サイバー攻撃の巧妙化で必須となったEDR、ではそこで実際に求められる機能とは
テレワーク化で重要性がさらに高まったEDR
最近のサイバー攻撃は以前に比べてはるかに巧妙化しており、アンチウイルス製品で防御し切ることは難しくなっています。最近ではすでにパッチが存在する脆弱性を悪用する「Nデイ攻撃」が増えていると指摘されていますが、パッチ提供前の脆弱性を狙う「ゼロデイ攻撃」も、いつ発生するかわからない状況です。また、マルウェアファイルを使わずに攻撃を行う「ファイルレス攻撃」も一般的になってきました。このような攻撃に対しては、マルウェアファイルのパターンを抽出して発見・防御する従来型の手法は、無力だといわざるを得ません。
そこで導入が広がっているのが「EDR(Endpoint Detection and Response)」です。これはPCやモバイル端末、サーバーをといった「エンドポイント」の監視や防御をさらに強化するためのものであり、もともとはガートナー社が提唱したコンセプトです。その最大のポイントは、エンドポイントで発生する様々な事象を監視し、不審な挙動やその痕跡をいち早く検知することで、脅威への対応を迅速化するという点にあります。つまり「エンドポイントへの脅威は防ぎきれない」という前提に立ち、その発見・対処を短時間で行うことで、影響や被害を最小限に留めると共に、以後のセキュリティ対策にその知見を生かしていくのが、EDRの基本的な考え方なのです。
最近のようにモバイル端末やクラウドが一般的に活用されるようになると、このようなエンドポイント保護のアプローチの重要性が高まります。モバイル端末は社外に持ち出されることが多く、そこからクラウドにアクセスする使い方では、社内ネットワークの入り口での境界型防御が使えなくなるからです。そしてコロナ禍のテレワーク拡大は、この状況に拍車を掛ける結果になっています。EDRによってエンドポイントそのものを強固に守る仕組みがなければ、セキュリティの確保は困難な時代になっているのです。そのため最近では、数多くのベンダーがEDR製品をリリースするようになっています。
それではEDR製品は、具体的にどのような機能を装備すべきなのでしょうか。EDRを提唱したガートナー社は、2016年11月に公開した「Market Guide for Endpoint Detection and Response Solutions」で、EDRには大きく4つの要素が求められると述べています。
EDRに求められる4つの要素
1.セキュリティインシデントの検知(Detect security incidents)
EDRに求められる最も基本的な要素は、セキュリティインシデントの検知です。その中にはさらに2つの要素があるといえます。1つは常時エンドポイント内の挙動を監視し、ログを収集することです。これを行わなければ、エンドポイント内で何が起きているのかを、きちんと把握することはできません。
もう1つは「どのような挙動が発生したら不審だとみなすのか」という判断です。最近のセキュリティインシデントの多くは複雑化しており、単一の挙動だけで不審であると見抜くことは困難です。個々の挙動には不審な点が見られない場合でも、一連の挙動のシーケンスを見ることで、セキュリティインシデントであることが判明するケースも少なくないのです。確実に検知を行うには、このようなシーケンスベースでの判断能力も求められます。
2.セキュリティインシデントの封じ込め(Contain the incident at the endpoint)
セキュリティインシデントが発見されたら、その影響をそのエンドポイントに封じ込め、他に影響が及ばないようにします。これによって被害を最小化できるからです。具体的には、不審な挙動を行ったプログラムの強制終了や、そのプログラムが呼び出した各種コマンドの停止、ネットワークの即時遮断を実施します。ネットワークを遮断することで、攻撃者のサーバー(コマンド&コントロールサーバー)との通信も行えなくなるので、その後の情報漏えいなども防止しやすくなります。
3.セキュリティインシデントの調査(Investigate security incidents)
こセキュリティインシデントの封じ込めは、一時的な緊急措置に過ぎません。検知されたばかりの段階では、そのインシデントがどれだけ広範囲に影響を及ぼしているのかは、まだ不明だからです。そこで次に行うのが、セキュリティインシデントの調査です。ログに記録された挙動を追跡し、インシデントの要因がどこから侵入したのか、エンドポイント内で何が起きていたのか、その影響がどこまで及んでいるのかなどを、徹底的に可視化していくのです。
また発見されたマルウェアがどのような種類のものなのか、すでに対応するパッチが存在するかなどの情報収集も必要です。これによって同様の攻撃に対する対策を立案・実行しやすくなります。
4.エンドポイントの復旧(Remediate endpoints to a preinfection state)
インシデントの調査が完了したら、エンドポイントの復旧を行います。業務への影響を最小化するには、復旧もできる限り短時間で実施すべきです。具体的には、危険なファイルやプログラムの削除、レジストリなどの設定の復旧、遮断されたネットワークの復旧などを行います。
EDRはセキュリティに関する1つのコンセプトであり、ここに挙げた4つの要素に対応する機能を装備した製品が「EDR製品」と位置づけられています。各社からリリースされているEDR製品には基本的にこれら4つの機能が装備されていますが、その提供レベルは製品によって異なります。また最近ではEDR製品に各種サービスを組み合わせて提供するケースもあります。
どのような製品・サービスを活用するかによって、セキュリティ管理者の負担は大きく左右されます。そのためEDR製品を選定する場合には、4つの機能を装備していることだけではなく、それらの機能の完成度なども含めて比較検討すべきだといえるでしょう。
そこで紹介しておきたいのがEDRの概念いち早く製品に取り入れた「VMware Carbon Black」です。EDRに加えて次世代アンチウイルスの機能も備えており、エンドポイント上で発生する様々なイベントの流れをリアルタイム解析し、脅威につながると判断した場合にその動きを検知し遮断することができます。検知そのものがシグネチャに依存していないため、既知のマルウェアはもちろん未知のマルウェアやマルウェアを使わないファイルレス攻撃にも対応することができます。
また、インシデントの重要度を数値化するとともに、プロセスの流れを分かり易く表示するため、専門家でなくても状況を容易に把握できるため、導入して直ぐにご活用いただけます。
サイバネットは、EDRの主要製品であるCrowdstrikeとVMware Carbon Blackを取り扱っており、お客様の環境にご要望にあわせて比較検討いただくことができます。また、セキュリティ人材不足でのEDRの運用に不安をお持ちの際は、脅威除去から再発防止策までを支援するMDR(Managed Detection and Response)サービスのご提供など、お客様のご要望に合わせたご提案も可能です。セキュリティ対策の見直しをご検討の際は、是非サイバネットにご相談ください。