高度なマルウェアとの戦いは激化の一途をたどっており、多くの企業は、デスクトップのエンドポイント・ウイルススキャナーやネットワーク侵入防御製品に頼るだけでなく、企業ネットワークをリアルタイムで保護するために、より強力な防御策を導入する必要があります。
しかし、高度なマルウェアをセキュリティ企業が検知することはますます難しくなっています。これは、クライプターやパッカーと呼ばれる自動化されたオンラインツールの普及や、ソーシャルネットワークを利用して信頼を構築する多くの新しい攻撃手法、メモリ攻撃やランサムウェアの存在が大きく影響しています。自動化されたオンラインツールの人気、そしてソーシャルネットワークを利用して信頼を築く多くの新しい攻撃手法、さらにはメモリ攻撃やランサムウェア。これらはすべて、ますます厄介なオンラインの世界に直面することを意味します。
クリプターとパッカーは、サイバー犯罪者が特定のデスクトップをターゲットにしたカスタムコードを作成することを容易にします。このような「パーソナライズされた」アプローチの結果、シグネチャスキャナは効果を失い、ゼロデイ攻撃を阻止することは非常に難しくなります。
ITセキュリティ企業のSophosによると、ランサムウェアの人気は高まっています。その例として、11月にSAPのインストールを標的とした最新の攻撃や、ネットワークに感染したCryptoLockerの亜種などが挙げられます。これらの攻撃では、感染したコードが保護ソフトウェアを装ってフィッシング攻撃によってダウンロードされます。このコードは保護する代わりに、データを返す前に金銭を要求します。
勝率アップ
Neohapsisのシニア・セキュリティ・コンサルタントで、カリフォルニア州の病院チェーンでITマネージャーを務めていたアンディ・ハバード氏は、次のように述べています。「9,000~12,000人のユーザーを抱える組織では、平均して月に1,000~1,200件のウイルスインシデントが発生しています。従来のアンチウイルス製品では、これらのインシデントの多くを捕捉することができますが、デスクトップは依然として適切にメンテナンスされる必要があります。"
ハバード氏によると、「様々なバージョンの偽ウイルス対策プログラムがまだ一般的であり、スパムフィルターをバイパスする悪意のある電子メールトラフィックの割合がわずかであっても、深刻な影響を及ぼす可能性があるということです」。
スパムやウェブコンテンツフィルタ、サイバー脅威防御アプライアンスは最新技術ではないかもしれませんが、それらを100%最新に保つことは絶対に必要です。"
元 CIO で、現在は AVOA の戦略アドバイザーを務めるティム・クロフォード氏は、次のように述べています。脅威のベクトルが比較的単純なシグネチャ・ベースのものから、より複雑なビヘイビア・ベースのものへと徐々に変化する中、多くのIT管理者の意識はまだそれに伴って変化していないのです」。
その他の反撃方法
企業が反撃するために使用できる一般的な手法は 2 つあります。第一に、多くの企業がリアルタイムのグローバル・スキャンを実行する能力を向上させています。McAfee、Norse、FireEye、Palo Alto、Network Boxなどのベンダーは、この分野の製品やサービスを提供しています。これらのセキュリティ・ベンダーは、世界中の主要な顧客やインターネット接続ポイントにセンサーを配備しており、ゼロデイ脆弱性をほぼリアルタイムで検出することができます。
McAfee は、Advanced Threat Prevention Appliance とエンドポイントおよびサーバー用のリアルタイム・ソフトウェアを組み合わせ、ゼロデイ攻撃をより的確に捕捉する試みを行っています。Norse社は、クレジットカード会社が数秒でクレジットカードにカードリーダーを通し、カードが侵害されているかどうかをチェックできるソフトウェアを提供しています。これとは別に、Network BoxのZ-Scanマルウェア対策サービスは、主要なネットワーク・セグメント上の高度なマルウェアやその他の異常を検出するために、何十万ものプローブを展開します。また、パケットを検査する3つのIPSエンジンだけでなく、12種類のマルウェア対策スキャナーも追加しました。
他の企業は、統合セキュリティシステムを発売するために提携しています。11月に発表されたVerdasys Digital Guardian Connector for FireEyeは、FireEyeの検知ネットワークとVerdasysのエンドポイントプロテクションを組み合わせたものです。今後さらに多くのパートナーが現れることを期待しています。
早期警戒システム
また、Cisco、Blue Coat、Bit9、Symantecといった企業が提供する、より高度で統合されたレピュテーション管理技術もあります。これらのシステムも世界中にセンサーを配備していますが、マルウェアが拡散している特定のネットワークドメインを見つけ出そうとしている点が異なります。レピュテーション・サービスは数年前から存在していましたが、現在では、これらのサービスが一般的なネットワーク・ファイアウォールやIPSサービスに統合され、マルウェアや異常なネットワーク・イベントをより的確に検出できるようになっている点が異なります。これらのシステムは、実際のインターネットトラフィックからデータを収集するため、新たな感染が世界中を移動し始めたときに、早期警告システムとして機能します。
CiscoのSecurity Intelligence Operations Centreは、SenderBase製品ラインに根ざしており、IPS、Webセキュリティアプライアンス、ASA CXファイアウォールラインなど、さまざまなCiscoアプライアンスで使用することができます。シスコのリーチと市場シェアにより、これは優れた防御の第一線として機能し、多くの潜在的な脆弱性の悪用を発見することができます。
一部のファイアウォールベンダーは、さらに一歩進んでいます。これらの企業は、自社独自のレピュテーション管理システムにジオフェンシング機能を追加し、保護を強化したり、高度なマルウェアを送信する特定のドメインを特定したり、多くのエクスプロイトの発信元を突き止めたりできるようにしています。つまり、一連のシンプルなメニューを使用して、特定の国からのトラフィックを拒否または許可することができます。
しかし、これだけのテクノロジーがあっても、不公平な戦いであることに変わりはありません。コンサルティング会社アイアン・ホースのトニー・スターク社長はこう警告します。悪者はあなたを傷つけようとし、あなたはミスを犯し、悪者は侵入し、事故は避けられません。それを念頭に置いて、プロセスがどのようにうまくいかなくなるかを想像し、それに対応するために、プロセスをより柔軟にするセキュリティ手順を設計し、事態が悪化した場合の対応手順を展開し始めることができます。いずれ攻撃されることを想定するなら、唯一の真の防御策は、信頼できるバックアップと優れた復旧プロセスを導入することです。"
