次世代アンチウイルス製品 VMware Carbon Blackの特許技術「ストリーミングプリベンション」は、個々のイベントだけでなく、プロセス、アプリケーション、ネットワーク、ファイルなどの一連のイベントの流れ(イベントストリーム)をリアルタイムに解析し、TTPに基づいてタグ付けを実施します。それぞれのタグの重み付けや相関関係、保護対象の優先度からリスクを評価・分析し、攻撃を防御します。
ストリーミングプリベンションは、あらゆる攻撃に関する領域と前後関係を分析することで、マルウェアだけでなく、すべてのサイバー攻撃を阻止するまったく新しい予防テクノロジーです。
イベントストリーム処理を活用したストリーミングプリベンションは、エンドポイントから上がってくる大量のイベントデータにTTP(Tactics・戦術、Techniques・手法、Procedures・手順)の観点でタグ付けを行います。このタグ付けの結果に基づき、そのイベントが既知ないし未知のマルウェアから非マルウェアまでをもエンドポイントに影響があるかどうかを判断した上で、攻撃からの防御を実施します。
また攻撃ではないにせよ問題のあるインシデントについても、管理者に判別できる形で報告されます。 なお、全ての処理はクラウド上で実施され、エンドポイントの負荷は最小限に抑えられます。
VMware Carbon Blackの管理者画面から、攻撃のTTP(Tactics・戦術、Techniques・手法、Procedures・手順)が確認できます。それぞれのTTPは危険度に応じて緑から赤でハイライトされます。
例えば、不正なFlashアプリがリモートコード実行の脆弱性を悪用してPowerShellを起動し、秘密裏に遠隔操作してデータを盗み出すとします。これはファイルベースのマルウェアを使用しない代表的な攻撃であり、PC上にすでに存在しているアプリやOSのツールを利用して目的を達成するものです。
これを防ぐには、WEBサイトにアクセスする、Flashのバージョンアップを実行する、PowerShellを実行するといったオペレーションを制限する必要があります。しかしこのような制限を強くしすぎると、ユーザーの利便性を大きく損なう結果になります。
ストリーミングプリベンションでは、「WEBサイトにアクセスする」「Flashのバージョンアップを実行する」「PowerShellを実行する」といった個々のイベントだけではなく、一連のイベントの流れをリアルタイムに解析して、TTPに基づいたタグを設定します。
そして、付与されたタグの重み付けや相関関係に基づき、リスクが高いイベントを防止します。