攻撃の“フルストーリー”を視覚化 エンドポイント保護は、クリックで即座に
サイバーリーズンは、イスラエルの情報収集部門である「8200部隊」のセキュリティスペシャリストが立ち上げた企業だ。イスラエル発のAIやビッグデータなどの技術を製品に組み、最新の攻撃にも対応すべく開発を進めている。特に昨今では「NGAV(次世代アンチウィルス)」と「EDR」を強みとしている。
攻撃のステージで見ると、最初の侵入前段階ではNGAVが働き、侵入後はEDRが機能することでC2(C&C)サーバーとの通信、組織内の横展開、内部偵察、情報窃取などの各ステップでの検知が可能だという。
[画像クリックで拡大]
一般的にNGAVは、従来のアンチウィルスにあるようなシグネチャを使用したパターンマッチングで既知のマルウェアに対応するだけではなく、AIや“ふるまい検知”などのアルゴリズムで未知のマルウェアにも対応できるようになっている。さらにサイバーリーズンでは、PowerShellなどの正規のツールを悪用したファイルレス攻撃をブロックするための検知ロジックや、脆弱性の悪用防止も可能としている。
そしてEDRでは、侵入後の検知、対応を想定し、不審なふるまいや挙動を検知して、復旧のための解析や運用を支援。各端末にエージェントをインストールすることになるが、エージェント自体のCPU使用率や通信量が低く、業務に影響を与えないように設計されているという。各端末からのデータを収集して相関解析を行うことで、未知の攻撃を素早く検知。もし新たな攻撃が検知された場合は、(同じ脅威・攻撃ごとに)影響する端末に向けて遠隔で一斉対処するように指令を出せることが特長だ。
NGAVはマルウェアや悪意のあるファイルを実行させないためにあるが、EDRは侵入後の対応のためにあり、「可視化・検知」と「対処・対応」が重要となる。前者はエンドポイントで起きている事象をリアルタイムで収集して可視化、不審なふるまいがあれば確実に検知するからだ。
また、サイバーリーズンの調査画面ではプロセスツリーを表示し、プロセスの因果関係全体を確認できる。すべてのプロセスを表示するため、前後関係や、どのプロセスが何を呼び出しているか、どのDLLファイルがロードされているかなどが一目瞭然だ。また実行した端末やユーザーの情報、タイムライン、通信が発生しているなら宛先IP、実行されたコマンドラインなどあらゆる情報が可視化される。
[画像クリックで拡大]
後者の「対処と対応」は、検知でアラートが発報された後の対処と対応のことを指している。一般的には何かアラートが検知されたら管理者がユーザーに確認して、もし不審な挙動があれば、たとえばLANケーブルを物理的に引き抜いてネットワークへの接続を遮断するなど対応するケースも多いだろう。
このとき、もしサイバーリーズンのEDRエージェントを導入していたなら、アラート画面から該当する端末に対してファイルの実行防止、端末の隔離、プロセスの終了、ファイルの隔離などのアクションを実行できるという。アクション実行対象となる端末は社内ネットワークだけではなく、インターネット経由で接続できさえすれば、移動中や自宅(テレワーク中)の端末も含まれる。また、同じ脅威に影響を受ける端末に一斉にアクションを送信することも可能だ。ユーザーや端末ごとのアラートに対して、一つひとつ対処しなくてすむため効率的であり、管理者の負担軽減も期待できる。
では、こうした特徴が実際にどのように活きてくるのか。Emotetの攻撃を受けた場合で考えてみよう。Emotetの感染プロセスの例として、ユーザーが悪意のあるOfficeファイルを開き、マクロが実行される。すると正規のプログラムを利用し、それを隠れ蓑に不正なアクティビティが裏で実行、最終的には侵入され、端末の内部情報を取得するなどのプロセスが一般的だ。
このとき、サイバーリーズン製品では管理ダッシュボードの見やすさという特長が活きてくる。しっかりと日本語対応しているだけでなく、感染規模と時間経過をバブルの大きさや色で視覚的に表示。深刻度別に分けられているのも特徴で「感染」「権限昇格」「内部探索」「ラテラルムーブメント」「C2通信」「情報窃取」など、攻撃の進行度別にどれだけ発生しているのかを直感的に把握することができる。
[画像クリックで拡大]
また詳細画面では、いつどこで何がどう起こったか自動解析してくれて、視覚情報として表示。異質な事象は赤色表示され、ドリルダウンと深掘りが可能だ。このときユーザーは、端末隔離やプロセス停止など、必要な処置を数クリックで対処できるようなUIになっている。対処対象の端末が複数ある場合は、指示を出す端末を選択して一斉に実行することもできる。
今村氏は「かなりスピーディーに対応できるEDRソリューションとなっています」と胸を張る。たしかに被害を最小限に抑えるためにも、インシデントの検知から対応といった一連の対処は早ければ早いほど良い。そのためにも、管理者が素早く対応できるようなデザイン(UI/UX)は重要なポイントだ。最後に今村氏は「こうしたNGAVやEDRに関心を持っていただけたら、ぜひサイバーリーズンをご検討ください」と述べてセッションを締めくくった。
