Symantec Behavioral Isolation: 高度な攻撃に対するセキュリティ
新型攻撃の対象限定化と潜在的な攻撃経路のプロアクティブな排除
今日、企業のセキュリティ確保はより重要な仕事になっています。 ニュースの見出しはSolarWinds、ランサムウェア、インサイダーの脅威、フィッシングなどの言葉であふれ、この上なく危険な状況です。Broadcomの事業部門であるシマンテックでは、このような問題を解決するため、企業の保護に役立つソリューションと製品を提供しています。
シマンテックは過去数年の間に、サイバー空間の脅威が高度な技術を利用した標的型攻撃へと変化するのを目撃してきました。
これには攻撃者が標的のシステムに保存されたネイティブアプリケーション、ツール、サービスを悪用するさまざまな現地調達型攻撃(live off the land attack)も含まれます。この攻撃では攻撃者はディスク上に独自のバイナリファイルを作成して配備する必要がなく、いわばファイルレスで攻撃することができ、システム管理者と同じデュアルユースツールを使用してマルウェアをその日常業務に紛れ込ませることも可能です。そのため、信頼できるアプリケーションとデュアルユースツールの使用を停止して、Behavioral Isolation(振る舞い隔離)で企業のニーズに合った正当と判断されるアクティビティのみを許可する必要があります。
Behavioral Isolationでは十分な可視性が提供されるため、ブロックするアクティビティを情報に基づいて判断でき、ユーザーの生産性が低下したり、ビジネスオペレーションに悪影響が及ぶこともありません。
また、シマンテックのグローバルな脅威テレメトリで入手したデータに対する機械学習結果を利用して、特定の状況下では正当に見えるために従来の保護テクノロジでは検出されないサイバーセキュリティ脅威の活動も特定できます。さらに、一定期間にわたって企業の環境を監視し、その企業の一般的なアクティビティを学習し、ブロックした場合の影響を確認して管理者がそれらのアクティビティを管理できるようにします。
Behavioral Isolationでは十分な可視性が提供されるため、ブロックするアクティビティを情報に基づいて判断でき、ユーザーの生産性が低下したり、ビジネスオペレーションに悪影響が及ぶこともありません。また、企業固有の攻撃対象が減少し、攻撃者はラテラルムーブメントや攻撃を実行できなくなります。
Behavioral Isolationでは以下の3つの方法で攻撃が阻止されます。
- グローバルテレメトリの継続的な分析に基づいてリスクの高いアプリケーションの動作を特定
- 環境の可視化と特定された高リスクのアクティビティのポリシー管理を改善
- 監視の有無にかかわらず一般的でないアクティビティをブロックし、一般的なアクティビティを許可して攻撃対象を縮小
シマンテックのBehavioral Isolationの強力な基盤となっているのは、世界最大級の民間セキュリティ脅威インテリジェンスネットワークの1つであるGlobal Intelligence Network(GIN)のテレメトリです。シマンテックのGINでは1億7,500万のエンドポイントと1億2600万を超える攻撃センサーから攻撃を阻止するのに必要な情報が収集され、セキュリティ違反の可能性のあるアクティビティから不適切なアクティビティが抽出されます。シマンテックの専門知識に対する企業の信頼の厚さは、Fortune50の企業の90%、Fortune500の企業10社のうち8社がそのサービスを利用していることからも明らかです。
2020年12月の時点では、影響を受けたSolarWindsの顧客の中でネットワークにアクティブな攻撃者が侵入していたのは比較的少数でしたが、それらの顧客はすべてSunburstでも攻撃を受けました。
最近、最も注目されている高度な標的型攻撃の一つが、2020年のSunburst/SolarWindsの攻撃です。シマンテックの顧客でもある100社を含む約18,000社のSolarWindsの顧客が、サプライチェーンにダウンロードされたトロイの木馬によってネットワークを侵害されました。2020年12月の時点では、影響を受けたSolarWindsの顧客の中でネットワークにアクティブな攻撃者が侵入していたのは比較的少数でしたが、それらの顧客はすべてSunburstでも攻撃を受けました。Sunburst攻撃では、「現地調達型」の手法が使用されます。
Behavioral Isolationには、Sunburst攻撃で使用された4つの異なるアプリケーションの動作が含まれています。これらの動作のいずれかを「拒否」の設定にすると攻撃チェーンが切断されます。4つの動作は以下のとおりです。
- Wscriptの起動 rundll32
- WMIによるrundll32の起動
- Powershellによるエンコードされたコマンドの起動
- Rundll32によるPE以外の実行可能ファイルの作成
攻撃者が攻撃を開始するために使用する行動は限られていますが、シマンテックでは180以上の特徴的な行動を確認しています。 そのうち70は攻撃で最もよく使用されるものです。
シマンテックは特に、通常の状況下ではほとんど使用されない異常なアクティビティを探し出し、その経路をシャットダウンします。このように、信頼できるプロセスから特定のアクションをブロックすることで、攻撃の連鎖を断ち切り、攻撃を受ける前に確認すべき要素に対する意識を高めることができます。 この機能によって観察される一連のアクティビティは、脅威の状況の進化に基づいて継続的に更新されます。
シマンテックの新しいBehavioral Isolation機能により、セキュリティチームは攻撃者の攻撃を封じ込め、潜在的な攻撃の対象を縮小するために必要な措置を講じることができます。
シマンテックは世界中の企業を新型のサイバー攻撃から保護するため、さまざまな製品を開発しています。
We encourage you to share your thoughts on your favorite social platform.