EDR と EPR : 復旧までの時間を比較

By Bret Lenmark

本ブログ記事は、2019年2月15日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

この記事では、サイバーセキュリティラボのフォレンジック調査をベースに、人工知能(AI)ベースの予防と可視化を元にしたEPR(エンドポイント防御/対応)によるセキュリティアプローチを使用した場合に実際に認められた時間の節約について、従来型のシグネチャベースのアンチウイルス(AV)とエンドポイント検知/対応(EDR)を活用した場合と比較しながら示しています。

背景情報

EDRソフトウェアの誕生は、マルウェアの大量増殖と格闘する従来のアンチウイルスベンダーにとって、大きな助けとなりました。このテクノロジーは、マルウェアがシグネチャベースのAVの第一防御ラインを回避した場合でも、「hunt-and-kill(探し出して殺す)」を可能にします。EDRは根本的には、セキュリティアナリストが組織のITインフラストラクチャ内で発生するAPT攻撃を検知、調査し、それに対応するのに役立つエンドポイントの可視性と情報を提供することに重点を置いています。

「EDR製品の導入は非常に複雑になる可能性があります」そう述べるのは、 NSS Labsの最高技術責任者、Jason Brvenik氏です。EDRをスペシャリストとして使いこなすためには、専門知識としてアプリケーションプログラミングインターフェイス(API)、データ流出、ファイルシステム、ネットワークトラフィック、レジストリ、およびシステムとデータの整合性に関する技術知識が必要になります。必要とされるこれらの高度な技術を備えているのは、一般的にはどの組織からも求められるサイバーセキュリティスペシャリストであり、多くの場合、彼らの給与は安くありません。そのため、先進的な考えを持つセキュリティ志向の組織は、上級EDRスペシャリストが費やす時間を綿密に調べ、より戦略的なタスクに彼らの工数を活用しつつ、基本的なセキュリティ対策「blocking and tackling(阻止と対処)」は、より経験の浅いセキュリティ管理者に委ねます。

それでは、組織はどのようにして、高度なトレーニングを受けたEDRセキュリティスペシャリストの時間を最大限活用できるでしょうか。また同時に、組織の重要な資産であるデータの整合性を維持しながら、どのようにしてフォレンジックセキュリティチームが不正なアクティビティの調査に必要な情報を確保できるのでしょうか。

アプローチと方法論

最近人工知能の進化した技術をサイバーセキュリティのアプローチに活用したソリューションが登場しています。AIサイバーセキュリティ企業であるサイランスは最近、典型的なサイバーセキュリティラボ環境でタスクを識別し、それらを定量化して合理的なバッチにグループ化し、観測された結果を解析するという取り組みを行いました。検討された主な方法論は以下の2つです。

  • 仮想マシン(VM)1(AIベースのアンチウイルス + 予防型EDRソリューション):EPRと呼ばれるAIベースの防御にフォーカスしたソリューションを装備
  • 仮想マシン2 (シグネチャベースのアンチウイルス + EDRソリューション): 一般的なEDRベースのソリューションを装備、設定はブロック・防御・阻止ではなく、イベントをログに記録するアラートがメイン

実施された評価プロセスは以下のとおりです。

  • 武器化されたWord文書をVM1、VM2の両方で実行
  • 分析官は、各VMのソリューションによって生成されたイベントを追跡し分析
  • 各ステップは時間が計測され、ログに記録される

テスト結果

当然のことながら、監視のみが有効なVM2は、AIベースの防御と保護が有効なVM1に比べ、はるかに多くの症状を示し、はるかに多くのデータがログに記録されました。

その結果、VM2(シグネチャベースのアンチウイルス + EDRソリューション)は、データ損失の証拠とマルウェアコード実行の兆候を示します。データ損失を示すこれらの証拠が確認された段階で、セキュリティ担当者は弁護士、法執行機関、および外部のフォレンジックコンサルタント会社に相談するなど、正式なインシデント対応プロセスの開始を余儀なくされる可能性が大いにあります。

以下に調査結果の要約を示します。

最終的には、両方のセキュリティアプローチとも対応を行うことができました(すなわち一連のイベントが把握され、ある程度の復旧が行われた)が、従来のシグネチャベースのAVとEDRを活用したアプローチでは、ユーザー情報を危険にさらしただけでなく、(テストケースでは)海外の攻撃者グループにも一時的にアクセスされることになり、影響を受けたエンドポイントの再イメージングとフォレンジック分析の取り組みにかなり時間を要しました。

ここでは、定量化できた復旧時間だけでなく、データ整合性への計り知れない損害、究極的には企業のブランド資産価値と評判が損われる可能性にも差があることが分かります。

まとめ

企業資産に対する脅威のフォレンジック調査には、最も高度なトレーニングを受けているサイバーセキュリティ専門家を外部から契約で雇って投入する必要があるため、1分1分が非常に重要です。先進的なサイバーセキュリティを考えている担当者は、調査時間を最大限に活用し、サイバー脅威のリスクを最小にするための新しい方法を模索しています。

サイランスは人工知能ベースのアプローチを防御とEPR(予防型EDR)両方の技術に適用して、時間とコストを節約するための取り組みで市場をリードしています。

Tags: