Menlo SecurityがVotiroを買収し、企業に簡単なAI主導のデータセキュリティを提供
ブログを読む
リモートやハイブリッドの勤務体系により新しい攻撃手法が生み出される中、ランサムウェアは、依然としてさまざまな企業を悩ませ続けています。現在、ほとんどの災害復旧および事業継続計画には堅牢なデータバックアップ戦略が含まれていますが、サイバー攻撃者はデータの暗号化とデータ窃盗を組み合わせたランサムウェア手法を使用しています。この新しいデータ流出モデルにより、組織はより積極的なデータセキュリティ保護に取り組む必要があります。
ファイルサニタイズとは何か、それによりランサムウェア攻撃の軽減にどのように役立つのか、そしてどこで追加の管理が必要かを理解することは、環境を保護するための最初のステップとなり得ます。
ファイルサニタイズには、ファイル再構築、コンテンツサニタイゼーション、無害化、ファイルクレンジングなど、さまざまな名称があります。ただし、これらはそれぞれ、ファイルのスキャン、アクティブコンテンツの識別、アクティブなコードの削除、潜在的に危険なコードなしのファイル再作成により、マルウェアの脅威を軽減するという同じようなプロセスを指しています。
ファイルのサニタイズを考える一つの方法は、ファイルの墨消し方法を考えることです。たとえば、機密情報を含むPDFを送る場合、墨消しツールを使って名前、住所、生年月日、社会保障番号などの情報を黒く塗りつぶすことができます。
ファイルサニタイズツールはそれと似たようなことをファイルのメタデータレベルで行います。リスクのあるコードを隠すだけでなく、完全に削除します。これは、選択するツールによっては、良いことも悪いこともあります。
コンテンツのサニタイズプロセスの別の呼称はコンテンツの無害化と再構築(CDR)です。ファイルサニタイズソリューションと同様に、CDRベンダーはそれぞれにアプローチが異なります。この記事では、CDRの最も高度なバージョンであるレベル3に重点を置いて説明します。透明性のために、以下ではコンテンツの無害化と再構築の他のレベルをご紹介します。
ファイル変換やトランスフォーメーションを利用して、ファイルを安全にレンダリングします。CDRレベル1はすべてのファイルをPDFファイル形式に変換して、ユーザーがリンクをクリックしたり、文書を開いたりしたときに、ハッカーが悪意のあるコードを起動する可能性を排除します。しかし、これにより文書がフラット化され、マクロなどの重要な機能が失われ、ファイルが実質的に使用不可能な文書に変換され、生産性に悪影響を及ぼします。
CDRレベル2は、レベル1の改善を目指しました。レベル2は、各ファイルの安全性を確保するために、埋め込みオブジェクトや潜在的なアクティブコンテンツなどの特定のタイプのコンテンツのみを除去することに重点を置いています。ただし、リンク、重要なマクロ、ビジネスロジックなどの機能は依然としてファイルから失われます。また、潜在的に脆弱なテンプレートが文書内に残ったままになり、攻撃に対して組織は脆弱な状態なままになります。
進化したCDRの最も高度な形式がレベル3です。Menlo Securityでは、特許取得済みのPositive Selection®技術を使用し、機能と完全な機能性を完全に維持したテンプレートベースの再構築に重点を置いています。CDRレベル3は、文書を本来の使用意図どおりに再構築し、既知の適切な要素と適切に選択されたコンテンツのみをコピーし、安全なテンプレートだけが残るようにします。そうすることで、業務を通常通りに進めることができます。
アンチウイルスツールとは異なり、CDR技術はマルウェアを識別するためにファイルを検知したりスキャンしたりしません。代わりに、コンテンツ無害化技術では、ファイルの既知の適切なコンポーネントを無害なファイルテンプレートに再構築することを目的とし、マルウェアがない状態にします。
たとえば、平均的なランサムウェア攻撃手法を考えてみてください。サイバー犯罪者は、ソーシャルエンジニアリング手法を使用して、エンドユーザーにファイルのダウンロードやリンクのクリックを促すメールを送信し、この操作を使用してあらゆる種類のマルウェアをインストールします。シンプルなCDRツールは、メールの添付ファイル内のすべてのアクティブコンテンツとアクティブコンテンツを含むあらゆるメタデータを削除します。一方、高度なCDRツールは、これらの同じファイルをスキャンし、既知の安全な要素のみを複製して、悪意のあるコードが新しい無害なバージョンのファイルに持ち越されないようにしながらも、アクティブコンテンツが安全で使用可能なままにします。
