サイバー攻撃者がしばしば高度なマルウェアを使用してネットワークやコンピュータを侵害し、企業から機密情報を盗み出すことはよく知られています。最近、ガートナーは、企業を攻撃から保護するために使用できる5つの基本的な方法があると報告し、これらのうちの2つ以上を組み合わせることで、より効果的であることを示唆しています。
本レポートでは、アンチウイルスやファイアウォールといった従来の単純なセキュリティ防御を除き、ステルス攻撃に科学的に対処する「5つの高度な脅威防御モデル」について詳述し、ステルス攻撃の特定やフォレンジックと呼ばれる侵害されたシステムに関する情報収集を支援するために、市場に出回っている数多くのセキュリティ製品を分析しています。本レポートでは、ステルス攻撃の特定や、フォレンジックとして知られる侵害されたシステムに関する情報収集を支援するために、すでに市場に出回っている数多くのセキュリティ製品を分析し、ガートナーが5つの技術的アプローチに分類したセキュリティフレームワークの中で、5つの具体的な「モデル」に分類しています。
ガートナー社によると、まず考慮すべきは、重要なデータを盗むことを目的とした攻撃の期間であり、リアルタイムの防御策を講じることです。しかし、不幸にも攻撃が成功した場合、他のツールは「侵入後」として扱われ、フォレンジックの必要はありません。
一般的に、侵害されたエンドポイントを検出するには、インバウンドとアウトバウンドのネットワークトラフィックを分析する必要があり、これは、攻撃者の負荷を考慮することに加えて、エンドポイントにプロキシソフトウェアをインストールすることなく行うことができます。ガートナーは、エンドポイントがマルウェアによってどのような影響を受けるかを判断することも重要であるが、こうしたエンドポイントの管理・導入には多額の運用コストがかかることが多いと指摘しています。
5つのディフェンステクニック
モード 1- ネットワーク・トラフィック解析技術を使用して、標準的なトラフィック・パターンのベースラインを決定し、異常なパターンに危険な環境を表すラベルを付けます。このアプローチでは、リアルタイムの検出が可能で、匿名化および非匿名化技術の両方を包含することができ、エンドポイントエージェントを必要としません。しかし、このアプローチの課題として、「誤報を避けるための慎重なチューニングと知識の豊富なスタッフ」が必要になる可能性があること、製品が帯域外のツールである場合、攻撃を阻止する能力に限界があり、モバイル端末のオフライン・ネットワーク上のトラフィックを監視できない可能性があることが挙げられます。このモデルでサンプリングされた製品のベンダーには、Arbor、Damballa、Fidelis、Lancope、SourcefireのAMPなどがあります。
モデル 2- ネットワーク・フォレンジックは通常、高度な脅威イベントに対応して、「ネットワーク・トラフィックのフル・パケットのキャプチャと保存」、分析およびレポート・ツールを提供します。このアプローチの利点には、インシデント対応時間の短縮、数日または数週間にわたるトラフィックの再構築と再生能力、そして時には規制要件を満たすための詳細なレポートが含まれます。デメリットは何でしょうか。これらのツールの複雑さとコストは、データと保持時間と共に増大します。時には、データ量が膨大になり、オフピーク時にしかレポートを作成できないこともあります。モード2の製品ベンダーには、Blue CoaとRSAがあります。
モード3- ペイロード分析:サンドボックス技術を使用して、ほぼリアルタイムで攻撃目標を検出することができますが、通常、「数日、数週間、数カ月かけてエンドポイントの挙動を追跡する」ことはありません。マルウェアを正確に検出するためのさまざまな機能があります。匿名化されていない製品をバイパスするマルウェアを検出できるという利点があり、選択的なブロック機能を備えているものもありますが、このアプローチにはまだ課題があります。特に、マルウェアがスリープタイマーなどの回避テクニックを使用している場合には、対応が遅れてしまいます。しかし、一部のベンダーはこの欠点の修正に取り組んでいます。その他の欠点としては、マルウェアがエンドポイントで実行される前に確認情報が得られないことが挙げられます。
シミュレーション環境でマルウェアが特定の動作をしたからといって、実際の標的を攻撃したときに同じ動作をするとは限りません。ガートナーの調査によると、一部の負荷製品は、実行ファイルなど限られた範囲の負荷ボリュームしかサポートしていません。また、ほとんどの製品がMicrosoft Windowsをサポートし、一部のクラウド製品はAndroidをサポートしていますが、AppleのMac OS Xシステムをサポートする製品はありません。
このモデルの主な利点は、システムがネットワーク上にあるかないかを示す基本的な証拠を提供することで、「ゼロデイ攻撃」を阻止できることです。しかし、エージェント・ソフトウェアの導入と管理には運用上の手間がかかり、BYOD 環境では特に難しいという課題があります。このモデルのベンダーには、Blue Ridge Networks、Bromium、Invincea、Sandoxie、Trustwareなどがあり、メモリ監視をサポートするベンダーには、Cyvera、ManTech、HBGary、RSAのEcatなどがあります。
モード 5- 最後のモードはエンドポイント・フォレンジックであり、インシデント対応ツールに関与します。エンドポイントエージェントは、監視するホストからデータを収集し、インシデント対応の自動化を支援します。しかし、エンドポイントエージェントは、導入と管理に運用負荷が高く、Windows 以外のエンドポイントのサポートが非常に限られているという欠点もあります。このモデルに関係するベンダーと製品は、Bit9、Carbon Black、Mandiant、ManTech、HBGary の Responder Pro、Guidance Software の EnCase Analytics です。
ガートナーは、ペイロード分析にはモード 3 を使用し、エンドポイントのフォレンジックにはモード 5 を使用するなど、5 つの高度な脅威防御モードのうち少なくとも 2 つを選択して併用することを推奨しています。
「一部のペイロード解析ベンダーは、エンドポイント・フォレンジック・ベンダーと協力して、インシデント対応時間を短縮するためにソリューションを統合します。ネットワーク・トラフィック解析とエンドポイント・フォレンジックの利点はある程度似ていますが、この 2 つのモデルを併用するベンダーはほとんどありません。Gartner 社のアナリストである Lawrence Orans 氏は、ベンダーの協力関係も意思決定プロセスに影響を与える要因であると述べています。さらに、ネットワーク分析を除いて、一部のモデルは依然として Windows 中心のままです。
ガートナー社のレポートには、その他のモードも数多く含まれており、特に大手ベンダーは、2つ以上のモードを統合した製品を提供し始めていると指摘しています。しかし、1つのモードを選択する企業にとってはデメリットもあり、ガートナー氏は「1つのモードに特化した専門家は、機能面であまり包括的でない製品を提供することになる」と付け加えています。
これらの5つのモデルは、高度な持続的脅威による企業データの盗難に対抗するために使用できますが、アンチウイルスなどの従来のセキュリティ技術を放棄することを意味するものではありません。この5つのモデルは、特に、侵入者との戦いに積極的に取り組んでいる企業のセキュリティ管理者のためのものです。
