FireEyeは、Clouderaの最先端の分析プラットフォームを使用することで、より迅速なゼロデイ攻撃の検出や高度な持続的標的型攻撃（APT攻撃）を阻止するためにキーとなる、生産性やデータ可視化機能の向上を図ることができました。

FireEyeは、企業のサイバー攻撃に対する十分な準備、防御、そして対処を可能にするインテリジェンス主導のセキュリティ企業です。FireEyeは、世界67ヶ国に5,600社以上のお客様を抱えています。

課題

FireEyeの脅威インテリジェンスチームが監視対象とするデータの量は、わずか3年の間で25倍増加しました。FireEyeの顧客から収集したマルウェアに関する情報や、マルウェア分析結果で構成されたDynamic Threat Intelligenceデータベースを使用することで、FireEyeの脅威ハンターは、攻撃側がその目的を達成する前にゼロデイ攻撃を発見したり、APT攻撃を阻止したりすることができます。

同チームは、データ量が増えるに従い、リレーショナルデータベースの拡張が困難になるだけでなく、クエリへの応答も遅くなることに気付いていました。「当社の脅威インテリジェンスデータは、常に利用可能でなければなりません。従来のテクノロジーを利用したデータアクセス方法は、もう限界に来ていました」とFireEyeのソフトウェア開発マネージャー、Alex Rivlin氏は述べています。

FireEyeは、ゼロデイ攻撃やAPT攻撃のより高速な検出に不可欠となる分析機能の向上を図るために、Clouderaと共同で分析プラットフォームを構築しました。同プラットフォームは、1時間あたり1,600万件以上の分析結果から収集したテラバイト単位のデータにも対応できます。

” 当社のリサーチャーは、1年を超える範囲のデータを対象にクエリを発行したり、複数のお客様を横断する形でのクエリを発行する必要があります。Clouderaと協業したことで、当社が保有するすべてのデータに簡単にアクセスできるようになりました。”

－ FireEye、スタッフエンジニア Ganesh Prabhu 氏

またFireEyeの脅威ハンターは、より簡単に機械学習を適用し、新たな攻撃やキャンペーンを発見できるようになりました。Rivlin氏は、次のように述べています。

「分析機能と機械学習は、マルウェア防御の中心となるコンポーネントです。Clouderaのプラットフォームによって、標準的な機械学習ライブラリを簡単に利用できるようになったので、リサーチャーはデータ収集に必要なコレクタやアダプタを自ら開発する必要がなくなりました」

サイバー犯罪者による新たな攻撃が続く中、FireEyeでは、新しいプラットフォームに早く移行することを望んでいました。「Clouderaは、当社が提示した非常に過酷なスケジュールに対しても協力を惜しみませんでした。Clouderaの支援なしには、今回の結果は達成できなかったでしょう」とPrabhu氏は述べています。

FireEyeにとってApache Hadoopは初めての経験であったため、同社の導入計画達成においてトレーニングは重要な要素でした。「SQLのアクセスパターンから見て、Hadoopは最適であり、しかも水平拡張も容易に可能でした。しかし当社のチームは、リレーショナルデータベーステクノロジーや、一般的なソフトウェアアプリケーション開発のスキルしか持ち合わせていませんでした。このため、Hadoopツールやベストプラクティスについて学習する必要がありました。わずか4日間のClouderaのトレーニングによって、他のどんな方法よりも容易にHadoopを導入することが可能になり、いち早くスタートを切ることができました」とRivlin氏は説明しています。

今回の新しいプラットフォームによって可能となった生産性とデータの可視化能力の向上は、ゼロデイ攻撃を検知し、APT攻撃を早期に阻止するために重要です。例えば、脅威ハンターは大規模なクエリについても短時間で応答が得られるようになり、以前は不可能だったより広範なデータにもアクセスできるようになりました。

「私達はセキュリティリサーチにおける新たな扉を開きました。これまでリサーチャーは、50％もの時間をデータの収集に費やしていました。しかし今では、80％以上の時間をリサーチに充てることができます。

さらに2年間にもおよぶデータを処理し、影響を特定できるようになりましたが、これはレガシーなプラットフォームでは不可能でした。」