アプリケーションこそがエンドポイント

A Cybersecurity Proof: The Application is the Endpoint by  Michael Rosen / 2017年10月16日より


  • 脆弱なアプリケーションやブラウザは、これらこそがデータ侵害の永続的なエントリポイントです。 セキュリティにおいて一般に関心が払われるファイル類は、主役ではありません。
  • カーネルレベルの攻撃経路やマルウェアのすり抜けを絶対的に排除する唯一の方法は、隔離することです。
  • 情報セキュリティの防衛を、より少なく、賢く、より効果的な階層での実現を再考する時期です。

思っているより多くのエンドポイントが存在します。

あなたのPCにはいくつのエンドポイントがありますか。 これは、奇妙で、ひっかけ問題のように聞こえるかもしれません。 どうすれば「一つ」以外の答えになるでしょうか。 実際には、あなたが想像するほど単純なものではありません。 アプリケーションは固定されたもので、これらアプリケーション内に現れるファイルは、単に動的な攻撃経路に過ぎません。 アプリケーションは常時存在するコンピュータへの経路であり、さらにそれが企業組織への経路となります。 現在、何種類のアプリケーションを、日々、毎週、または毎月使用していますか。 私たちの大半は、容易に10以上を数える事ができます。 これらを真剣に考えると、潜在的に脆弱性を持つアプリケーションは、それぞれが独自のエンドポイントターゲットと言えます。

エンドポイントとしてのアプリケーションという概念は、悪意の行為者の手段を考えると、より明確になります。 あなたのPCをターゲットにしたマルウェアの動作は、どのように企業組織への足がかりを得る手段をとるのでしょうか。 彼らはOS、ファイルシステム、カーネル、もしくはレジストリを直接ターゲットにしている訳ではありません。

代わりに、既知の脆弱性と未知の脆弱性の両方を悪用します。すべてのWindowsマシンで実行されている、日常的なアプリケーションやブラウザ内に存在する、 あらゆるもの ― 10年前のパッチが存在しない脆弱性から真のゼロデイまで ― を狙って、下記を例としたファイルやWebベースのコンテンツで悪用します。
  • 悪意のOfficeドキュメント
  • 武器化されたPDF
  • イメージファイルへのデータ埋め込み型マルウェア
  • Windows Media PlayerのDRM機能における悪意の実行可能コンテンツ
  • Webブラウザのファイルレスマルウェア
 


一台の物理エンドポイントには、軽く10以上の脆弱なアプリケーションアクセスポイントを含み、それぞれが永続的な 攻撃ベクトルと言えます。

アプリケーションの欠陥はなくなることはありません。

ソフトウェアの脆弱性は常に存在するものであり、ホストへの侵害が実現してしまうのは、正当なプログラム機能の故意の誤用も含め、これらのアプリケーション群に永続的に存在する欠陥によるものです。 したがって、難題を解決するための鍵は、侵害されたアプリケーションがホストに害を及ぼすことを防御することにあります。

勘違いしてはいけないのは、脆弱性は固定的に導入されたアプリケーションに存在し、一時ファイルに存在する訳ではありません。 したがって、防御はファイルに関するものではありません。 悪意のファイルが実行されるアプリケーションに該当する、潜在的に危険なプロセ スからホストを保護するべきなのです。

「真のセキュリティは、侵害されたプロセスがホストに損害を与える能力を低下させることによってのみ達成できます。」

検出は問題を解決しません - ファイルベースの防御はゆっくりと死に向かっており、悪意の探知に関して 有用でないことが 数学的に 証明されています。 ホワイトリスト手法は、企業や組織が頼りにする正当なコンテンツ生成アプリケーションが、意図的に悪用されたり誤用されたりすることがあるため不完全です。 また、サンドボックスは魔法の呪文ではないと思ってください。 デスクトップとユーザーのエミュレーションは、本番の運用環境で、現実の業務処理を実行する実際のユーザーの、貧弱な代替品にすぎません。また、サンドボックスはカーネルレベルの悪用やすり抜けに対して脆弱です。

よりスマートな階層(階層を増やすことではありません)

より少ない事で、より多くの事が出来たら...、防御層を減らし、より効果的で信頼性の高いセキュリティを実現しますか。  それは可能です ― 企業全体ではいずれ失敗する検出によるセキュリティの考え方を「防止、検出、対応」から、「隔離、封じ込め、制御」という新しい観点に変えることさえできれば。

新しいセキュリティアプローチとしての仮想化

仮想化は、データセンター、クラウドサービス、仮想デスクトップなど、幅広いエンタープライズIT領域にわたり普遍的に受け入れられてきました。その次の論理的なフロンティアは、セキュリティです。 保護された仮想マシン内の分離は、カーネルレベルの悪用やマルウェアのすり抜けを絶対的に排除できる、唯一の方法です。 そのため、GartnerやIDCといった著名な分析調査会社が、セキュリティの運用を、仮想化により脅威を分離して収容することを、クライアント企業に強く勧めるよう推奨しています。

企業や組織の防御側は、従来のEDRツールを補うもの、またはその代わりとして、仮想セキュリティソリューションをますます採用しています。 インフラストラクチャの他の要素と同様に、安全に仮想化ができるようになったいま、なぜ実際の本番エンドポイントを危害に露呈しますか。

本和訳文の著作権は株式会社ブロードに帰属します。
株式ブロードは米国Bromium社のアジア地区における総販 売代理店です。