未知のサイバー脅威とは?
従来のセキュリティ製品のほとんどは、既知の脅威に基づいて動作するように構築されています。悪意があるとわかった時点でブロックします。既知の脅威をうまくブロックするセキュリティ製品を突破するために、攻撃者はこれまでにないものを作り出すことを余儀なくされ、攻撃を実行するためのコストが増大します。そして、既知の脅威と未知の脅威の両方を防ぐために、私たちは何ができるのでしょうか?
いくつかのシナリオを見てみましょう:
リサイクルされた脅威
脅威の再利用は最も費用対効果の高い攻撃手法であると考えられており、そのため攻撃者は、以前に証明されたテクニックを使用して既存の脅威を再利用することがよくあります。これらのリサイクルされた脅威を「未知のもの」にしているのは、セキュリティ製品の限られたメモリの中にあります。すべてのセキュリティ製品のメモリには限りがあるため、セキュリティチームは最新の脅威を選んで防御し、入ってくる攻撃の大半をブロックできることを期待しています。セキュリティ製品によって追跡されていない古い脅威がネットワークに侵入しようとした場合、その脅威は以前に確認されたものとして分類されていないため、セキュリティ製品をバイパスする可能性があります。
このような「未知の」リサイクル脅威から保護するためには、脅威インテリジェンスメモリーキーパーにアクセスすることが重要です。このメモリーキーパーは、多くの場合、脅威データの量に対応できるように拡張可能な、弾力性のあるクラウドインフラストラクチャに配置されています。セキュリティ製品が特定の脅威を識別して保存していない場合、脅威インテリジェンスの大規模なナレッジベースにアクセスすることで、悪意のある脅威かどうかを判断し、セキュリティ製品がその脅威をブロックできるようになります。
既存のコードの変更
この方法は、脅威をリサイクルするよりもやや高価です。攻撃者は既存の脅威を利用し、手動または自動でコードにわずかな修正を加えます。その結果、ポリモーフィックなマルウェアやポリモーフィックなURLが生成されます。ウイルスのように、マルウェアは継続的かつ自動的に形態を変え、急速に変化します。セキュリティ製品が元の脅威を既知のものとして識別し、1つのバリエーションだけに基づいてその脅威に対する保護を作成した場合、コードにわずかな変更が加えられるだけで、その脅威は未知のものに変わってしまいます。
セキュリティ製品の中には、ハッシュ化技術を使って脅威を照合するものがあります。ハッシュ化技術とは、文字列に基づいて完全に一意な番号を生成する技術で、2つの同じハッシュを得ることは不可能です。この文脈では、ハッシュ値は脅威の1つのバリエーションにしかマッチしないため、脅威の新しいバリエーションは新しい未知のものとみなされます。
このような脅威からセキュリティ製品を守るためには、ポリモーフィック・シグネチャを使用する必要があります。ポリモーフィックシグネチャは、ハッシュではなく、トラフィックやファイルのコンテンツやパターンに基づいて作成され、既知の脅威の複数のバリエーションを識別し、防御することができます。固定されたエンコーディングの外観ではなく、挙動に注目することで、改変されたマルウェアのパターンを検出することができます。
新たな脅威
より断固とした意志を持ち、資金を投じる意思のある攻撃者は、純粋に新しいコードでまったく新しい脅威を作り出します。サイバー攻撃のライフサイクル攻撃が真に未知の脅威と見なされるためには、すべての側面が新しくなければなりません。
- ビジネス・ビヘイビアに焦点を当てる
こうした新たな脅威から保護するには、貴社独自のビジネス・ビヘイビアとデータ・フローに焦点を当てる要件が必要です。この情報は、サイバーセキュリティのベストプラクティスに実装することができます。一例として、User ID と Application ID によるセグメンテーションを活用することで、新たな脅威が組織全体に広がるのを防ぎ、未知の未分類 Web サイトからのダウンロードをブロックすることができます。 - Collective Intelligence(集団的インテリジェンス)の活用
1つの組織がすべての新しい脅威を経験することはありません。未知の脅威を狙った標的型攻撃は、グローバルな情報共有によって、すぐに知られるようになります。ある組織で新たな脅威が分析・検知された場合、新たに特定された脅威情報をコミュニティ全体に配信し、攻撃の拡散と有効性を制限するための緩和策を事前にデプロイすることができます。
未知の脅威を既知の脅威に変え、積極的に防御することは、複合的な環境で起こります。まず、次の攻撃のステップと場所を予測する必要があります。第二に、それを阻止するためには、プロテクションを開発し、実施地点まで迅速に届けることができる必要があります。
プロテクションの自動化
真に新たな脅威が組織に侵入してきたとき、最初の防衛線は、その組織に特化したサイバーセキュリティのベストプラクティスを持つことです。同時に、未知のファイルやURLを解析のために送信する必要があります。サンドボックス分析の有効性は、未知の脅威に対する正確な判定を提供し、組織全体で保護を作成して実装するまでにかかる時間や、サンドボックス環境が回避的な脅威をどのように処理するかに左右されます。セキュリティ態勢は、脅威が進行する前に、つまり可能な限り早く、脅威をブロックするのに十分な速さで変更する必要があります。そして、この脅威がネットワークをさらに横断しないようにするには、脅威が拡散するよりも早く、すべてのセキュリティ製品で脅威防御を作成し、自動的に実装する必要があります。
最近のSANSの調査では、攻撃の40パーセントが未知の要素を含んでいると報告されています。未知の脅威を検知し、攻撃の成功を防ぐ能力は、セキュリティデプロイの有効性を定義します。真の 次世代セキュリティ・プラットフォーム は機敏で、未知の脅威をグローバルレベルで迅速に既知の保護と防御に変えます。新たな脅威データを自動的に共有しながら、組織全体に新たな防御機能を拡張し、攻撃の拡大を阻止します。