ビジネス&テクノロジー

一刻を争うエンドポイント保護:リアルタイムの対応が重要な理由

投稿者 Fortinet | 2020年4月10日

オーストラリアを大規模な山火事が襲い、カリフォルニアの北部および南部では過去数年にわたって繰り返し山火事が発生しています。このような山火事への対応は、一刻を争います。

ベテラン消防士の任務は、単なる消火活動にとどまりません。まず、消火のためのリソースをリスクの高い場所に備蓄し、適切に分散しておく必要があります。天候の専門家と、地上や上空で消火活動を行う消防士との間で情報を共有し、火が進む方向を予測することで延焼を防ぎ鎮火を試みます。また、貴重な構造物やインフラストラクチャの保護も必要です。それには、火が燃え広がる前にこのようなランドマークを識別しておかなければなりません。そして、避難計画の事前策定、待避ルートの確保、代替ルートの検討も必要です。これにより、被害者は危険を回避できます。

もちろん、最善の消火戦略は、防御が第一です。やぶを刈り、防御線を確保し、民家を地図で確認し、境界線から森林を伐採することで、脆弱な地域から民家を分離します。ところが、このように万全な対策を講じても、強風や乾いた風が発生する地域では山火事が発生しやすくなります。

山火事とエンドポイント - 基本原則は同じ

これとまったく同じ原則を、エンドポイントセキュリティに適用できます。デバイスがマルウェアの標的になると、特にランサムウェアの場合、すぐに対策を講じなければ被害が発生します。WannaCryは、わずか3秒でファイルを暗号化してしまいます。また、NotPetyaはあっという間に自動感染するサイバー武器であり、史上最速の攻撃だと言えます。ユーザーが画面に表示された警告を見る頃には、データセンターは既に機能しなくなっているのです。

しかも、このような攻撃は他のデバイスに急速に感染します。介入計画がなければ、山火事のように社内全体に広がり、食い止めることは不可能になるでしょう。

これ以外にも無数のエンドポイント攻撃が注目を集めている今、エンドポイントは、乾いた強風が吹き荒れ、火事が発生しやすい場所であるという認識が必要です。実際、IDCのレポートによると、成功したネットワーク攻撃のうち、エンドポイントデバイスが侵入経路になった攻撃は全体の70%を占めます。オペレーティングシステムやアプリケーションの脆弱性は、ほとんどがパッチの未適用によるものであり、エンドポイントを標的にしたサイバー攻撃を容易にする原因になっています。

ほとんどのCISOは、防御の重要性を認識する一方で、100%の防御は現実的でないことも理解しています。パッチの提供は断続的であり、セキュリティアップデートは脅威の発生後に提供されるため、ゼロデイ攻撃はセキュリティシステムをすり抜けてしまいます。また組織には、悪意のあるメール添付ファイルをクリックしてしまうユーザーが常に存在します。したがって、セキュリティチームは、エンドポイントは常に危険にさらされているという前提で対策を講じる必要があります。またこれは防護だけでなく、リアルタイムの検知と隔離を重視すべき理由でもあります。

検知と対応の遅れは組織をリスクにさらす

防御の第一歩は、組織がどのような脅威にさらされているのかを把握することにあります。タイミングという点では、ランサムウェアをはじめ、システムをわずか数秒で破壊してしまう山火事のような脅威があります。また、時間をかけてデータを窃取する攻撃などのように、じわじわと燃え広がる脅威もあります。ランサムウェア攻撃はさまざまに報道されていますが、確認されたデータ侵害のほとんどは長期にわたって潜伏しています。実際、脅威の特定にかかった平均時間は197日、脅威の隔離にかかった時間は69日です。

残念ながら、これが、初期のEDR(Endpoint Detection and Response)ツールで想定されていたベンチマークなのです。つまり、じわじわ感染を広げる脅威は手作業でも十分に対応できるといった考えが前提となっていました。その後、エンドポイントセキュリティソリューションは重要な進化を遂げ、検知時間(MTTD:平均検知時間)は数週間から数日、さらには数時間と大幅に短縮されています。それでもまだ、高速なランサムウェア攻撃にはとても太刀打ちできません。また、EDRツールが攻撃をリアルタイムで検知できたとしても、脅威を手動で隔離するには1時間以上かかってしまいます。ランサムウェア攻撃の場合、対応している間にデータは暗号化されてしまいますから、EDRの検知機能は役に立ちません。

フォーティネットのエンドポイント検知/レスポンスソリューションの特長

FortiEDRは、攻撃の阻止という1つの明確な目標を念頭に設計されたソリューションです。対処する攻撃には、データ窃取やデータの破壊が含まれます。ランサムウェアをはじめとする高速な攻撃の特性を理解することで、FortiEDRは脅威をリアルタイムで封じ込め、無毒化します。また、感染したエンドポイントにも対応できます。

FortiEDRは、OS中心のコードトレーステクノロジーを搭載することで、インメモリ攻撃など、不審なプロセスや挙動を即時で検知します。脅威を検知すると、すぐにC&C(コマンド&コントロール)サーバーへの外部通信をブロックし、ファイルシステムへのアクセスを無効にすることで、潜在的な脅威を抑制します。データの窃取、ラテラルムーブメント、ランサムウェアによる暗号化を即座に防止し、データ損失から組織を保護します。

