世界中の防御者は、高度な攻撃を阻止するための革新的なツールを必要としています。この度、サイバーリーズンでは、「振る舞いベースのファイル実行防止(Behavioral Execution Prevention、以下BEP)」を発表することとなりました。BEPとは、NGAVにおける新たな防御層の1つであり、フィッシング攻撃、ゼロデイ攻撃、ドライブバイ攻撃を阻止するために設計されたものです。

BEPを使うと、企業や組織は、悪意あるアクターが、信頼できるOSソフトウェアやネイティブプロセスを使用した悪意ある操作を通じてもたらす脅威を阻止できるようになります。また、BEPを使うことで、キルチェーンにおけるより早期の段階で悪意あるアクターを阻止できるようになるほか、信頼できるシステムリソースがエクスプロイトされたり、攻撃のために使われたりしないことを保証できるようになります。

振る舞いベースのファイル実行防止(BEP)とは?

BEPは、EDR(Endpoint Detection and Response)による検知機能を利用することで、Cybereason NGAVによる攻撃の防御を実現するようなヒューリスティクス(発見的方法)を生成します。BEPはプロセス作成の初期段階で異常を特定できるよう設計されているため、企業や組織はアタックサーフェスを大幅に縮小できます。

攻撃者は、正規のOSソフトウェアやサードパーティソフトウェアを使用してマルウェアを配信および拡散させることがよくあります。このような正規のソフトウェア機能を悪用する例としては、悪意あるペイロードの実行、悪意あるドロッパーの起動、マクロのダウンロード、データの難読化などがあり、これらはすべて、パーシステンスを確立しデータを流出させるために設計されています。

そして結局、これらの手法を利用することで、攻撃者は以前よりも迅速に行動できるようになっています。その一方で、企業や組織にとっては、キルチェーンにおけるより早期の段階で攻撃者をブロックし、人間の介入が必要となるレベルに達する前に攻撃を阻止することがますます重要となっています。

従来のアンチウイルスツールは多くの場合、信頼できるネイティブプロセスから生まれた攻撃を特定できません。これに対して、BEPでは、洗練されたルールセットを使用することで、正規ソフトウェアの悪用を防止します。BEPを使うと、企業や組織は、データパターンとルールを利用してイメージのメタデータや名前、コマンドラインのコマンド、およびプロセス階層における異常を検知することで、攻撃者をその場で効果的に防御できるようになります。

BEPの持つもう1つの強力な側面として、オフライン作業のように、エンドポイントがプラットフォームから切り離された場合でも操作を継続できることが挙げられます。これにより、悪意あるアクターが、操作の中断に乗じて複雑な攻撃を仕掛けられなくなること、そして企業や組織の防御力を制圧できなくなることを保証できます。

NGAVは今もなお有効か?

長年にわたって、シグネチャベースのアンチウイルスツールがサイバーセキュリティ市場を支配してきました。しかし、このような従来型のアプローチには常に欠陥がありました。なぜなら、攻撃者が新しいテクニックや手法を生み出すと、これらのアンチウイルスツールはすぐに時代遅れになってしまうからです。

その後、市場はEDRに移行しました。このテクノロジーは、従来型のアンチウイルス製品に比べて大幅に改善されたものでしたが、多くのソリューションは、脅威アクターが利用する常に進化し続けるTTP(戦術、手法、手順)に追いつくのに苦労していました。また、従来型のEDRツールは、そもそも攻撃を受けている企業や組織のマシンやネットワーク内にすでに存在する脅威を「検知」するものであり、脅威を「阻止」する機能を提供するものではありません。

NGAVソリューションは、脅威阻止テクノロジーの進化における最新のステップです。NGAVソリューションが登場してからすでにある程度時間が経っていますが、NGAVテクノロジーは、現実の世界に存在するダイナミックな脅威に対応するために、常に進化し続けなければなりません。

NGAVは、人工知能と機械学習を利用して、悪意あるアクターが用いる行動のパターンや手法の兆候を見つけることで、脅威(特にサイバーセキュリティコミュニティにとって未知である最新のマルウェアランサムウェア)をより迅速にブロックします。


▲サイバーリーズンの多層的なアプローチ

進化する脅威と革新的なセキュリティツールの出会い

BEPは、アタックサーフェスを縮小し、サイバーリーズンのNGAV製品が悪意ある活動を阻止するのに必要となる時間を短縮し、セキュリティ担当者の負担を減らすように設計されています。BEPを使うことで、企業や組織は、セキュリティ担当者を、彼らが直面している最も複雑かつ緊急な問題に集中させることが可能となります。

これが、「防御」機能が非常に強力である理由です。セキュリティアナリストは、アラートに気を取られることなしに実行することが困難な仕事をすでに抱えています。BEPは、こうしたセキュリティ担当者のエンパワーメントを実現するために設計されたものであり、人間による介入を非常に多く必要とするアラート中心のNGAVソリューションの負担を軽減するためのツールを提供します。

【ホワイトペーパー】有事を見据えたセキュリティ運用とは?〜攻撃事例から学ぶサイバー脅威対策〜

サイバー攻撃は進化を止めず、その被害は組織の存続さえ揺るがす時代。

昨今、特に注意しなければならないのが、サプライチェーン攻撃の新たな手法です。標的となる組織のセキュリティが堅固となってきたため、セキュリティが手薄な別の組織を踏み台にして標的組織を攻撃するというように、サプライチェーン攻撃はますます巧妙化しています。

このガイドは、重大なセキュリティインシデントに直面した時、慌てず騒がず対応するために。
セキュリティ担当者はもちろん、経営課題として平時から取り組むべきサイバー脅威対策について、最新の攻撃事情とともに紹介します。
https://www.cybereason.co.jp/product-documents/brochure/6938/