対高度サイバー攻撃防御！ ～現在の防御体制を確認する

　企業向けセキュリティを導入、定期的な更新も行っていた大企業でも、ランサムウェアの被害を避けられず、またEmotet(エモテット)の被害を見聞きすると心配になります。

　第三者評価機関のテストで明らかにされているように、客観的にみてGravityZoneユーザの皆様は、他製品のユーザに比べて極めて高いレベルで守られているといえますが、それでも高度サイバー攻撃（APT）に対して、今一度とりうる防御体制を確認しておきたいとおもいます。事後の対応だけではなく、未然に防ぐことができれば、それに勝るものはありません。

１　AI・機械学習のパワーを導入する

　現在の高度な攻撃は、通常のマルウェア対策では検出できないよう攻撃者側で確認されてから実施されており、それらを通常の通信や操作として見過ごさないためには、従来とは別次元のサイバー防御能力が求められています。

　Bitdefender社は2009年、将来（今日の脅威）に備えて攻撃検出のための機械学習アルゴリズムを開発した最初の企業であり、 これまでに機械学習に関して70以上の学術論文を発表、欧州域内の大学では50名の研究員が講義を持ち人材を育成しています。

　特に高度な攻撃で使用されるファイルレス攻撃に対するAI防御研究によって、実際に欧州域内の企業を守ることに成功しており、EUの執行機関である欧州委員会(EC)から「Key Innovators」の称号が与えられています。

　AI・機械学習は次世代検出技術（NGAV）の一つとされており、GravityZoneではマルウェア検出だけではなく、ネットワーク防御やEDR/XDR解析にも投入しており、多層において防御能力を大いに引き上げることに成功しています。

　特に有名なのがHyper-Detectとして開発されたローカルで動作するAI機械学習エンジンで、現実世界を襲ってきた数々の脅威をブロックしています。有名なのは2017年のWannaCryによる脅威で、全世界で日本企業を含む多くの企業がダウンさせられましたが、GravityZoneユーザにおいては、それから遡ること3年前の2014年に、既に未来の脅威予測で得られていた機械学習アルゴリズムにより防御。パッチがなくお手上げ状態のゼロディ脅威の爆撃下にあっても、ユーザの資産を安全に保護しました。

　またこれはチューニング可能な点が他製品とは異なっており、重要なデータを扱うマシンではAggressiveに検出感度レベルを強めてもよいですし、Normal設定のままでも、Extendにチェックを入れることで、Aggressive感度で検出してレポートだけを受け取ることができます。

• 業界唯一チューニング可能な ローカル機械学習 HyperDetect
• リモートワーカーが多い環境で可視化と高いセキュリティの維持を実現
• [事例] アメリカ連邦職員健康保険組合

２　脆弱性を利用した攻撃を阻止する

　高度サイバー攻撃では最初の侵入にOSやアプリ等の脆弱性が利用されます。それを攻撃テクニックから見破るのがAAE（Advanced Anti-Exploit）です。現在は再設計されたバージョン２となっています。合わせてエージェントのモジュール構成でもONになっていることを確認してください。全てのエディションで利用できます。

３　実際のマシンで泳がしてみる　

　マルウェアの中には、アンチウィルスの動きを検知して動作を停止するものがあります。Premium、Enterpriseエディションでは、この疑いのあるものを自動でクラウド上の安全なマシン（サンドボックス）で動作させ、その動きを自動観察して判定します。

　さらに高度なマルウェアはサンドボックスに入れられたことも検知します。このためクラウドのサンドボックスマシンには、オフィスなど主要アプリがインストールされており、そのマルウェアも騙すように構成されています。

　モードでBlockingに設定していれば、その判定が下って安全が確保されるまで、そのファイルへユーザがアクセスするのを禁止します。

４　通常の動きの中に脅威の芽生えを見る

　EnterpriseエディションではEDR・eXEDRが利用できます。クラウドのより強力な解析エンジンがマシンで取得したログから脅威を見つけ出します。また単体PCからの情報だけではなく、昨年７月からは複数PCからの情報を相関解析するExtendedEDR（XEDR)も自動で利用可能となっています。

　そしてさらにさらに、他の防御モジュールの情報から総合して、自動でレスポンス、ブロックなど対処する能力も持っています。

• EDRの5製品を検証後にGravityZone Ultraを選定して8500台のエンドポイントのセキュリティを視覚化
• 他のEDRからGravityZoneに移行された方の反応
• 各マシンごとに異なるため通常検出ができないアノマリー（特異）も見つけ出すAnomaly Defense

５　ランサムウェアの暗号化の動きを検知、バックアップする

　万が一防御層が突破され、ランサムウェアが動作したときの最後の砦が、全てのエディションで利用できるこのMitigation（緩和措置）です。これは多層防御層に依存せず、純粋に暗号化の試みを監視し続け、ランサムウェアによる暗号化が実施されるや否や（正確には直前）でファイルをバックアップします。

　このしくみは他製品のように既に攻撃者により無効化されているVSSではなく、独自のしくみで実装されています。ファイルはRansomware Activity画面からRestore（復元）することができ、管理者の心理的負担を減らしてくれます。

• Bitdefender Ransomware Mitigation Use Case Demo＠Youtube

６　侵入リスクが高いマシン、ユーザの把握、防御を固める

　最後に通常時から戸締まりをしっかりしておくことも大事です。全てのエディションに搭載されているERM（エンドポイントリスク管理）機能で、予めリスクの高いマシンやユーザのふるまいを確認して、問題点をできるだけ潰しておくことで、侵入自体の機会、可能性を減らすことができます。

　ポリシーで定期的にRisk Scanが行われる設定になっているか確認してください。そしてリスクの高いマシン、ユーザが優先して表示されていますので、目を通して推奨されている対策をとってください。

• なぜ業界に先駆けERM（エンドポイントのリスク診断機能）も強化しているのか
• 予め攻撃を受けやすいマシンを見つけて未然に対処できれば・・・
• Linuxのリスク管理を自動化