静的解析、動的解析、機械学習が必要な理由

以下に、3つの脅威識別方法を紹介します。これらの方法を併用することで、サイバー攻撃の成功を防ぐことができます：

動的解析

ゼロデイ脅威を検知できる唯一のツール

動的解析では、マルウェア解析環境などの仮想マシン上で疑わしいファイルを爆発させ、そのファイルが何をするかを解析します。ファイルは、脅威の識別のためにシグネチャに依存するのではなく、実行時に何をするかによって評価されます。これにより、ダイナミックな分析が可能になり、これまでにない脅威を特定することができます。

最も正確な結果を得るためには、サンプルは企業ネットワークの平均的なエンドポイントと同じように、インターネットにフルアクセスできる必要があります。脅威防御のメカニズムとして、マルウェア解析はインターネットへの接続を禁止し、脅威を騙して正体を明かそうとする偽の応答コールを行うことができますが、これは信頼性に欠ける可能性があり、インターネットアクセスの真の代替とはなりません。

マルウェア解析環境は認識可能であり、プロセスには時間がかかります。

検知を回避するため、攻撃者はネットワークをプロファイリングすることで、攻撃がマルウェア解析環境で実行されているかどうかを特定しようとします。マルウェアが仮想環境に存在することを示す指標として、同じような時間帯や同じIPアドレスで実行されていること、キーボード操作やマウス操作などの有効なユーザーアクティビティがないこと、ディスク容量が異常に大きいなどの仮想化技術を検索します。マルウェア解析環境で実行されていると判断された場合、攻撃者は攻撃の実行を停止します。つまり、分析に失敗した場合の影響を受けやすいということです。例えば、爆発処理中にサンプルが自宅に電話をかけたにもかかわらず、攻撃者がマルウェア解析を特定したためにオペレーションがダウンした場合、サンプルは悪意のあることを行わず、解析も脅威を特定しません。同様に、脅威の実行に特定のバージョンのソフトウェアが要件となっている場合、マルウェア解析環境では悪意のあるソフトウェアと識別できるような動作は行われません。

仮想マシンを立ち上げ、そこにファイルをドロップし、その動作を確認し、マシンを壊して結果を分析するには、重大な時間がかかります。動的解析は最もコストと時間がかかる手法ですが、未知の脅威やゼロデイ脅威を効果的に検知できる唯一のツールでもあります。

静的解析

迅速な結果と分析の要件なし

動的解析とは異なり、静的解析では、特定のファイルの内容を、それが爆発した時点ではなく、ディスク上に存在する状態で調べます。データを解析し、パターン、属性、アーティファクトを抽出し、異常のフラグを立てます。

静的解析は動的解析が抱える問題に強い。非常に効率的で、ほんの数秒しかかかりません。静的解析は、特定の要件や調整する必要のある環境、解析に必要なファイルからの発信通信がないため、どのようなファイルに対しても機能します。

パックされたファイルは可視性を失います

しかし、ファイルがパックされていれば、静的解析は比較的簡単に回避できます。パックされたファイルは動的解析では問題なく機能しますが、静的解析では、サンプルの再パックによってファイル全体がノイズに変わってしまうため、実際のファイルに対する可視性が失われます。静的に抽出できるものはほとんどありません。

機械学習

行動に基づいて既知の脅威とクラスター化された脅威の新バージョン

特定のパターンマッチングやファイルを爆発させるのではなく、機械学習はファイルを解析し、何千もの特徴を抽出します。これらの特徴は、特徴ベクトルとも呼ばれる分類器にかけられ、既知の識別子に基づいてファイルの良し悪しを識別します。特定の何かを探すのではなく、ファイルの特徴が以前に評価されたファイルのクラスタと同じように動作する場合、マシンはそのファイルをクラスタの一部としてマークします。良い機械学習には、良い判定と悪い判定のトレーニングセットが必要であり、新しいデータや特徴を追加することで、プロセスを改善し、誤検出率を減らすことができます。

機械学習は、動的解析や静的解析に欠けているものを補います。不活性であったり、爆発しなかったり、パッカーによって機能不全に陥っていたり、コマンド・アンド・コントロールがダウンしていたり、信頼性が低かったりするサンプルも、機械学習によって悪意があると特定される可能性があります。ある脅威の多数のバージョンが目撃され、クラスタ化されており、サンプルがクラスタ内のものと同様の特徴を持つ場合、マシンはサンプルをクラスタに属するものとみなし、数秒で悪意のあるものとしてマークします。

すでに知られていることをさらに発見するのみ

他の2つの方法と同様に、機械学習も多くの利点がある一方で、いくつかの欠点もあるツールとして見るべきです。すなわち、機械学習は、既知の識別子のみに基づいてモデルを訓練します。動的分析とは異なり、機械学習では真に独創的なものや未知のものを見つけることはできません。もし、これまでに見たことのないような脅威に出会っても、マシンはフラグを立てません。

プラットフォームにおけるレイヤー技術

高度な敵の攻撃を阻止するには、パズルのピースが1つではありません。かつてはマルチベンダー・ソリューションであった概念です。深層防衛は依然として適切かつ適切ですが、マルチベンダーのポイントソリューションを超えて、静的解析、動的解析、機械学習を統合したプラットフォームへと進歩する必要があります。この3つが連携することで、統合ソリューションのレイヤーを通して深層防衛を実現することができます。

Palo Alto Networks Next-Generation Security Platform は、WildFire^® クラウドベースの脅威分析サービスと統合され、コンポーネントにコンテキストに基づいた実行可能な脅威インテリジェンスを提供し、ネットワーク、エンドポイント、クラウド全体で安全な有効化を実現します。WildFireは、カスタムビルドの動的解析エンジン、静的解析、機械学習、ベアメタル解析を組み合わせ、高度な脅威防御技術を実現します。多くのマルウェア解析環境がオープンソース技術を活用しているのに対し、WildFireは動的解析エンジン内のオープンソース仮想化をすべて削除し、ゼロから構築された仮想環境に置き換えました。攻撃者は、WildFireでの検知を回避するために、他のサイバーセキュリティベンダーに対して使用される手法とは別に、まったく独自の脅威を作り出す必要があります。WildFireの最初の3つの防御レイヤー（動的解析、静的解析、機械学習）を回避できるごく一部の攻撃に対しては、回避的な動作を示すファイルがベアメタル環境に動的に誘導され、完全なハードウェア実行が行われます。

プラットフォーム内では、これらの技術は非線形に連動します。ある技術が悪意のあるファイルであることを特定した場合、そのファイルはプラットフォーム全体で悪意のあるファイルであると認識され、他のすべての機能のセキュリティを向上させる多層的なアプローチが可能になります。