誤検知への対策

もちろん、リアルタイムで対応するソリューションには、誤検知の不安があります。正当なアプリケーションのアクティビティが不審だと検知された場合、FortiEDRはどのように対処するのでしょうか。その方法として、FortiEDRのブロックでは、プロセスの停止やエンドポイントの隔離を行いません。少なくとも、現時点では、この方法を採用しています。

潜在的な脅威のブロックでは、徹底したイベント調査がコンマ何秒で行われます。FortiEDRのバックエンドクラウドサービスは、追加情報を瞬時に収集し、イベントを脅威か無害かを判定します。無害であればブロックは解除され、エンドユーザーに影響は発生しません。有害と判定されると、FortiEDRはアクションを自動実行します。これには、プロセスの中断、悪意のあるファイルや感染ファイルの削除、エンドポイントの隔離、ユーザーへの通知、ヘルプデスクチケットの発行などがあります。FortiEDRのレスポンスは、フォーティネットが提供するプレイブックに基づいて決定されます。プレイブックはセキュリティチームによるカスタマイズが可能なので、環境の要件に沿った自動対応や、エンドポイントグループや脅威カテゴリといった基準に基づいたアクションを指定できます。

FortiEDRによる5つの保護ステージ

FortiEDRは次の5つのステージでエンドポイントを保護します。各ステージについて詳しく解説します。

発見および予測:FortiEDRは、エンドポイントの攻撃対象領域をプロアクティブに見つけ出し、リスクを軽減します。この処理では、不正なデバイスとアプリケーションの可視化、システムやアプリケーションに存在する脆弱性の特定、仮想パッチによるプロアクティブなリスク軽減が行われます。

防御:カーネルベースの次世代AVが、ファイルベースのマルウェアを自動的に防御します。また、継続してアップデートされるクラウドベースの脅威インテリジェンスのフィードと機械学習を組み合わせてスマート化を図り、脅威検知をさらに効率化します。

検知および無効化:振る舞いベースの検知機能を備えたFortiEDRは、感染後のセキュリティ保護にも対応できる唯一のソリューションであり、セキュリティ侵害やランサムウェアによる損害をリアルタイムで阻止します。

レスポンスおよび修復:セキュリティチームは、プレイブックに基づいて、インシデント対応の調整、インシデント対応/修復プロセスの合理化と自動化を行います。また、ネットワークをリスクにさらすことなく、攻撃の影響を受けたマシンをオンライン状態に維持するため、ユーザーの操作やビジネスが中断することもありません。

調査および追跡:FortiEDRは、詳細な脅威情報によって、フォレンジックな調査をサポートします。独自のインタフェースでガイダンスやベストプラクティスを提示し、セキュリティアナリストに対して次に実行すべき論理的なステップを推奨します。

円滑で効果的なデバイス保護と生産性の向上

FortiEDRは、従来のエンドポイント保護ソリューション、特に非常に厳格なエンドポイント分離と比較すると、格段に円滑で効果的なソリューションになっています。エンドポイント分離などのプロセスを自動化するツールは、ユーザーや部門に大きな影響を及ぼすため、導入についてはどのセキュリティチームも慎重になります。この場合、特に問題となるのが誤検知です。不審なイベントが検知されるたびにコンピュータが使用不能になれば、組織からの支持を簡単に失ってしまうでしょう。

これに対してFortiEDRは、コミュニケーションやファイルアクセスを切断することでイベントに対処し、効果的な無害化を可能にします。脅威によるファイルアクセスやサーバー通信を阻止するため、脅威が組織に害を及ぼすことはありません。また、製造フロアのシステムはオンライン状態を維持し、ユーザーは業務を継続できます。さらに、エンドポイントのセキュリティ保護を、感染前と感染後のいずれにおいても包括的にリアルタイム実行します。また、膨大なアラートによる疲労や侵害の不安の解消、インシデント対応手順の標準化、高度な自動化によるセキュリティオペレーションリソースの最適化を実現します。

FortiEDRが組織に与える影響は計り知れません。あるお客様は、「過去15年のキャリアの中で、enSilo(FortiEDRの旧称)は見込みがあると感じた最初の製品だ」と絶賛しています。

時間との戦いで勝利を収めましょう。FortEDRによるリアルタイムの攻撃対策については、ビデオをご覧ください。FortEDRをお試しいただくこともできます。

フォーティネットは、サイバーセキュリティ/ネットワーキングのプロフェッショナルを対象に、仮想イベントをグローバル規模で行っています。最新製品の発表をお見逃しなく。こちらでご登録ください。

フォーティネットのユーザーコミュニティ(Fuse)に参加ください。Fuseは、アイデアの共有やフィードバック、フォーティネットの製品やテクノロジーに関する詳細情報、同業他社との情報交換の場です。

組織のデジタル攻撃対象領域全体(IoTからエッジ、ネットワークコア、マルチクラウド環境まで)にわたり、幅広い適用領域で(Broad)システム連携し(Integrated)、自動化された(Automated)保護を、フォーティネットのセキュリティ ファブリックがどのように実現できるか、ぜひご確認ください。

Echoenergiaニュージーランド赤十字社が、フォーティネット セキュリティ ファブリックをエンドツーエンド ネットワークの保護にどのように活用しているかご確認いただけます。