掲載日:2021/06/08

次世代AVとBromiumアプリケーション隔離によるサイバーレジリエンスの実現

※ 本ブログは、2017年3月28日にBromium BlogにポストされたAchieving Cyber Resilience with Next-Gen AV and Bromium Application Isolationの日本語訳です。

 

  • 検知ベースの技術は、常に攻撃者の一歩後ろにいます。
  • アプリケーションの隔離と制御を行う次世代仮想化を用いてNGAVを拡張します。
  • 機密データを持つアプリケーションは、ホストから完全にハードウェア的に隔離されます。

 

2016年、組織はサイバーセキュリティに800億ドル以上を費やした一方で、サイバー犯罪者は3兆ドルの利益を上げました。サイバーセキュリティは絶え間ない軍拡競争であり、セキュリティソリューションを覆す新たな手法が発見されれば、サイバーセキュリティベンダーはそれに対応し、その逆もまた然りです。

 

正直なところ、あなたの組織はすでに侵入されていて、それに気づいていないのではないでしょうか。

この前提を踏まえて、EDRに該当する全く新しい種類のセキュリティソリューションが必要とされています。人工知能を採用したNGAVソリューションのように、セキュリティ技術が進歩しても、マルウェアの検知はほとんど向上していません。実際、従来のAVベンダーの多くは、すでに何年も前からAIを利用しています。

 

では、何が問題なのでしょうか?なぜサイバーセキュリティ・ベンダーは未だに競争に負けているのでしょうか?

 

その答えは非常にシンプルですが、問題解決は非常に複雑です。

 

検知ベースの技術は、常に攻撃者の一歩後ろにいることになります。サイバーセキュリティの分野では、この25年以上、あまり大きな変化はありません。ほとんどの技術は、被害が発生する前に脅威を特定して阻止するために、検知ベースの技術に依存しています。しかし、それだけでは不十分です。実際、最新の機械学習技術を用いても、プロアクティブな検知は昨年、以前に比べて15%も低下しています。

 

NGAVを外すべきでしょうか?

次世代AVとBromiumアプリケーション隔離によるサイバーレジリエンスの実現

答えは「ノー」ですが、その理由は以下の通りです。Cylance、Invincea、Windows DefenderなどのNGAVソリューションで採用されている検知ベースの技術は、セキュリティ・スタックの重要な部分です。これらのソリューションは、世の中に存在する既知の悪意あるものを発見し、阻止するのに役立ちます。問題は、未知のものをどうやって阻止するかということです。常に変化し、階層防御をすり抜ける脅威にどのようにして対応するか。あなたの組織は、どのようにしてサイバーレジリエンスを獲得できるでしょうか?

 

アプリケーションの隔離と制御を行う次世代の仮想化を用いてNGAVを拡張することで、ゼロデイや通常はすり抜けてしまう新たな脅威に対する効果的な保護が提供されます。Bromiumは、アプリケーションの隔離と制御に使用される仮想化ベースのセキュリティにおいて、変革をもたらすリーダーです。このレベルの保護は、強固なセキュリティ戦略にとって非常に根本的なものであり、NSAによって検証されています。(注:皮肉なことに、NSAのサイトには証明書の問題があります。クリックすることによりコンテンツを見ることができます。)

 

2016年にNSA Information Assurance Symposiumで発表されたもので、その内容は次のようなものです。「アプリケーションの隔離と封じ込めは、それが複雑なクリーンアップを無くし、ゼロデイ攻撃を阻止し、新規の攻撃を捕らえる可能性があるため魅力的である。」

 

すべての組織は、自社の知的財産を保護するために、セキュリティ戦略とソリューションを採用しています。しかし、その知的財産は、攻撃者が企業へのアクセスを得るために悪用する脆弱なアプリケーション上で、従業員によって作成、使用されています。アプリケーションの隔離と制御を行うことで、ユーザのワークフローに影響を与えることなく、多くの重要なセキュリティ上のメリットを得ることができます。

 

ホストを守るためのアプリケーションの隔離

アプリケーションの脆弱性がエンドユーザーによって開かれた悪意のあるファイルに悪用されても、ホストは感染しません。これは、BromiumがCPUのハードウェアレベルの仮想化機能を用いて最小特権の原則を適用しているためです。悪意のあるファイルは、マイクロVMでホストから完全に隔離されています。同じ仕組みが、マイクロバイザがシステム上のリソースへのアクセスコントロールを強制するすべてのブラウザタブやタスクに適用されます。

 

保護されたアプリケーションのホストからの隔離

Windows 10のようにOSのセキュリティが飛躍的に向上しても、侵害は過去最高レベルに達しています。セキュリティの主な目的は、知的財産(IP)の保護であると考えられます。そのアプリケーションがどこで実行されているか(契約者、サードパーティのシステム、BYOデバイス)に関わらずIPにアクセスするアプリケーションを保護することは、論理的であると思われます。

 

ホストが侵害された場合でも、機密データを含むアプリケーションは、ハードウェアによってホストから完全に隔離されます。ホストのOSは、アプリケーションがシステム上で実行されていることを意識することもありません。なぜなら、アプリケーションはCPUのハードウェアレベルの仮想化機能により隔離されているからです。

 

ハードウェアレベルのセキュリティがもたらすビジネスの変化をご覧ください

RSAC Cryptographersのパネルで、Whitfield Diffie氏は、脅威を隔離するためにハードウェアで強化されたセキュリティを使用するというセキュリティの変化を求めています。仮想化ベースのセキュリティはまさにそれであり、変革をもたらし、顧客が競争力を持つのに役立つものです。

 

関連記事