- 2021/02/02
- サイバー攻撃
サイバーリーズン vs. SolarWindsサプライチェーン攻撃
Post by : Sam Curry
2020年12月13日、ITインフラストラクチャ管理プロバイダーであるSolarWindsは、「高度に洗練された」サプライチェーン攻撃を経験した後、同社のSolarWinds Orion Platformに関するセキュリティアドバイザリを発行しました。なお、セキュリティ企業であるFireEyeの調査によれば、この攻撃は2020年春には開始されていたと報告しています。
Cybereason Defense Platformは多層型の保護を提供することにより、SolarWindsサプライチェーン攻撃のような高度な脅威を攻撃シーケンス中における複数のポイントでブロックするように設計されています。具体的には、IOC(Indicators of Compromise:痕跡情報)に基づいて攻撃をブロックできるほか、より重要なこととして当社のプラットフォームがより捉えにくいIOB(Indicators of Behavior:振る舞いの痕跡)に基づいて攻撃をブロックできます。
SolarWindsサプライチェーン攻撃のような高度な攻撃は、防御者にとって新たな課題を提示しています。我々はすでに継続的なインシデント対応の時代に突入しており、特にこれらの防御アプローチをすり抜けるように設計された高度な攻撃に直面した場合においては、もはや予防措置のみに頼ることはできません。攻撃の個々の側面をブロックすることで、攻撃全体を阻止できたと見なすことは、もはや十分ではありません。今日のMalop(悪意あるオペレーション)は複数の段階に分かれており、多くの場合、そのうちの1つ以上の段階で検知回避機能やパーシステンス機能を利用しています。
既知の脅威をブロックすることは、企業や組織がエンドポイント保護ソリューションに期待する最低限の条件です。今日のより高度な攻撃に対処するためには、未知の脅威、特にシステムが正規のソフトウェアアップデートと認識するような脅威を検知してブロックできる必要があります。
つまり、今回のSolarWinds攻撃で我々が確認したように、新しい脅威を検知してブロックするために利用できるIOCが存在していない場合、従来型のアンチウイルス製品はそのような脅威を見つけることができないのです。シグネチャベースの保護だけでは標的とされたシステムを保護できないため、Cybereason Defense Platformでは、機械学習(ML)機能を備えた次世代の保護レイヤを提供することで、従来のシグネチャベースのツールが見逃していた未知の脅威を検知できるようにしています。
マルウェアがメモリ内で実行を試みると、Cybereasonは、そのコードの悪意ある特性を認識し、それが実害を引き起こす前に同マルウェアを隔離します。これは必要な保護を実現するための追加レイヤの1つですが、ほとんどの次世代ウイルス対策ツールが高度な脅威をブロックするために提供できる機能としてはこれが限界です。
Cybereason Defense Platformは、今回の攻撃で利用されたような最先端の攻撃手法を検知し防止することを目的に構築されています。マルウェアがドメイン生成アルゴリズム(DGA)段階を開始してC2サーバとの通信を確立しようとした時点で、Cybereasonはこの振る舞いを悪意のあるものとして認識し、この脅威を直ちにブロックします。
Cybereasonは、悪意あるコードが有効なデジタル証明書によって署名された正規のソフトウェアアップデートの一部のように見えるような場合であっても、同コードが行おうとする目立たない振る舞いを認識し、Malopの実際の動作に関する詳細な理解に基づいて、同コードをブロックします。たとえ従来型のシグネチャベースのAVや次世代のMLベースの検出を回避できるほど高度な脅威であったとしても、Cybereasonはそのような脅威を検知してブロックできます。
このような能力を備えていることが、Cybereason Defense Platformが真に「未来に備えた」ソリューションである理由に他なりません。攻撃者が当社以外のベンダーのセキュリティソリューションを回避する新しい手法を開発した場合でも、当社のソリューションは、Cybereasonが持つ動作中心のアプローチと複雑なMalopに関する卓越した可視性を通じて、攻撃における複数の段階で脅威をブロックできるほか、市場で最も包括的なエンドポイント向けの防御、検知、および対応を提供できます。
さらに、Cybereason Defense Platformは、既知および未知の脅威を検知してブロックするだけではありません。同プラットフォームが個々のMalopを分析するたびに、よりディープなコンテキストと新しい相関関係が追加され、その結果、1つまたは複数の検知レイヤに情報を伝えることで、新しい複雑な攻撃手法に対する有効性を高めることができます。
SolarWindsサプライチェーン攻撃で確認されたように、脅威アクターは自らのアプローチを進化させることで、当社以外のセキュリティベンダーによる防御を回避できます。しかし、脅威アクターは自らが作成したMalopの悪意ある特性を隠すことまではできません。このため、それらのMalopは、Cybereason Defense Platformによって即座に認識された後、修復オプション(自動化されたもの、またはワンクリックによるもの)を通じて直ちに無力化されます。
サイバーリーズンは、今日のサイバー防御者にとっての擁護者であり、エンドポイントから企業全体、そして戦いが繰り広げられるあらゆる場所に至るまでのセキュリティを統合する、未来に備えた攻撃防御機能を提供します。Cybereason Defense Platformは、業界トップクラスの検知および応答(EDR)機能、次世代アンチウイルス(NGAV)機能、そしてプロアクティブな脅威ハンティング機能を組み合わせることで、Malopのあらゆる要素に関するコンテキストリッチな分析を提供します。これらの攻撃から企業や組織を守る方法の詳細については、こちらをご覧ください。
ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」
このホワイトペーパーでは、MITER ATT&CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3259/