高度な脅威に関する神話を論破するシリーズにおいて、サンドボックス技術についてこれまで詳しく考察してきたのには、目的がありました。高度な脅威を検知するために使われる「大きな負担」の大半は、サンドボックス技術に関連しているため、こうした技術とその限界について把握しておくことが重要なのです。
既に説明してきたように、サンドボックスは、疑わしいファイルを隔離して詳細な解析を行うのに適しています。本当に優れたサンドボックス技術は、マルチエンジンの行動解析を用いて、エクスプロイトの目的と標的を素早く判断します。
また、サンドボックスには限界があることにも言及してきました。サンドボックスは、すべてのマルウェアや、さらにはすべての高度なマルウェアを検知できるわけではありません。その上、サンドボックスの環境を切り抜ける方法は複数存在しています。
サンドボックス技術ばかりを重視する方針をとり続けていくことは容易ではありますが、高度な脅威に対する統合ソリューションの一端を担うエンドポイント保護技術の役割を、この時点で立ち戻って再評価することも重要です。
たとえば、従来のシグネチャベースの手法は、高度なマルウェアに関する問題にとって不要である、と考えられていることが多々あります。これは、とんでもない間違いであると言えます。
私は毎年何百人ものお客様と対話をしていますが、セキュリティアーキテクチャーからエンドポイント保護を除外しているお客様は誰もいません。
明らかに、高度なマルウェアの種類の多くは、定義によればゼロデイ攻撃であり、シグネチャベースの技術は、最新のアップデートと同じ性能になります。しかし、アップデートは頻繁に行われるので、シグネチャベースのシステムは、疑わしいファイルまたは未知のファイルとしてファイルを隔離することが可能であり、実行しています。実際に、このような方法でマルウェアの大半は第一段階として、サンドボックスに入れられているのです。
このため、シグネチャベースの技術は重要であるだけではなく、高度なマルウェアを隔離して対処する手掛かりとなることは、明白です。
シグネチャベースの手法には、もうひとつ説得力のある強みがあります。リアルタイムで動作するため、疑わしいファイルをストリームから完全に取り出すことができることです。この能力は、サンドボックスにはありません。サンドボックスは、疑わしいファイルのコピーを隔離するだけで、オリジナルのファイルはそのまま進み続けるからです。
こうした意味で比較すれば、シグネチャベースの技術はあまり経費もかからない上に、非常に効率的です。また、この技術は、一般的にはヒット率が高く誤検出が少ないので非常に高精度です。これにより、より高度なマルウェア技術にかかる負担が大幅に軽減されるので、環境全体の効率とコスト管理を維持する際に重要になります。
このため、マルウェア関連の問題におけるこの技術の役割は、変化しつつあると受け取られる場合がありますが、実績のあるエンドポイント保護の手法の存在感が薄くなることはありません。こうした技術は、統合された高度なマルウェアソリューションにとって重要な技術です。リアルタイムでマルウェアを検出してブロックすることができ、疑わしいファイルや未知のファイルをサンドボックスソリューションに入れることが可能で、高度なマルウェア対策を実施する環境において全体効率を向上させることができるのです。
『エンドポイントの保護は効力がない』という神話は、崩れました。
<最新のセミナー情報>
■ 標的型攻撃に対抗するマカフィーの包括的なマルウェア対策のご紹介
東京開催: 2014年2月5日(水)
サンドボックスの一歩先を行く標的型攻撃対策製品 「McAfee Advanced Threat Defense」を動画でご紹介しています。
関連記事
- [2014/02/27] 高度なマルウェアに関する神話 第7話―『”階層化”は最大の防御である』
- [2014/02/13] 高度なマルウェアに関する神話 第6話―『高度なマルウェアを検出すれば脅威を阻止できる』
- [2014/01/16] 高度なマルウェアに関する神話 第4話: 『サンドボックスはすべてを検知する』
- [2013/12/27] 高度なマルウェアに関する神話 第3話: 『どのベンダーでも同じである』
- [2013/12/02] 高度なマルウェアに関する神話 第2話: 『サンドボックスがあればマルウェアはブロックできる』
- [2013/11/25] 高度なマルウェアに関する神話 第1話: 『課題は、高度なマルウェアは検知できないということだ』
※本ページの内容はMcAfee Blogの抄訳です。
原文:Myth #5: Endpoint Protection is Dead
