RevolutionizeEndpoint Security with Application Isolation &Containment by Gregory Webb / 2018年8月26日より
今年のはじめ、米国国防情報システム局(DISA)は多くの企業が長く取り組んできた、あることを認めました。より洗練され、進化を続ける脅威からの防御には、エンドポイントセキュリティソリューションを「近代化」する必要があります。(「エンドポイントセキュリティの進化」https://www.disa.mil/NewsandEvents/2018/evolution-endpoint-securityを参照)
多くの組織と同様に、DISAは歴史的に検出に基づいた多層防御によるセキュリティの形態を推薦し、また活用もしてきました。 進化する脅威と米国政府機関に対する国家主導の攻撃の増加について、政府機関のセキュリティ専門家が精査するにつれ、彼らは避けられない 結論 ―― つまり、攻撃者の行動を予測し、ポリフォミック型や標的型の攻撃を現状の能力だけ対応することは、勝ち戦略ではない ―― に至りました。
実際にあなたが政府機関で働くことはないかもしれませんが、あなたの会社も同じ負け戦に直面する可能性は充分あると思います。 新たな攻撃の都度、セキュリティ担当部署が検出機能に依存する製品をエンドポイントに追加することで、組織の防御の一時的な強化を図りますが、その効果の程は次の攻撃までに限られます。予測できる結末はどのようなものでしょうか。 伝統的なエンドポイントセキュリティ製品は、実現可能な保護と価値とを低下させ、悪意の行為者らは脆弱性を見つけては悪用を続けて、既存のセキュリティ対策を凌駕するでしょう。
危険性がより高まるサイバー攻撃情勢において、DISAは顕著なリスク削減とセキュリティの劇的な改善のために、エンドポイントとデータをより安全に保護する方法を推奨しています。より新しいハードウェアベースの封じ込め型のソリューションは、その進歩的な戦略の中でも重要な部分です。DISAのEndpoint Security部門の責任者、Fredrick Cook氏は「封じ込め型ソリューションは信頼できないアプリケーションにとってのサンドボックスのようなものです。EDRはPCが既に侵害された事が想定されており、異常を検知してネットワーク上の他のデバイスの同様の動作との関連付ける事で、一度ですべてが”接種”できるようにします。」と説明しています。
仮想化を用いた封じ込めの概念は、一部の方々にとっては大きなニュースかもしれませんが、Bromiumにとってはそうでもありません。Bromiumは5年以上に渡り、複数の業種や政府系の大規模なグローバルユーザとの協力で、封じ込め型のソリューションを開発し、強化してきました。私たちはスタートアップ企業からエンタープライズレベルの企業組織と共に、実証実験から段階的にレベルを上げ、堅牢で実績のあるセキュリティ機能を備えたソリューションの試験と提供準備を進めてきました。
このレベルの保護は堅牢なセキュリティ戦略の中では基礎的なものであり、既に複数の連邦政府機関で検証され、使用が承認されています。米国国家安全保障局(NSA)は、このセキュリティ手法を検証し、2016年にNSA情報保障シンポジウムで新たなカテゴリとしてとりあげました。「アプリケーション隔離と封じ込めは、複雑な復旧作業の回避やゼロデー攻撃による侵害の阻止、新種の攻撃のキャプチャなどが期待できる事が魅力」とBromiumのより安全で強固なアーキテクチャーが特に強調されました。Bromiumは2018年の早い時期にSecure Configuration Checklistをリリースし、NIST(米国国立標準技術研究所)が定めたナショナルチェックリストプログラム(NCP)に準拠しました。米国国防総省(DoD)で使用される連邦オペレーティングシステムのセキュリティをはじめ、民間および州政府で使用されるシステムでエンドユーザーの保護をさらに強化するためです。
最近では、米国国防総省の防衛情報システム局(DISA)が、Bromiumの隔離および封じ込め型ソリューションのための、初めてのセキュリティテクニカル実装ガイド (STIG、Security TechnicalImplementation Guide)を今年6月に公開しました。国防総省は、軍事機関による厳格なセキュリティ要件を満たしているか、上回っているベンダーのソリューションのSTIGを発行しています。 新たなSTIGガイドラインによって、国防総省とその傘下の機関およびその他の連邦政府機関が、高度なセキュリティと脅威情報をエンドポイントに活かすために必要な技術ポリシー、設定および実装情報に基づいてBromiumのプラットフォームの導入ができることになります。また、大企業におけるセキュリティに対する隔離型アプローチのさらなる検証も行われています。
