サンドボックスとは
サンドボックスは、Bitdefenderがクラウドで提供している隔離された仮想環境です。そこでユーザから自動または手動で送られたファイルを実際に実行してその動作を詳細に観察し報告します。この機能はGravityZone Premium/Enterpriseエディションユーザなら誰でも利用できます
なぜ高度なサンドボックスが必要なのか
攻撃者は検出を回避するため、自分がマルウェア対策ソフトに監視されていると知ると動作を止めたり、自身のコード構造を変更したり、またファイルへの痕跡をほとんど全く残さずに動作します。
この回避行動を行わせず本当の姿を明らかにして観察するためには、実際に実行してみることが有効です。PDFはAdobe Readerで、ドキュメントはMS Offileで開くのです。ただ安全のため自分のPCで実行することは避ける必要があり、Bitdefederが提供しているクラウドの隔離された安全な環境で実行させるのです。
また一般的なサンドボックスでは攻撃者は自分がその中にいることを察知するため、特殊な仮想技術を利用して仮想マシンを動作させています。各種の主要アプリケーションがインストールされた実際のPCと同じ環境を用意、それを観察します。
さらに攻撃の多くは同一ドメインに対して一斉攻撃を行います。このため管理者が手動でファイルをサンドボックスに投入するのを待たずに、疑いのあるものは自動で送信され、機械的に判定され、対応も自動化できる高度なサンドボックスが、現代サイバーセキュリティにおいては必要となっています。この観察と対応はターゲットにもよりますが数分から十数分かかります。
- AIによる未知の脅威検出:古くて新しいEmotet(エモテット)攻撃を阻止した瞬間
- 本当に役立つサンドボックスとは~自動で行われること
- WindowsサンドボックスとGravityZoneサンドボックスとの違い
何を観察しているのか
サンドボックスではターゲットの次の動作を記録して観察しています。それらの動きは一連の動作として、試みられるダウンロードや、ローカルまたは外部へ通信接続先までも評価しています。実行後に発生するすべてのアクティビティとシステムレベルの変更を徹底的に監視および分析しているのです。
- 全てのファイルの変更、削除、作成
- 全てのレジストリの変更、削除、作成
- 実行時に動作した全てのプロセスの作成、終了
- 使用された全てのAPI命令
- すべてのネットワーク接続
何がわかるのか
監視に基づいてリアルタイムに複数の異なる検出メカニズムが動作することで広範囲の脅威を、データの暗号化や恐喝を行うランサムウェア、機密情報への不正アクセスやデータ侵害からの試み、ゼロデイ攻撃を検出して新たに発見された脆弱性から保護したり、ボットネットを識別して組織的かつ大規模なサイバー攻撃にも対抗できます。
さらにステルス行動など、攻撃者が起動プロセスを制御することで、駆除しても後日の再起動で新たに潜もうとする動きも、高度サンドボックス環境ならではで検出できます。
これらの結果は視覚的なレポートで提供され、実行されたプロセスのツリー構造や、外部接続先の世界地図上でマッピングしたり、実行時の画面ショット、また社内へのさらなる攻撃を検出防止するためのIoC情報を提供しています。
