サンドボックス機能には制限があります。ゼロデイ脅威を阻止する理由と方法を以下にご紹介します

時々、見込み客の皆さんから、Catoがサンドボックスを提供しているかどうかを尋ねられることがあります。これは当を得た質問であり、当社が真剣に検討している課題でもあります。しかし、サンドボックス化を検討したところ、このテクノロジーは今日のよりスリムで俊敏な企業のニーズと一致していないと感じました。 代わりに、ゼロデイ脅威または脅威を含む未知のファイルを防止するために別のアプローチを採用しました。

サンドボックスとは？サンドボックスとは？

従来のマルウェア対策ソリューションは、脅威を検出するために、主にシグネチャと既知の攻撃のインジケーターに依存しているため、ゼロデイ攻撃やステルス攻撃を常に検出できるとは限りません。 サンドボックスは、他のすべての主流の方法が失敗した結果、悪意のあるコード、添付ファイル、およびWebリンクに隠された脅威を検出するためのツールとして機能することを意図していました。

アイデアは非常に単純です。未知のファイルが収集され、サンドボックスで実行されます。これは、ターゲットホスト環境の完全に分離されたシミュレーションです。 ファイルアクションを分析して、外部コマンドアンドコントロール（C＆C）サーバーとの通信の試行、プロセスインジェクション、権限の昇格、レジストリの変更など、実際の本番ホストに損害を与える可能性のある悪意のあるアクションを検出します。 ファイルが実行されると、サンドボックスは複数のコード評価プロセスを実行し、脅威の可能性を説明および評価するレポートを管理者に送信します。

サンドボックスの導入には時間と専門知識が必要

ただし、すべてのセキュリティツールと同様に、サンドボックスには欠点があります。 この場合、これらの欠点により、特に脅威防止ソリューションとしての効率と効果が制限されます。 1つには、サンドボックスに関連するファイル分析には、ビジネスユーザーがリアルタイムで操作するには5分もかかります。

IT側では、長く詳細なサンドボックスレポートを評価するには、時間、専門知識、リソースが必要です。 セキュリティアナリストは、オペレーティング環境内でのコードの動作を理解するために、マルウェア分析とオペレーティングシステムの詳細を十分に理解する必要があります。 また、悪意のある動作を識別するために、正当なシステムコールと正当でないシステムコールを区別する必要があります。 それらは多くの企業に欠けている高度に専門化されたスキルです。

そのため、サンドボックス化は多くの場合、予防よりも検出およびフォレンジックに効果的です。 サンドボックスは、検出後にマルウェアを分析し、対応と根絶戦略を考案したり、将来の攻撃を防ぐための優れたツールです。 実際、Catoのセキュリティチームはまさにそのためにサンドボックスを使用しています。 しかし、攻撃を防ぐための方法としては、サンドボックスは時間がかかりすぎて複雑すぎます。

サンドボックスは常に機能するとは限りません

サンドボックスのもう1つの問題は、サンドボックスが常に機能するとは限らないことです。 セキュリティ業界が攻撃を検出および防止するための新しいツールと戦略を開発するにつれて、ハッカーはそれらを回避するための高度な方法を考え出します。サンドボックスも例外ではありません。 サンドボックス回避戦術には、悪意のあるコードの実行を遅らせることが含まれます。 マスキングファイルタイプ。 サンドボックス環境を検出するために、ハードウェア、インストールされているアプリケーション、マウスクリックのパターン、開いて保存したファイルを分析します。 悪意のあるコードは、マルウェアが実際のユーザー環境にあると判断した場合にのみ実行されます。

サンドボックスは、フィッシングに対する効果も思ったほど高くありません。 たとえば、フィッシングメールには、アクティブ化しても悪意のある動作を示さないが、悪意のあるサインインフォームへのユーザーリンクが含まれている単純なPDFファイルが含まれている場合があります。 ユーザーがリンクをクリックしたときにのみ、攻撃がアクティブになります。 残念ながら、ソーシャルエンジニアリングは、ハッカーがネットワークエントリを獲得するために使用する最も人気のある戦略の1つです。

結果：サンドボックスソリューションは、回避方法を検出および防止するためのより洗練された環境と手法を考案する必要があり、多くの企業にとって疑問視されるコスト/メリット比を生み出す、より多くの電力、ハードウェア、リソース、および費用を必要とします。

Catoアプローチ

問題は、ソリューションがサンドボックスを提供するかどうかではなく、セキュリティプラットフォームが未知の攻撃とゼロデイ脅威をリアルタイムで一貫して防止できるかどうかです。 Catoは、サンドボックス化の複雑さを伴わずに、これらの目的を満たすアプローチを開発しました。

既知の脅威は、マルウェア対策ソリューションによって検出されます。 暗号化されたトラフィックでも完全なトラフィックの可視性を利用して、ラインレートでファイルを抽出および分析します。 Catoは、ファイル拡張子（.pdf、.jpegなど）ではなく、ファイルの内容に基づいて、実際のファイルタイプを決定します。 これは、実行可能ファイルをドキュメントとしてマスキングするための回避策と戦うためです。 次に、Catoによって維持および更新されている既知のマルウェアシグネチャデータベースに対してファイルが検証されます。

次のレイヤーである高度なマルウェア対策ソリューションは、構造的属性に基づいて悪意のあるファイルを検出するSentinelOneの機械学習エンジンを利用して、未知の脅威やゼロデイ攻撃から防御します。 Catoの高度なマルウェア対策は、署名ベースの検査エンジンを回避するように設計されたポリモーフィック

加えて、Catoの高度なマルウェア対策ソリューションは高速です。 SentinelOneの高度な機械学習とAIツールを使用すると、ファイルを分析するのに1〜5分かかる代わりに、Catoは、最も洗練されたゼロデイ攻撃とステルス攻撃をわずか50〜100ミリ秒で分析、検出、ブロックできます。 これにより、Catoの高度なマルウェア対策をリアルタイムで予防モードで実行できます。

同時に、Catoは検出と応答を無視しません。 エンドポイントは依然として他の手段で感染する可能性があります。 Catoは、Catoのプライベートバックボーン全体のトラフィックフローのパターンを検出することにより、これらの脅威を識別します。 Catoは毎日、クラウドスケールのビッグデータ環境でCatoのグローバルプライベートバックボーンを通過する何十億ものネットワークフローの属性をキャプチャします。 この大規模なデータウェアハウスは、CatoのAIと異常検出アルゴリズムの分析のための豊富なコンテキストを提供し、マルウェアの症状を示す可能性のある有害な動作を発見します。 不審なフローは、Catoのリサーチャーによってレビュー、調査、および検証され、顧客のネットワーク上のライブ脅威の存在が判断されます。 修復を支援するために利用可能なCatoのリサーチャーには、明確なレポート（およびアラートが生成されます）が提供されます。

これらのダークリーディング記事をチェックして、Catoのネットワーク脅威探知機能が、これまで識別されていなかった悪意のあるボットアクティビティをどのように検出できたかを確認してください。 MDRとCatoのAI機能の詳細については、このCatoブログをご覧ください。

途絶することのないセキュリティ

企業は未知のファイルのゼロデイ脅威と攻撃を防止および検出する必要がありますが、サンドボックスの速度と複雑さは、今日の学習者である、俊敏なデジタルエンタープライズと互換性がないと感じています。 Catoは、これに代わるものとして、高度な専門知識を必要とせず、常に最新のリアルタイムアプローチを開発しました。 しかし、私たちの言葉にとらわれず、セキュリティプラットフォームのデモを依頼して、ご自身の目で確かめてください。