目次
※本記事はMorphisec社のWhy EDR Is Not Enough to Prevent Ransomware [Infographic]の記事を翻訳・加筆した記事です。
現在、平均10秒ごとに新たなランサムウェア攻撃が発生していると言われており、サイバー攻撃者は国家政府に対して身代金を要求することに成功するほど、強力かつ洗練された存在になりつつあります。
しかしながら、主な標的が国家レベルの組織だけであるとは限りません。ランサムウェアグループは、魅力的な費用対効果を理由に、大企業や中小企業(SMB)をターゲットとした攻撃も激化させています。
ランサムウェア対策としてのEDRとXDR
EDRとXDRは、シグネチャと振る舞いベースの検出方法を使用して、既知の脅威から効果的に企業を保護します。
しかし、これらのソリューションでは、高度で未知の攻撃に対して苦戦を強いられます。
ランサムウェアの起動に使用されるようなファイルレス攻撃、インメモリ攻撃、ゼロデイ攻撃、その他の高度な攻撃に対抗するには、EDRとXDRを最も強力な検出設定にする必要があります。
しかしながら、EDRやXDRの検出設定を強力にすることでシステムのパフォーマンスに悪影響を及ぼしてしまうため、多数の誤検知を発生させてしまいます。
また、セキュリティ製品の24時間365日の運用および監視をする場合には、専門のチームを雇用し、配備することが必要です。それでも、脅威あるいは攻撃者の活動すべてを捕捉するのは至難の業でしょう。
この問題を解決するにはEDRとXDRを補強し、多層防御によって攻撃対象領域(アタック・サーフェス)における防御をより強固にすることが重要です。
ビジネスにおけるランサムウェア対策はEDRだけではない
ここで考えられる最も効率的なテクノロジーの1つは、Automated Moving Target Defense(AMTD)です。
AMTDはサプライチェーン攻撃、データ窃取、ランサムウェア、その他の高度な攻撃を阻止することを目的として構築されており、追加の人員を必要とせず、誤検知やシステム・パフォーマンスへの影響を最小限に抑えます。
AMTDに関するガートナーのコメントはこちら(外部サイト)リンク:https://blog.morphisec.com/automated-moving-target-defense-gartner
- Morphisecの資料請求はこちら
AMTD技術によるセキュリティ対策について知りたい方
以下の図は、ランサムウェアやその他の高度な攻撃に対抗するために、EDRやXDRだけでは不十分な理由を詳しく示しています。これらのソリューションをAMTDで補完することで、組織をより強力に保護することができます。
ランサムウェアは、組織に侵入してすぐさまデータを暗号化できるわけではなく、事前準備として様々なステップを踏んでから、サイバーキルチェーンの終盤に暗号化を試みます。
そのため、ランサムウェア対策としては、攻撃者が暗号化を開始する前に攻撃を阻止することが重要かつ効果的です。
一般的なEDRとXDRもランサムウェア対策をするためには必要ですが、それらのEDRやXDRは攻撃らしい挙動を検知してからマルウェアの分析及び対処を開始することがあります。その場合、攻撃が仕掛けられてから攻撃を阻止するまでのタイムラグが発生してしまいます。
攻撃を阻止するまでのタイムラグを無くすためには、攻撃者が攻撃を仕掛けようと試みた時点で攻撃を阻止する必要があります。
Linux OSの保護対策
加えて、多くの一般的なEDRとXDRソリューションはWindows向けであり、Linux OSに特化した設計がされていないことがあります。その場合、クラウド・ワークロードやサーバー保護には不十分なケースがあります。
その場合、Linuxサーバーに依存する組織は、EDRやXDRといったソリューションのほかにさらなるセキュリティ対策を講じる必要があるでしょう。 ― Linuxサーバー:「新たなサイバー攻撃のフロンティアを防御する方法」を参照ください。
(外部サイト)リンク:https://engage.morphisec.com/linux-server-defending-cyberattack-frontier-whitepaper
