Kaspersky Anti Targeted Attack Platform (KATA)

Kaspersky Anti Targeted Attack Platform（KATA）は、標的型攻撃から保護するために多層の検知テクノロジーを備えた法人のお客様向けソリューションです。オブジェクトのサンドボックスの解析およびエンドポイントのふるまい分析を組み合わせたネットワークトラフィックのリアルタイムの監視により、企業のITインフラストラクチャ全体の状況を詳細に把握します。ネットワーク、エンドポイント、グローバルな脅威状況を含む多層防御からのイベントを関連付けることで、KATAは複雑な脅威を「ほぼリアルタイム」での検知を達成し、遡及的な調査を行うことができます。この製品は、Kaspersky Labの次世代の高度な多層防御アプローチを体現しています。

過去数年間、コモディティマルウェアは長期的でより周到に準備された高度な標的型攻撃キャンペーン、いわゆるAPT（Advanced Persistent Threats）の陰に隠れ続けていました。攻撃対象を狙いすまし、このような攻撃は簡単に容易に単一層防御を回避します。しかし、より多くの検知手法を使用することで、攻撃を失敗に終わらせる確率が高くなります。

標的型攻撃対策製品の主な目的は、攻撃が割に合わなくなるまで攻撃のコストを高くすることです。したがって、このような攻撃対策に最適な製品は"シュークリーム"のようになるべきです。つまり中心部に"おいしいクリーム"が詰まった検知テクノロジーの層がある必要があります。

KATAには次の検知テクノロジーが組み込まれています。

• 標的型攻撃アナライザー（TAA） - KATA専用に開発された新しいテクノロジーです。エンドポイントとその他の検知エンジンからイベントを集約し、統計情報と機械学習モデルに基づいて判断することができます。
• サンドボックス – Kaspersky Labの受賞歴のある検知率の基盤をなすもので、別に設置されるサーバー上に配置されます。さらに、ファイルの微少な疑わしい動作をマークする特殊な後処理機能が追加されました。攻撃者が用いる攻撃ツールの検知に一般的なアプローチで対策をしながら、セキュリティ担当者にマルウェアの詳細情報を提供します。
• リアルタイムのトラフィックのIDSスキャン – 通信チャネルを検知するための非常に効果的な方法です。
• 特定のまたはより詳細な設定で動作する従来型のアンチウィルスチェック。検知された全てのオブジェクトおよび疑わしいものとして検知されたオブジェクトは詳細に解析するためにTAAに送られます。
• Kaspersky Security Network（KSN）は、KATAによって処理されたオブジェクト（ファイル、ドメイン、URL、IPアドレスなど）に関するレピュテーション、知名度、その他の利用可能なすべての情報を取得するために幅広く使用されます。プライベートクラウド（KPSN）もサポートされています。
• ユーザーはKATAにて分析されるオブジェクトをスキャンするYaraルールをアップロードできます。オブジェクトがアーカイブの場合、KATAはそれを開き、Yaraスキャン用に1つのオブジェクトを提供します。

KATAは異なるソースから分析用のデータを取得します

• ネットワークセンサーはトラフィックのコピーを受信し、さらに分析するためにオブジェクトとネットワークのメタデータを取得します。
• Kaspersky Security Mail GatewayによりすべてのメッセーをKATAに送信できます。もしくは、お客様はKATA Mail Sensorをインストールできます。
• Kaspersky Endpoint Securityはエンドポイントセンサーとして機能し、お客様のネットワーク全体でコンピューターから必要なデータをすべて収集できます。または、サードパーティのエンドポイント保護製品と互換性があるスタンドアロンのエージェントをインストールできます。

KATAの主な目的は、標的型攻撃が進化するすべての段階で検知することです。すべての防御層は、1つ以上の段階の攻撃を検知する役目を果たします。サンドボックス、Yara、アンチウィルスは侵入を監視し、IDSは通信と流出を担当し、TAAはほぼすべての段階を監視し、KSNは上記のすべての段階で必要なデータを提供します。

これにより、情報セキュリティ責任者には、企業ネットワークで発生する悪意のある動作、疑わしい動作、異常な動作、すべての情報知ることができます。