マルウェアの亜種の猛烈な増加は、エンドポイントセキュリティに大きな課題を突きつけています。エンドポイントの数と種類が大幅に増加する中、組織はすべてのエンドユーザ、サーバ、トラフィックを保護し、トラフィック量、マルウェア、その他のネットワーク脅威に対抗するために、境界ネットワーク・セキュリティ・テクノロジーを導入する必要があります。
ウェブベースのマルウェア検知は、シグネチャベースのエンドポイント型マルウェア対策検知に代わるものです。この製品は「常時オン」であり、最新のマルウェアがクライアント側のセキュリティを回避するために使用するトリックに対処することができます。しかし、その導入には多くの課題があります。NBMDを最も効果的に導入するには、並行して導入する必要があり、慎重に設定しなければ、「攻撃的」になりすぎてミッションクリティカルなアプリケーションやビジネスプロセスが中断される可能性があります。
本稿では、アプリケーション・インフラへの影響を回避するための管理・設定方法など、ネットワーク・ベースのマルウェア検知を並行して導入するためのベスト・プラクティスについて説明します。
NBMDの利点
従来のマルウェア対策は、ベンダーのシグネチャに基づいて検出されます。ベンダーは、ネットワーク内で発見されたマルウェアを分離して検査し、マルウェア対策製品がこのマルウェアをどのように認識すべきかを示すシグネチャを作成し、そのシグネチャをマルウェア対策製品の顧客に配布します。
対照的に、NBMDは、サンドボックス環境で疑わしいファイルを実際に実行し、その挙動が疑わしいか悪意のあるものかを判断することで、既知および未知のマルウェアを識別します。NBMD製品が提供するこの追加分析により、高度な持続的脅威(APT)攻撃で一般的に使用される、検出が困難なカスタマイズされたポリモーフィック型マルウェアを発見することができます。
境界に位置するデバイスはレイテンシーが低いとはいえ、インバウンドとアウトバウンドのサイトを最小限に抑えたとしても、混雑したネットワークですべてのトラフィックと未知のファイルを検査することは依然として大きな課題です。最新のNBMD製品によるこの問題へのアプローチは、分析の一部またはすべてをクラウドに移行することで、コストを削減し、スケーラビリティと精度を向上させることです。
クラウドベースのNBMDサービスの大きな利点の1つは、お客様の多くが遭遇する大量のマルウェアを分析することで利益を得られることです。また、すべてのファイルハッシュ、メトリクス、テストの中央リポジトリとして機能するため、更新された結果をすべてのローカルデバイスに配布する必要がなく、新しいマルウェアにさらされる機会を減らすことができます。しかし、ネットワーク内でのNBMDの展開方法は、その効果だけでなく浸透度にも大きな影響を与えます。
ウェブベースのマルウェア検出の導入に成功
NBMD製品のメリットを最大限に引き出すには、NBMDをタンデムで導入する必要があります。タンデムで導入された他のセキュリティアプライアンスと同様に、NBMD製品はマルウェアがネットワークに侵入する前にキャッチし、阻止することができます。アウトオブバンドまたはポートイメージの導入モデルは、より一般的なモニターに近く、トラフィックを検査し、マルウェアがネットワークに侵入した場合にアラートを送信します。しかし、この展開では、管理者がアラートに「振り回される」可能性があるため、サーバーやクラウド全体でうまく拡張できません。NBMDを同時に導入することで、アラートまたはブロックの柔軟性が高まります。
マルウェアがネットワークに侵入する前にブロックすることは素晴らしいことですが、疑わしいファイルがネットワークに侵入するのをすべて自動的にブロックすることには、誤検出によって重要なアプリケーションが破壊されたり、ユーザのワークフローに影響が出たりするという欠点があります。カスケード検知やアラートからブロックへの移行をスムーズに行う唯一の方法は、時間をかけてゆっくりとルールを厳格化し、誤検知による問題を排除することです。組織は、ベンダーのいわゆる自己学習システムには懐疑的であるべきで、ポリシーを定義し、それが機能するまで時間をかけて調整すべきです。
当初、組織はNBMDアプライアンスを、既知の悪意のあるファイルのみをブロックするように設定することができます。同時に、不確実なファイルに対してアラートを送信し、これがもたらす可能性のある追加の作業負荷に対処するために利用可能な十分なリソースを確保することができます。特定のファイルタイプがプロセスやアプリケーションに損害を与えないと判断されれば、アラートリクエストから削除することができます。その間に、重要なアプリケーションのログを定期的にチェックして、エラーメッセージをキャッチします。また、ユーザが遅延や中断を経験する可能性のある一般的なワークフローについて、サポートデスクに警告を発します。サポートデスクは、ユーザからフィードバックを得る必要があり、このプロセスはルールを定義するのに役立ちます。
NBMDは、感染したデバイスと攻撃者のコマンド・コントロール・センターとの間の典型的な通信など、悪意のある可能性のある送信ネットワーク・トラフィックなど、その他のさまざまな企業の脅威を識別するためにも使用できます。プロトコル、宛先、時間、ファイルタイプ、パケットコンテンツなどのメトリクスに基づいて、特定のアプリケーションのみにネットワーク外へのデータ送信を許可することができるため、組織は感染したデバイスからのデータ送信を防止してデータ漏えいを阻止することができます。
しかし、適切に設定されたNBMD製品を導入した後でも、組織は、デバイスが企業ネットワーク上にあるかどうかにかかわらず、エンドポイントに従来のマルウェア対策を導入して保護を強化する必要があります。
NBMDの未来に向けて
ウェブベースのマルウェア検出製品は、高度な脅威への対応に苦慮している組織にとって、従来のマルウェア対策プログラムを補完し、最終的には置き換えることができる魅力的な製品です。NBMDの導入プロセスには、まだ突破すべき多くのハードルがありますが、組織がこれらのデバイスの導入に十分な執着心と決意を持つことができれば、最終的に豊かな報酬を得ることができるでしょう!