ランサムウェア対策には複数の防御層が必要
ランサムウェア対策には多層防御が必要です。
EDRはその防御層の1つとなります。Morphisecが特許を取得しているAMTDテクノロジーは、高度な攻撃を防ぎ、EDRとXDRソリューションの能力を強化する追加の防御層を提供します。
TruGreen社の例
TruGreen 社は、全米最大の芝生ケアの専門会社であり、12,000 人の従業員数とと 15 億ドルを超える年間売上高を誇る大企業です。
同社は、6,000台以上のワークステーションと分散したオペレーションで、数多くのランサムウェアなどの脅威に直面しています。
同社のセキュリティ・プラットフォームは多層構造ではあるものの、高額なうえに、防御回避型の攻撃から保護できる可能性が十分ではありませんでした。
セキュリティチームは1日に複数のアラートを受信し、そのすべてを何時間もかけて分析する必要がありました。
TruGreen社プリンシパル・セキュリティ・アーキテクトのDale Slawinski氏は、次のように語っています。
Morphisecはわが社の多層防御戦略における主要な部分を担っており、強力なセキュリティを提供すると同時に、当社の既存の技術スタックとシームレスに統合できています。Morphisecに切り替えたことで、セキュリティチームは2.3倍のROE、7倍のエンドポイントセキュリティパフォーマンス、75%のアラート削減、運用効率の向上を達成できました。
静的な防御では不十分
AMTDテクノロジーを採用するMorphisecは、アプリケーションの実行ごとにそのメモリ構造をランダマイズする機能により攻撃対象の移動、変更、難読化、変形を行い、攻撃者のキル・チェーンを破綻させます。
攻撃者のターゲットであるオペレーティング・システムやアプリケーションはAMTDによって隠され、標的を暗号化したり、悪用したりすることを阻止します。
AMTDは、攻撃対象領域を常に変化させながら、ランタイム・メモリ環境を効果的にモーフィングすることで機能します。
元のメモリ構造のスケルトンを残すことで、悪意のある活動を罠にかけ、攻撃ペイロードの実行を不可能にします。
大手アナリスト企業Gartner社は、最近のレポート「Emerging Tech」でAMTDを取り上げています:『Emerging Tech: Security Tech Innovators in Automated Moving Target Defense』。
ガートナー社によると、このテクノロジーには4つの主要な要素が含まれており、「プロアクティブ・サイバー防御メカニズム、攻撃対象の移動または変更を自動化、欺瞞技術の使用、インテリジェントな(事前に計画された)変更決定を実行する能力」としています。
Moprhisecが搭載するAMTDは、既存のセキュリティスタックにシームレスに統合されます。
EDRソリューションを置き換えるのではなく、見逃された脅威を検知し、対応チームが選別しなければならない誤検知アラートの量を削減することで、EDRソリューションを強化することが可能です。
Houston Eye Associates はテキサス州最大の眼科医療グループで、24 の拠点、60 人の医師、600 人の従業員、1,200 以上のエンドポイントを抱えています。
同グループは、MorphisecとMicrosoft Defenderを組み合わせて二重の防御を行うことで、サイバーセキュリティ対策を強化しました。
同グループのセキュリティチームは、Morphisecから平均して毎日5件のアラートを受け取っていると推定していますが、アラートの時点でチームがアクションを起こさなくても、すべての脅威が特定され、無効化されているため、かかる手間を格段に減らすことができました。
AMTDは、脅威についてのシグネチャを必要としないため、未知の脅威からも重要な資産を安全に保ちます。
AMTDは、ランサムウェア対策に欠けていた防御のレイヤーを提供するものであり、ガートナー社は、導入が容易で、補完的で、拡張性のあるテクノロジーであると評価しています。
- アンチウィルスソフト導入後にできる防御強化の「次の一手」とは
エンドポイント対策を強化するためのAMTDが重要な理由