アクティブコンテンツには次のものが含まれます。
ほぼすべてのファイルにはメタデータが含まれています。メタデータは3種類あります。
メタデータはデジタル資産にコード化されているため、多くのユーザーはその存在を知りません。たとえば、Excelスプレッドシートを使用したことがある場合には、マクロ機能を使用したことがあるかもしれません。これらのマクロはキーストロークとマウスクリックを記録するので、毎回最初からやり直すことなくプロセスを繰り返すことができます。マクロを作成するたびに基本的なコーディングを使用していたことになります。
悪意のあるソフトウェアも同じです。サイバー犯罪者は、誰かがその文書を開くと実行できるダウンロード可能な資産に悪意のあるコードを埋め込んでいます。つまり、このコードが隠されている、あらゆるメタデータは危険なのです。
従来のアンチウイルスツールは、既知のウイルスコードのデータベースを作成し、ファイルコードをこのデータベースと照合させることで機能します。問題なのは、最先端の人工知能(AI)ツールであっても、推測できることは限られていることです。ファイルサニタイズが検知ベースのソリューションと異なる理由を詳しく見てみましょう。
悪意のあるコードの検出に基づくアンチウイルス保護にはいくつかの制限があります。まず、AIがコンピューターウイルスの突然変異を効果的に予測するには、非常に大きなデータセットが必要です。機械学習(ML)アルゴリズムは、できるだけ多くのデータを取り込むことができる場合にのみ効果的です。しかし、これほど多くのデータを取り込み、適切にラベル付けするのは難しい場合があります。検知ベースのAI / MLが機能するためには、ツールがどのように情報を収集・監視するかを理解する必要があります。
次に、AIがどれだけ多くのデータを収集して分析しても、人間の悪意のある攻撃者は常にその一歩先を行きます。AI / ML検知ベースのツールは予測機能を提供しますが、サイバー犯罪者のようには思考できません。これらのツールは未来を予測するために過去に目を向けたアプローチしかできません。サイバー犯罪者のように創造的に考えることはできません。しかし、生成AIツールの台頭により、必ずしもそうとは限りません。
ファイルサニタイズにより、予測分析の失敗を心配する必要はもうありません。それは、ファイルサニタイズが特定の指標を探すことなく、ファイルに含まれるすべての危険な要素を削除するからです。つまり、AVだけでは隠れたエクスプロイトを検知するのに数日、数週間、数か月、さらには数年かかることがありますが、CDRはマルウェアをゼロデイで阻止します。
ファイルのサニタイズにより、既知の亜種であれ、まったく新種であっても、すべてのマルウェアが除去されます。このソリューションでは、安全な要素のみでファイルが再構築されるので、いかなるリスクもなく、必要なすべての情報を得ることができます。従業員が誤ってサイバー犯罪者がランサムウェアの配信手法として意図したファイルをダウンロードしても、悪意のあるコードが除去されているので、心配する必要はありません。
Menlo SecurityのPositive Selection®技術は、継続的にプロアクティブな脅威防御を提供します。Menloは、新しく革新的なマルウェアを見逃す可能性のある古いデータベースから作業する代わりに、サイバー犯罪者が武器化できるすべてのファイル要素を削除します。サイバー犯罪者が考案する新たなフィッシング攻撃を心配する代わりに、すべてのファイルにはマルウェアやランサムウェアの亜種が新たに作成されたばかりであっても、完全に除去されているという安心感を得ることができます。何よりも嬉しいことは、Menloはユーザーがファイルを受け取る前のファイルがまだ移動している間に、リアルタイムでファイルをサニタイズします。
Menlo Securityを使用すれば、ファイルの悪意のある要素以外の部分のみが保存されるため、セキュリティチームはアンチウイルスによって発生する潜在的な誤検知について煩わされる必要がなくなります。ファイルを介したあらゆる潜在的な隠れた脅威を排除することで、ファイルサニタイズはアラート疲れを軽減し、セキュリティチームが他の脅威ベクトルに重点を置いて取り組む時間を作ります。
Menloのご利用についてもっと詳しく知りたい場合には、ぜひデモのご予約をしてください。
Menlo Security
