コロナ問題で在宅勤務が急増中。この変化に企業のIT部門はいかに対応し、ビジネスの継続性、ITセキュリティと一貫性を保てるか?
リモート環境でのユーザ層が拡大することでのリスクの増加し、テレワークの必要性の影響に注目が集まる中、サイバー攻撃者は標的型のフィッシング攻撃活動を仕掛け出しており、いくつかのケースでは攻撃に成功しています。
米国Bromium社の技術陣が発信した記事を中心に、最新の情報をご紹介いたします。
リモート環境でのユーザ層が拡大することでのリスクの増加し、テレワークの必要性の影響に注目が集まる中、サイバー攻撃者は標的型のフィッシング攻撃活動を仕掛け出しており、いくつかのケースでは攻撃に成功しています。
メモリで直接実行してファイルを作らないファイルレス型、配信の都度形態を変える多態型、OS等に標準で実装されたモジュールを悪用する環境寄生型(LOLBins)などの手口により、従来からの検知を前提としたセキュリティは効果が薄れる一方です。● 一方で2年も前に認識された特定の脆弱性を悪用の多発も見れます。● 今回は高度な攻撃の一つの例であるFlawedAmmyyからBromiumが防御する様子も動画で併せてお伝えします。
● 米国国防情報システム局(DISA)のセキュリティ専門家は、Endpoint Detection andResponse(EDR)とApplication Isolation andContainment(アプリケーションの隔離と封じ込め)というエンドポイントセキュリティ機能の2つの使用で、既知及びゼロデイの脅威からエンドポイントをより強固に保護できる方法を高く評価しています。 ● 複数の米国連邦政府機関が、基本的セキュリティ戦略としてアプリケーションの隔離と封じ込めを検証しています。 ● Bromiumは、エンドポイントを確実に保護する革新的なアプローチを採用しており、安全、内蔵、かつ自己修復型の仮想環境を用いた保護方式で、検出する事への依存を避けています("最初の患者"を生み出すことなしに、です)。
● リモートブラウザ製品群はウェブサイトを悪用した攻撃への対策になりますが、それよりはるかに大きい問題である、悪意のあるファイルダウンロードへの対策にはほとんどなりません。 ● ユーザーは、リモートでのレンダリングや表面的な代用品ではなく、自分が選択した実際の文書をダウンロードすることを期待しています。 ● BromiumはWebからのダウンロードを隔離して、ユーザーが元のファイルの状態のまま、完全に機能させて、かつ安全に作業できるようにします。
● 大半の企業では、レガシーWebアプリケーションにInternet Explorer(IE)を使う必要があります ● ChromeとEdgeはIEよりはるかに安全ですが、一方で悪意のあるダウンロードの影響は依然残ります ● Bromiumの使用でIEを安全に使用できると共に、ChromeやEdgeなどの最新のブラウザの使用も保護します
● 最近のマルウェア技法には、単にファイルをコピーするだけで検出を回避するものがあります。 ● それがどのように動作するかを順を追って解説します。 ● 革新的なハッカーは、検出を回避する、洗練されたマルウェアを継続的に生みだしています。
● Intelのチップの脆弱性に起因してSpectreとMeltdownと呼ばれる、情報漏えいに繋がる脆弱性が引き起こされました。 ● 双方とも、一般ユーザー空間で実行された攻撃さえ、他のプロセスに属するデータの参照を可能にし、さらに特権がある場合はカーネル自体を含むプロセスの読み込みを可能にしてしまいます。 ● MeltdownはIntelのCPUにしか見られませんが、Spectreの脆弱性は、IntelやAMDをはじめとした大半の最新CPUや、ARMなどの異なるアーキテクチャでも存在します。 ● SpectreとMeltdownは共に、攻撃側はターゲットにするシステム上でコードを実行する必要があります。 ● マイクロ仮想化は、カーネル関係の脆弱性からでさえ、非常に効果的な保護になります。
● プロセスDoppelganging(ドッペルゲンジング)は、大半のセキュリティツールをバイパスし、すべてのWindowsバージョンで動作してしまう、新しいコードインジェクション技術である。 ● 検出に依存したセキュリティソリューション頼りでは、プロセスDoppelgangingに対して脆弱になる。 ● Bromiumは、信頼できないタスクをハードウェア的に隔離した仮想マシンで実行するため、ゼロデイや新たな検出不可能な手口からも常に保護することが可能になる。
● 脆弱なアプリケーションやブラウザは、これらこそがデータ侵害の永続的なエントリポイントです。 セキュリティにおいて一般に関心が払われるファイル類は、主役ではありません。 ● カーネルレベルの攻撃経路やマルウェアのすり抜けを絶対的に排除する唯一の方法は、隔離することです。 ● 報セキュリティの防衛を、より少なく、賢く、より効果的な階層での実現を再考する時期です。 ● 思っているより多くのエンドポイントが存在します。
● 非永続型も含めてVDI環境は今日のマルウェアを防御することに役に立たない ● VDIは物理デスクトップと同じようにマルウェアに対して感染しやすい ● 仮想ベース(Virtual Based Security VBS)こそが物理、仮想デスクトップ双方に対してのサイバーセキュリティ問題を解決する