回避型脅威を防ぐ3つの方法

攻撃者は常に、マルウェアを再利用、修正、またはまったく新しいマルウェアを作成しており、その結果、組織を標的としたマルウェアが大量に発生しています。これにより、攻撃者は、マルウェア解析環境を検知し、解析対象から外れるまで悪意のある活動を停止させるように構築された、より高度に回避可能な脅威の開発に集中することができます。その一方で、組織は大量のマルウェアへの対応と、巧妙な攻撃の特定・防止の両方に苦慮しています。

回避的脅威の検知には複数の課題があります。回避的な脅威は、有効なユーザー活動と仮想化技術の指標を探し、特定されるリスクがなくなるまで悪意のある活動を一時停止します。オープンソースソフトウェアの既知の脆弱性を悪用し、一般的なハイパーバイザーで使用されている検出技術を検索します。その結果、コモディティ化が進み、より一般的に使用されるようになりました。

この最新のタイプのマルウェアを検出するために使用される戦術を再考することが不可欠です。以下は、回避的な脅威を特定し、最終的に防御するためにセキュリティ・ツールが行うべき3つの重要なことです。

1. 目的別仮想分析の使用

回避能力の高いマルウェアを検出するには、オープンソースやプロプライエタリなソフトウェアに依存しない、独自のハイパーバイザーとエミュレータを組み込んだ専用の仮想解析環境を使用します。この環境では、攻撃者に自分が発見されたことやマルウェアの挙動が観測されていることが漏れるような特徴を示してはいけません。

2. ベアメタル解析の採用

マルウェア解析に仮想環境を使用することは避けられません。しかし、仮想環境で回避テクニックを示すサンプルは、ベアメタル解析環境としても知られる実際のハードウェアシステム上でも爆発させる必要があります。攻撃者に疑念を抱かせないためには、疑わしいファイルは人手を介さずにベアメタル環境に動的に誘導する必要があります。

3. 脅威インテリジェンスの導入

アンダーグラウンドエコノミーで利用可能な、高度に回避的な脅威の台頭に対抗するために、組織は高度に文脈的で実用的な脅威インテリジェンスをセキュリティ防御に組み込む必要があります。

脅威インテリジェンスは複数の情報源から入手し、必要な文脈を相関・検証する必要があります。適切なコンテキストがなければ、脅威インテリジェンスは、侵害の生のインジケーターの圧倒的な量でノイズを増やすだけです。その結果、偽陽性や偽陰性が増加し、実用的な対応にはセキュリティ担当者が要件となります。さらに、脅威インテリジェンスと仮想分析環境を統合することで、迅速な自動防御が可能になり、専門スタッフの増員を最小限に抑えることができます。

1つのプラットフォームでの侵入防止分析とコンテクスチュアル脅威インテリジェンス

Palo Alto Networks 次世代セキュリティ プラットフォームは、ネットワーク、クラウド、エンドポイントにわたって、最も回避的な脅威も自動的に検知し防御します。このプラットフォームの重要な要素は、WildFire^®脅威分析サービスです。これは、マルウェアの解析と自動的な防止のために、回避が困難な複数の技術を組み込んだサービスです。具体的には、カスタム構築された仮想分析環境による静的解析、動的解析、機械学習 、実際のハードウェア上で完全に実行するためのベアメタル環境などがあります。

また、AutoFocus^™ コンテキスト脅威インテリジェンスサービスもこのプラットフォームの一部で、攻撃がなぜ、どこで、どのようにネットワークに影響を与えるのかを理解するために必要な情報を提供します。誰が攻撃しているのか？「どのようなツールを使っているのか」「ネットワークにどのような影響を与えるのか」、そして標的型攻撃の優先順位を自動的に決定します。その結果、より迅速な分析、より容易な相関、迅速なインシデント対応が可能になり、最終的にはITに特化したセキュリティ・リソースを追加する必要性が減少します。

回避型攻撃に対する防御の詳細については、 Rethink Your Strategy to Defeat Evasive Attacks ホワイトペーパーをご覧ください。