振る舞い分析とは?


振る舞い分析は、機械学習、人工知能、ビッグデータ、分析機能を使用して通常の日常的なアクティビティにおける相違を分析することにより、悪意のある振る舞いを特定します。

振る舞い分析の定義
悪意のある攻撃には 1 つの共通点があります。それらはすべて、システムやネットワーク内における通常の日常的な振る舞いとは異なる振る舞いをするという点です。多くの場合、企業は特定のタイプの既知の攻撃と直接関連があるシグネチャによって、悪意のある振る舞いを特定できます。しかし、攻撃者は、より高度な技術を駆使して、脆弱な環境に侵入するだけでなく、検知されることなく水平方向に移動できる新しい TTP(Tactics:戦術、Techniques:技術、Procedures:手順)を継続的に開発しています。

このような状況で振る舞い分析が役立ちます。セキュリティ担当者は、フィルタリングされていない大量のエンドポイント データを活用することで、振る舞いベースのツールやアルゴリズム、および機械学習を使用して、通常のユーザーの日常的な振る舞いと異常な振る舞いを見分けることができます。振る舞い分析では、日常の標準的な特性から逸脱するイベント、トレンド、およびパターンを、現在のものか過去のものかにかかわらず特定できます。

セキュリティ チームはこれらの異常に焦点を当てることで攻撃に対する可視性を高め、攻撃者が攻撃の計画を本格的に実行する前に、予期されない攻撃者の振る舞い戦術を早期に特定できます。また、振る舞い分析は、侵入経路を明らかにするうえで役立ち、今後、同様の攻撃を特定して予測するためのインサイトにもなります。

悪質なアクティビティを示す振る舞い

普段と異なるタイミングのイベント、異常なアクションのシーケンス、データ移動の増加などは、環境内での悪意のあるアクティビティの兆候のごく一部にすぎません。進行中の攻撃の特定につながる可能性がある、通常と異なる振る舞いの例は、次のとおりです。

  • 一見無害なファイル内のリンクがメモリにロードされたあと、機密データを探索して攻撃者に送信するスクリプトがリモートでロードされる。

  • 脆弱性を標的とするために、すでにインストールされているアプリケーション(Microsoft Word、Flash、Adobe PDF Reader、Web ブラウザー、JavaScript など)に悪意のあるコードが挿入され、それから悪意あるコードが実行される。

  • 一般的に信頼性が高いと考えられているネイティブ システム ツール(Microsoft Windows Management Instrumentation(WMI)や、Microsoft PowerShell スクリプト言語など)を悪用して、スクリプトがリモートで実行される。

業界の動向:振る舞い分析は「必須の」機能

2016 年初頭に、SANS Institute は『Using Analytics to Predict Future Attacks and Breaches』と題したホワイトペーパーで、振る舞い分析の重要性を認めていました。この資料の結論には、「より高度なデータ分析プラットフォームを活用して、より多くのさまざまな種類のデータを収集し、ネットワーク脅威の可視性を高め、検出と対応のアクションを自動化することで、セキュリティ チームは現在および将来においてこのような課題に対処できる」と記されています。

当時から見た「将来」は現在ですが、2018 年の時点で、振る舞い分析は高度なエンドポイント セキュリティの基本的要件として不可欠な機能となっていました。実際 Gartner は、『Magic Quadrant for Endpoint Protection Platform』レポートのなかで、機械学習と振る舞い監視を「概念先行型」と「リーダー」に位置づけられる企業の強みとみなしています。レポートではまた、「2018 年と 2019 年には、概念先行型およびリーダーと位置付けられるベンダーのほとんどが、[Endpoint Detection and Response] 機能から収集したデータを使用して、顧客のニーズに合わせた実用的なガイダンスやアドバイスを提供するようになると見込まれる」とも記しています。

2017 年のセキュリティ侵害の 17% は、ヒューマン エラー(意図的な悪意ではない)に起因していました。

解決策:クラウドの導入

企業が振る舞い分析の効果を最大限に引き出すには、クラウドおよびクラウドの優れたコンピューティング パワー、無制限のスケーラビリティ、管理の容易さを活用する必要があります。クラウドで提供される、ビッグデータと強力な分析機能を組み合わせたプロアクティブなアプローチは、非常に危険性の高い最新の攻撃に対抗するうえで役立ちます。

たとえば、クラウドではストリーミング分析が可能であり、エンドポイントの正常なアクティビティと異常なアクティビティを監視して、フィルタリングされていない任意のエンドポイントの履歴データと比較できます。クラウドを活用して、これらのイベント ストリームを分析し正常と考えられるイベント ストリームと比較することで、攻撃を検知するだけでなく、これまで検出されたことのない脅威を予測するグローバルな脅威監視システムを構築できます。

この強力なアプローチは、シグネチャベースの従来のアンチウイルス ソリューションでは困難でしたが、次世代アンチウイルス(NGAV)ソフトウェアでは可能です。

クラウドの NGAV は、エンドポイントとの双方向の通信を実現します。これにより、フィルタリングされていないすべてのエンドポイント データを監視して、企業を高度な攻撃からプロアクティブに保護する予測分析に活用できるようになります。

クラウドはさらに、以前からほとんどの企業がほかのエンタープライズ ソフトウェアによって享受しているインフラストラクチャのメリット(シンプルでコストの低い運用、迅速な展開、最新の革新的なテクノロジーなど)を備えています。

ビッグデータ分析に関連する VMware の製品、ソリューション、リソース

本質的なセキュリティによるアプリケーションとデータの保護

新しいセキュリティ アプローチ:本質的なセキュリティは、ビジネスを保護するための従来とは根本的に異なるアプローチです。

VMware NSX Service-defined Firewall

NSX 上で動作する分散型のステートフルなレイヤー 7 内部ファイアウォールを利用すると、仮想、物理、コンテナ、クラウドのすべてのワークロードを対象に、データセンターのトラフィックを保護できます。

最新のデジタルワークスペース プラットフォーム

VMware Workspace ONE は、インテリジェンスベースのデジタルワークスペースを実現するプラットフォームです。デバイスを問わず、シンプルかつセキュアにあらゆるアプリケーションの提供と管理が行えます。