、2019年にクラウドコンピューティングのVMwareに買収されVMware Carbon Blackとなりました。VMware Carbon Blackのセキュリティとセンチネルワンのセキュリティを比較してみましょう。

パターンマッチングに加え振る舞いを検知

 VMware Carbon Blackのセキュリティの特徴は、次世代アンチウィルスと呼ばれるNGAV(Next Generation Anti-Virus)とEDR(Endpoint Detection and Response)を備えたクラウドベースのセキュリティだということです。従来のアンチウィルス(AV)は、データベース化されたマルウェアのデータを対象ファイルのデータとパターンマッチングをすることによってそのファイルがマルウェアなのかどうかを判断してきました。しかし、これでは未知のマルウェアに対応できませんし、ファイルレス攻撃などの高度な攻撃にも無力なことは明らかです。

 そこで、データの照合に加え、その挙動を監視してマルウェアを特定するテクノロジーが生まれました。それがNGAVです。振る舞い検知などの機能によってファイルの動作を監視することにより未知のプログラムでもマルウェアだと特定できるということです。しかし、それでも捕捉し切れないケースがありますから、感染に至ったマルウェアについては、エンドポイントを監視するEDRによって炙り出して検知するという、ある意味、NGAVとEDRの二重の防御でサイバー攻撃を阻止するソル―ションだと言えます。NGAVでの防御があり、それをすり抜けて感染することも想定してEDRという機能を備えているのがVMware Carbon Blackのセキュリティで、人工知能(AI)も活用されていますがAIはツールの1つという位置づけのようです。

ストリーミングプリべンションとAIエンジン

 一方、センチネルワンのセキュリティは、EPP(Endpoint Protection Platform)とEDRに特化した自律型のエンドポイントセキュリティです。静的解析エンジンによって既知や未知のマルウェアを検出し、動的解析エンジンによりエクスプロイトやマクロ、ファイルレス攻撃等を検出し防御するということです。また、インシデント発生時の詳細なログを収集し、攻撃を可視化し、高度な知識を要する復旧作業も自動化されているということです。こうしたテクノロジーは人工知能によって実現されており、AI化されたサイバーセキュリティシステムと言うことが出来るかもしれません。AIを1つのツールとして活用し、防御を多層に構築しているVMware Carbon Blackと比べるとセンチネルワンはエンドポイントの監視とログの収集に特化しAIによる機械学習型のエンジンで解析し脅威の検知、隔離、復旧までを一元的に自動化しています。

 VMware Carbon Blackが特許を取得しているテクノロジーとしてストリーミングプリべンションがあります。これは静的なデータにとどまらず、エンドポイント上の動的なデータも追跡し、戦術や手法、手順の観点を含めて攻撃を判断するテクノロジーのようです。ストリーミングプリべンションによって高度な攻撃にも対処できるということです。一方、センチネルワンにはAIの機械学習による動的エンジンが搭載されておりファイルレス攻撃等の高度な攻撃も検出し防御をするということです。ちなみにセンチネルワンのブログによると、センチネルワンの検知漏れはVMware Carbon Blackの5分の1だとしていて、検知の差についてVMware Carbon Blackのセキュリティシステムにおける「基本的なAI機能の欠如」を指摘しています。

 センチネルワンには、サポートサービスとして自前のMDRのアドオンソリューションがあり、AIを活用したプラットフォームでエンドポイントを監視して顧客企業のセキュリティ部門を支援、センチネル製品が確実に導入され、適切に脅威検知とインシデント対応が実施されるように支援をするということです。一方、VMware Carbon Blackのマネージドディテクションは主にアラート管理とトリアージ向けにとどまり、外部MDRとの連携が必要だと言えそうです。

■参考

https://jp.sentinelone.com/vs-page/carbon-black/

 

SentinelOneとCarbon Blackの比較

 SentinelOneCarbon Black
プラットフォーム機能異なるOS(Windows、macOS、Linux)の最新バージョンだけでなくレガシバージョンにも同等の機能を提供Windows、macOS、Linuxに対応するが、windows以外は機能が限定的
クラウドVM、Dockerコンテナ、kubernetesクラスタを保護、多くのLinuxディストリビューションをサポート主にvSphere統合に重点を置いていて、Linuxディストリビューションのサポート数は少なめ
オフラインでも高いレベルのEPP+EDRを実現検知と脅威特定はクラウドアクセスに大きく依存する
対応する全てのプラットフォームでUSB、Bluetoothでのデバイス制御とファイアウォール制御が可能デバイス制御はUSB、WindowsOSに限定され、ファイアウォール制御はなし
自動化&リカバリ各イベントはStoryline™に自動的に攻撃経路として再構成される。アナリスト向けに焦点を絞りコンテキスト化されたアラートで平均修復時間を高速化各イベントに対して様々な検知情報が取得できる。ただ、手作業での情報の相関分析と攻撃経路の再構成が必要
自動トリガーまたはワンクリックで修復とロールバック(特許取得済み)が可能エンドポイントを感染前の状態に復元することができる(スクリプトによる手動修復)
EDRの品質と範囲ファイルレスマルウェアやインメモリ攻撃など、未知の脅威や最新のTTPに対処可能従来型のシグネチャーベースのアプローチのみ
MITRE Frameworlkとの統合による調査を実装MITRE ATT&CKフレームワークマッピングなし
2020 MITRE ATT&CK評価で最も網羅性の高い検知と最小の検知漏れSentinelOneと比較して相関性のあるテクニック数は少なく、検知漏れも多い
最長365日間利用可能なEDRデータ保持柔軟なプランで最長6ヶ月のデータ保持が可能。(※サービスが頻繁に停止したりAPIデータが制限されるという報告あり)
付加価値のあるサービスサポート+マネージドセキュリティサービスによる包括的なポートフォリオ(Vigilan ce Respond MDRとVigilance Respond Pro MDR+DFIR含む)主にアラート管理とトリアージが中心で、インシデント対応機能なし
24時間365日世界中からアクセスが可能なMDR対応コロラド州ボールダーを拠点とする集中管理型のSOC

最新情報をチェックしよう!