最新のエンドポイントセキュリティEDRの導入を検討するにあたっての必須要件を7つのトピックにまとめました。EDRを検討する際にぜひ参考にしてください。

1. 予防を超えた検知

「もはやエンドポイントへの攻撃を予防することは目的にはなりません。なぜなら、攻撃を常に100%予防することは不可能だからです。その代わりに、攻撃や攻撃の試みを可能な限り早急に検知することが必要となります。つまり、被害を緩和し、攻撃を受けたユーザーのマシンを通じたネットワークへのさらなる侵入を阻止することが目的となります。」(Kelly Jackson Higgins氏、サイトDark Readingでの発言)

サイバーリーズンの核となる信念として次の2つが挙げられます。
1. ネットワークへの侵入は不可避である
2. 攻撃における侵入後のタイムフレームは、攻撃を検知し傍受するためのチャンスを提供する最適な期間となる

これらの信念に基づいて、サイバーリーズンは、検知を高度な脅威やAPTを阻止するためのカギとして位置付け、EDR製品を開発・提供しています。

2. 環境全体を通じた相互関連付け

悪意ある行動を特定するために個々のユーザーやマシンを同時に監視するだけでは十分ではありません。高度な脅威を検知するためには、エンドポイントとネットワーク環境全体の相互関連付けと問い合わせを自動的に行う必要があります。

これが、権限昇格、ラテラルムーブメント、C&Cサーバーへの通信のようなハッカーの活動を特定すると同時に、異常だが無害なユーザー活動からハッカーの活動を区別する唯一の方法となります。

3. ホワイトリスト/ブラックリストの作成から始めること

「アプリケーションのホワイトリスティングが数年前に登場した際、それは、ユーザーのマシン上でのマルウェアの実行を阻止するための解決策としてもてはやされました。しかし、ホワイトリスティングは、特定のアプリケーションのシステム上での実行のみを許可し、その他のアプリケーションはブロックするという仕組みであるため、単独では攻撃を阻止できません。それは、ホスト侵入防止システム(HIPS)やホストファイアウォールが単独では攻撃を阻止できないのと同じです」(Kelly Jackson Higgins氏、サイトDark Readingでの発言)

今日のセキュリティ環境では、ホワイトリスト/ブラックリスト式のアプローチは、ハッカーが今もなお使い続けている既知の戦術を見つけるために、検知の最前線として利用されるべきです。

しかし、ハッカーは検知やブロックを逃れるために使用するツールや方法を常に変化させているため、新しい攻撃ベクターを見つけるもう1つの階層が存在する必要があります。

サイバーリーズンの検知に対するアプローチは、「既知のハッキングキットやツールを使用する攻撃者を検出するための基礎としてホワイトリストおよびブラックリストを使用する」というものです。

しかし、サイバーリーズンはそこに留まらず、行動分析を利用することで、作り込まれた新しい攻撃コンポーネントを検出しています。

4. エンドポイントのアクティビティを干渉することなく監視

「重いクライアントソフトウェアによりエンドポイントに負担をかけることを、もはや誰も望んでいません。それはアンチウイルス(AV)ソフトウェアの最も大きな欠点でした」(Kelly Jackson Higgins氏、サイトDark Readingでの発言)

EDR ソリューション内のエンドポイントコンポーネントは、検知と応答を可能にするためのカギとなるものです。エンドポイントセンサーは、効果的な検知と応答にとって不可欠です。

軽量型でユーザーに負担をかけずに継続的な監視が効果的に実施できるエンドポイントセンサーを搭載することが重要となります。

5. インシデント対応(インシデントレスポンス)とフォレンジクスの強化

「マルウェアに最初に感染したエンドポイントは、マルウェアの足跡やその他の侵入を示す指標を含む、フォレンジック上の貴重な手掛かりや情報を保持しています。そのような情報を収集し保存することが、攻撃をその根底から把握し、将来の攻撃を阻止するためのカギとなります」 (Kelly Jackson Higgins氏、サイトDark Readingでの発言)

EDRソリューションのメリットとして、インシデント対応(インシデントレスポンス)およびフォレンジック調査に関連するあらゆる情報(ファイル、プロセス、ハッシュ、ユーザー行動、認証セッション、通信などに関するもの)をリアルタイムに収集できることが挙げられます。

強力なEDRソリューションを使うと、このようなデータに簡単にアクセスできるようになるほか、組織のあらゆる領域に対する可視性を即座に提供することが可能となります。

インシデントの検知からイベントが完全に修復されるまでにかかる時間を大幅に短縮したいという明確なニーズが存在します。カギとなる要素は調査時間です。多くの場合、インシデント対応チームは、各種のITおよびセキュリティ・プラットフォームからフォレンジクス上の証拠を収集し、そのようなデータを使用して一貫性のある攻撃シナリオを構築します。

EDRソリューションは、このような作業を自動的に実施し、攻撃スケジュール、根本原因、攻撃者の活動、影響を受けるユーザーやエンドポイント、関連する通信などを含む、一貫性のある可視的な攻撃シナリオを提供します。

6. 修正とクリーンアップ

「攻撃のエスカレーションを検知し阻止することは確かに大きな勝利ではありますが、被害にあったエンドポイントが適切にクリーンアップされておらず、パッチも適用されておらず、将来の攻撃に対抗できるように再構成されていないならば、すべてが無駄になります」(Kelly Jackson Higgins氏、サイトDark Readingでの発言)

効果的な修正とクリーンアップは、インシデント・レスポンスチームが環境に対して持つ可視性と同様に重要です。EDRプラットフォームは、特定の目標に向けられた精度の高い修復プランを可能にする情報を提供することを目的としています。

7. アンチウイルス(AV)ソフトウェアとの連携

「AVはマルウェアを日常的に確保するという仕事を、今もなお継続して行っているため、それらをすべて廃止することは困難です」(Kelly Jackson Higgins氏、サイトDark Readingでの発言)

サイバーリーズンも、上記のコメントに同意します。EDRは、AVによるマルウェアのブロックに対する優れた補完物となります。特に行動ベースのNGAVを補完する場合、EDRは最良の選択肢となります。

「次世代エンドポイント(EDR)のメリット」とは? Cybereasonの関連情報を公開中

CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/1033/

ホワイトペーパー:次世代エンドポイントのメリット