AV-Comparativesから、今年実施されたAdvanced Threat Protectionテストの結果(PDF)が公開されています。この種のテストは、他のマルウェア検査とは異なり高度な手法を模倣する複雑なテストとなるため頻繁には行われておらず、高度サイバー攻撃に備える企業にとっては、貴重な第三者による検証結果となっています。
高度な攻撃(Advanced Threat)は多くの場合、国家の援助を受けた高い技術力と強力な実行力を持つインフラから実施されており、通常のマルウェア検査では検出することはできません。
攻撃は一般的に使われている平易な手法を組み合わせ、Webやメール、ソーシャル エンジニアリングやゼロデイ脆弱性を利用して社内に足場を確立、暗号化された通信経路を構築するところから始まります。その後、社外のコマンドアンドコントロール (C&C)からの命令に基づき数日から数ヶ月、長いものは2年と、慎重かつ密かに行動してデータの抜き出しや、ランサムウェアの設置を行います。
またこの高度な攻撃を受けてしまうと、侵害被害および復旧コストは米国では平均で6億円以上となっており、卑劣かつ高度すぎる攻撃手法への対策を国内でも真剣に考える必要があります。
攻撃の動きは信頼する社員のパソコンから、そのユーザによる通常の操作によるもののように見えるため、また動きは小口に分けられ、複雑な経路で構成されているため、通常のセキュリティ技術や熟練のセキュリティ分析者でも特定できず、一定期間、継続的な観測で得られたアクティビティを、機械学習アルゴリズムと最新の脅威手法解析に照らし合わせることで初めて脅威として認識することができます。
今回のテストではこの複雑な手順で構成されたシナリオ15個が実施されており、Bitdefender GravityZoneは内14の検出に成功して、単独トップの成果を残しました。
また注目すべきは検出のタイミングで、実行前(PRE)の段階で他のどの製品より多く成功しています。実行または感染前に検出できることは、企業にとって、データ損失、システム侵害、運用中断のリスクを大幅に軽減できることを意味します。
一方、攻撃が本格的に実行中(ON)・実行されてしまった後(POST)のタイミングで検出している製品ベンダーでは、事後対策の重要性を顧客に強調せざるを得ない状況です。
しかし、実際に侵入される前に被害に合う前に阻止するに越したことはありません。AV-Comparativesも「優れた防犯警報装置は、誰かが家に侵入したときにすぐに鳴らされるべきです。彼らが盗みを始めるまで待ってはいけません。」とコメントしています。
ATPの実装