回避的脅威を特定するための3つの課題
以前は、高度なサイバー攻撃を作成しデプロイするには、高度な技術力と決断力が必要でした。今日、サイバー犯罪は 地下経済 全体を取り込むまでに発展しており、そこでは悪質な活動のためのツールやサービスを購入したりレンタルしたりすることができます。これにより、高度で回避能力の高い脅威がより身近で一般的なものとなりました。回避型の脅威は、一般的にサンドボックスとして知られる商用マルウェア解析環境を識別するように構築されており、脅威検知のリスクがなくなるまで悪意のある活動を一時停止します。
組織は、このような回避能力の高い脅威の特定に苦慮し、その防御に失敗することも少なくありません。ここでは、回避的な脅威に対抗する際に企業とセキュリティツールが直面する3つの重要な課題を紹介します:
1.回避的脅威のためのマーケットプレイス
セキュリティの専門家は、仮想マルウェア分析環境など、サイバー脅威を検知するための防御策を開発しましたが、脅威アクターは同時に、サイバー犯罪のアンダーグラウンドで利用可能な、明確に定義された「プレイブック」に自動化と汎用ハードウェアを組み込みました。これにより、洗練されていない初心者から高度な攻撃者、組織化された国家まで、さまざまな脅威アクターが容易に実装できるようになりました。その結果、巧妙な攻撃の数が増加し、データ侵害が成功する可能性が高まっています。
2.従来の防御ではもはや不十分
回避型マルウェアは、従来のマルウェア解析環境では検出されないように、その身元や意図を隠した悪意のあるコードを使用します。攻撃者は、マルウェアが仮想環境にあることを示す指標を探します。ファイルが起爆され、観測されているかどうか、キーボードをクリックしたり、マウスを動かしたり、USBスティックを差し込んだりといった有効なユーザー操作がないかどうか、ユーザー名やディスク容量などの仮想化技術が使われているかどうかを調べます。
3.オープンソースソフトウェアは助けるよりも傷つけるもの
オープンソースは、ソフトウェア開発に革命的な方法を提供しました。しかし、脅威分析に関しては、オープンソースはむしろ不利になっています。マルウェア解析環境の大半はオープンソースを利用しており、攻撃者は既知の脆弱性を活用しています。さらに、マルウェアの作者は、一般的なハイパーバイザーが使用する脅威検知技術を発見し、回避する能力を備えた脅威を設計しています。
回避的な脅威からの保護
Palo Alto Networks® Next-Generation Security Platformは、この3つを念頭に置いて、回避型脅威の検知と防御に取り組んでいます。プラットフォームに不可欠なのは、WildFire® 脅威分析サービスです。このサービスには、静的分析、カスタム構築の仮想分析環境での動的分析、機械学習、完全なハードウェア実行のためのベアメタル分析環境が組み込まれています。
また、AutoFocus™コンテクスチュアル脅威インテリジェンスサービスは、次世代セキュリティプラットフォームの一部であり、攻撃がなぜ、どこで、どのようにネットワークに影響を与えるのかを理解するために必要な情報を提供します。誰が攻撃しているのか?「どのようなツールを使っているのか」「ネットワークにどのような影響を与えるのか」、そして標的型攻撃の優先順位を自動的に決定します。その結果、迅速な分析、容易な相関、迅速なインシデント対応が可能になります。
Palo Alto Networks® 次世代セキュリティ プラットフォームは、ネットワーク、クラウド、エンドポイントにまたがり、最も回避的な既知および未知のマルウェアやゼロデイ脅威も、高い有効性とほぼゼロの誤検知で自動的に防御します。
回避型攻撃に対する防御の詳細については、Rethink Your Strategy to Defeat Evasive Attacksホワイトペーパーをご覧ください。