年間に数百万に及ぶ危険なクリック
セキュリティの強化とビジネスリスクの削減の両立はどのように実現できるでしょうか。具体的に定量化する方法が一つあります。貴社のユーザーの1人が、未知でリスクがあるウェブサイトへのリンクを何回クリックするか、自問してみてください。もしくは、外部からの電子メールの添付ファイルを開くでしょうか? あるいはインターネットのウェブサイトからファイルをダウンロードして開くこともありますか? ユーザーが平均して1日に1回、2回、5回、それ以上の危険なクリックをしていますか? 典型的な従業員が控え目にみてもて1日5回の危険なクリックをするとして、仮に組織内に1,000ユーザーがいるとすれば、毎日5,000回以上の危険なクリックが起きていることを意味します。
これは毎週25,000以上、毎月10万以上、毎年100万回以上に及ぶ危険なクリックという事になり、セキュリティ事故につながりえる重大な無防備です。組織内に10,000人または100,000人のユーザーがいる場合を想像してみましょう。リスクは驚異的です。これが、企業組織内で年間に発生する何百万もの危険なクリックです。また、1人のユーザーが誤ったリンクを1度クリックするだけで、壊滅的な事故につながる可能性があります。多くの組織で数百万ものリスクのあるクリックがされていることをふまえると、リスクの高いクリックに組織が侵害されるのを完全に防ぎきれると言えるユーザー教育やトレーニングは存在しません。
Bromiumは異なる視点からセキュリティにアプローチします
検出技法に基づいた伝統的な方法では、まず攻撃をうける側が一度、”患者1号”になりシステム侵害を被る事になります。 Bromiumは、組織が最初の被害を被るのを防ぐのに役立ちます。メールの添付ファイルやダウンロードしたファイルを開いたり、ウェブサイトを閲覧することを、セキュリティ保護された仮想マシンですべて行うことは、入手しえる最強の防弾装備のようなものです(インターネットから完全に完全に切断することは選択肢にはなりません)。
安全で、封じ込め型かつ自己修復までする仮想マシン及びリアルタイムな脅威インテリジェンスを用いた進歩的なセキュリティは、検出機能には依存しません。ハードウェア的に強制される隔離と封じ込めで保護するだけです。Bromiumはアプリケーション毎に保護された環境を生成します。その環境内でランサムウェアなどのマルウェア攻撃が発生した場合でも、その脅威は隔離されたままであり、他のアプリケーションや基礎であるOSやハードウェアに害を与えることはできません。脅威を除去するのはアプリケーションを閉じるだけです。エンドポイントの側でこれ以上の操作は必要ありません。アトランタ市がサイバー攻撃で大きな被害を被りましたが、もしユーザが毎週何百回ものランサムウェアが「閉じるだけ」で済んでいたら、どれだけの時間や労力、評判を損なわずにすんだかを考えてみてください。
私たちはユーザ企業がもつ問題の根本に取り組んでいます。 お客様からは問題に圧倒されてしまっていると、しばしばお聞きします。セキュリティオペレーションセンター(SOC)のチームは、増加傾向にある、過検知による価値の無いセキュリティアラートに溺れてしまっていたり、数百万ドルに及ぶ費用をかけて精査して対処しています。一方で、サイバー犯罪者らはメールの添付ファイル 、フィッシングリンクやダウンロードなどの弱点に注力しており、高度なマルウェアはいまだに蔓延しています。侵入の発生時に自己完結型の試験管から情報を切り出し取得することができるときに、なぜ強大な脅威対策チームを編成し、手作業でデータを紡ぎ合わせて、牧草の中から針を探すような事をするのでしょうか。
Bromiumは、現在の企業のセキュリティニーズに対応します。アプリケーション隔離ソリューションは、エンドポイントのセキュリティ階層に革命をもたらし、ほぼすべてのエンドポイントで膨らみがちな複数のセキュリティ製品の必要性を排除します。仮想化ベースのセキュリティだけが最も洗練された攻撃手法から防御し、ユーザー、データ、およびマシンをユーザーの使い勝手に影響を与えずに保護できます。ユーザーはどんなものでも安心してクリックでき、高い生産性をもって完全に保護された業務を遂行することができます。