脅威の検知は、シグネチャベースのファイアウォールや侵入検知システムだけでなく、コンテンツや通信を監視する新しいテクノロジーにも広がっています。しかし、このような第 2 層テクノロジは、さまざまな理由からセキュリティ予算に含まれていません。1つ:組織が従来のベストプラクティスや時代遅れのコンプライアンスに近視眼的に集中しているため、こうした新しいシステムやサービスが除外されています。
最高レベルのセキュリティは、「人」「プロセス」「技術」の3つの分野に分類することができます。人とプロセスは、企業の収益、業種、地域によって異なります。しかし、ほとんどの業種では、ティア1のセキュリティ・テクノロジーを含め、セキュリティ・テクノロジーと脅威検知の大部分は比較的安定したまま、固定されています。ファイアウォール、アンチウイルス、侵入検知/防御システム、セキュア・ウェブ・ゲートウェイ、メッセージング・セキュリティ、VPN、セキュリティ情報・イベント管理などです。
レイヤー1のセキュリティ・テクノロジーは、あらゆるセキュリティ・アーキテクチャの基礎となるものです。今こそ、新しいテクノロジーを採用し、受け入れる時なのです。
正直なところ、「最新の」テクノロジーが必要であり、これらのサイバーセキュリティ・デバイスやサービスは第2層のテクノロジーと呼ばれています。これらの概念は、セキュリティ業界におけるユニークなパラダイム・シフトを示すと同時に、セキュリティのベスト・プラクティスに関する基本的な誤解に対処するものです。
脅威検知強化の重要性
脅威の形態はダイナミックであり、脆弱性を悪用する新しい方法は常に存在します。レイヤー1のセキュリティ技術の最大の問題点は、未知のマルウェアを阻止できないこと、あるいは攻撃がいつ成功したのかさえ分からないことです。
レイヤ1セキュリティ技術に関する一般的な誤解は、これらのデバイスやソフトウェアがマルウェアをカバーしていると主張しているものの、セキュリティ・ベンダーによって、カバーする深さのレベルが特定されていないことです。例えば、あるセキュリティ・ベンダーは、何百もの未知の脆弱性に対してゼロデイ・カバレッジを提供すると主張しています。そのフィルタ設定をよく見てみると、ほとんどのゼロデイ・フィルタはデフォルトで無効になっています。これはゼロデイ・カバレッジのマーケティング上の主張ですが、デフォルトでオンになっていないのであれば、脅威に対する防御やリスクの軽減にどのように役立つのでしょうか。
ほとんどのレイヤー1のセキュリティ技術は、既知の脅威からあなたを守ります。その好例がマイクロソフトです。Windowsの修正パッチは、Microsoft Patch Tuesdayにリリースされます。マイクロソフトが優れているのは、マイクロソフト・プロアクティブ・プロテクション・プログラムに参加しているセキュリティ・ベンダーと協力関係にあることです。マイクロソフトは、脆弱性情報を一般に公開する前に、これらのベンダーに送信します。これにより、これらのベンダーは既知の脆弱性を特定するためのフィルタやシグネチャを作成する時間を得ることができます。
しかし、問題は、転送中またはターゲット資産内の未知の悪意のあるコンテンツを識別する能力です。次のステップは、攻撃が成功したかどうかを判断することです。ほとんどのレイヤ1セキュリティ・テクノロジーは、このようなニーズの高い機能を提供することができません。
一部のレイヤ1セキュリティ・アプライアンスは、IPSを流れるデータが特定のフィルタ/シグネチャまたはパターンに一致するかどうかを検証するために複数の処理を実行しているため、トランザクションのステータスを追跡することができません。さらに、マルウェアを含む複合文書を解析する機能を持たないシステムもあります。企業のインフラを保護している製品の問題点を理解することで、セキュリティ戦略を見直すことができます。
セキュリティ戦略の目標は、全体的なリスクを低減することです。あらゆる脅威から身を守るためには、万能なアプローチは存在しないことを理解することが重要です。セキュリティ・コミュニティは、孫子の兵法にある「己を知り、敵を知れば百戦危うからず」という言葉をよく引用します。敵を知り、敵を知り、百戦危うからず。しかし、"汝自身を知れ "という言葉は十分に行われておらず、ほとんどの人はセキュリティ対策を追加することに集中しています。
BDSの主な特徴は、攻撃を感知する能力です。BDSは、悪意のあるファイルやコマンドの初期状態を検出し、未知のマルウェアの通信を制御することができます。BDSは、悪意のあるファイルやコマンドの初期状態を検出し、未知のマルウェアの通信を制御することができます。これらのシステムは、ネットワークデバイスまたはエンドポイント資産にロードされるソフトウェアとして、ネットワーク境界に配備されます。IPアドレスやドメイン名のレピュテーション・データ、パターンマッチング、ヒューリスティック、トラフィック監視、ブラウザ・エミュレーション、オペレーティング・システムの動作解析など、さまざまな識別ベクトルを使用します。図 1 は、あるベンダーが今年初めに実施した BDS テストの結果です。このテストでは、HTTP 経由で増殖に成功したマルウェアの 2 つの側面を識別する製品の能力が実証されました。
未知のマルウェアには、必ず最初に感染した資産が存在することを知っておくことが重要です。BDSは、この最初に感染した資産を特定するだけでなく、感染したインフラストラクチャ上の他の資産を修復するための適切なインテリジェンスを提供することができます。BDSは、この最初の感染資産を特定するだけでなく、感染したインフラストラクチャ上の他の資産を修復するための適切なインテリジェンスを提供します。これは間違いなく、他のセキュリティ技術によって残されたギャップを埋めるために追加のセキュリティを追加する、深層防御のアプローチです。
脅威検知技術、およびこれらのシステムの成熟度と拡張性はベンダーによって異なります。考慮すべき点としては、これらのシステムがネットワーク導入とエンドポイント導入のどちらを必要とするのか、あるいは両方の組み合わせが必要なのかが挙げられます。サンドボックス技術を使用し、データがクラウドに送信される場合、この機能をオフにできるかどうか。このシステムは、既存の攻撃だけでなく、サイドチャネル経由で侵入してくるマルウェアも検出できますか?ベンダーがこれらの問題に対処できると主張している場合でも、組織はこれらの技術が宣伝どおりに機能するかどうかを検証する必要があります。
NSS Labsでは、このテクノロジーは徹底的にテストされ、既存のセキュリティインフラを補完する強固な追加セキュリティコントロールを提供すると考えられています。また、既存のセキュリティ・インフラストラクチャに2層目のセキュリティ・レイヤを採用することは、持続的で未知の脅威に対抗する素晴らしい方法です。このようなCAPEXの購入は、組織の会計年度の予算サイクルに先立って十分に計画する必要があります。
