** 本記事は、Pioneering Automated Moving Target Defense (AMTD) の翻訳です。最新の情報は英語記事をご覧ください。**
サイバー脅威の状況がますます厳しさを増す中、セキュリティチームは急増する脅威に対処しています。多くの組織は、大量のアラートや誤検知と格闘しており、結果として恒常的にリソースが消費され、セキュリティの有効性が低下しています。
Automated Moving Target Defense (AMTD: 自動化された移動標的型防御) は、 Gartner が開発・提唱する新たな概念であり、この状態を改善しようとするものです。AMTD 技術を採用したセキュリティ製品やサービスは、IT 環境内の変化を制御することで、攻撃をプロアクティブに阻止し、侵害行為を混乱させることで、攻撃者にかかるコストを引き上げます。
脅威に依存しないテクノロジーである AMTD を導入したソリューションは、攻撃関係を逆転させ、攻撃の戦術、技術、手順 (TTP) の大部分を無効化することで、組織に劇的な保護効果をもたらします。
エンドポイントでの AMTD
ソフォスは、幅広い保護技術を活用することで、可能な限り多くの脅威を事前にブロックすることを使命としています。
Sophos Endpoint は、脅威空間の縮小、動作解析、ディープラーニング AI モデルの使用に加え、各プロセスに脅威に依存しないバリアを設置することで、アプリケーションのセキュリティも強化します。Sophos Endpoint を導入することで、アプリケーションの一部ではない任意コードを実行することがより困難になり、攻撃者はマルウェアのコア機能の再検討およびアーキテクチャの変更を余儀なくされます。
ソフォス製品は AMTD 技術を採用することによって、エンドポイント上の脅威を自動的に遮断・妨害するバリアやトラップを設置します。その結果、他の保護メカニズムを回避する新しい脅威の亜種であっても、ソフォス製品によって保護されたマシン上で悪意のあるアクションを実行するのが難しくなります。
ソフォス製品が AMTD 技術を使用してお客様を保護する方法をいくつかご紹介します。
適応
Sophos Endpoint は Adaptive Attack Protection (AAP: 適応型防御) 機能により、進行中の攻撃を検出すると、動的な保護を適用します。
万が一、攻撃者がお客様の環境にあるデバイスにアクセスした場合でも、AAP は攻撃の成功率を劇的に低下させ、防御側が攻撃を無力化するための時間を確保します。AAP は、通常業務で行われる一般的な操作であっても、攻撃に転用される危険性がある場合には、追加の防御策を講じることでブロックします。
AAP は主に次の 2 つの方法で攻撃者の存在を検知します。1) 一般的な攻撃ツールキットの使用、 2) 攻撃の初期段階であることを示す可能性のある悪意のある活動の組み合わせ、です。
AAP は、エンドポイントで攻撃が進行していることが検出された場合に、通常の業務を進めるためには不向きな一方、防御のために必要となる制限を一時的に有効化します。たとえば、攻撃者が検出逃れに使用するセーフモードでの再起動を防止します。
脅威環境の変化に対応し、最新の攻撃手法の検出、および動的な保護機能を継続的に進化させている SophosLabs の研究者によって AAP は提供されています。
ランダム化
アプリケーション内のリソースモジュール (DLL) が常に同一の予測可能なメモリアドレスでロードされると、攻撃者は脆弱性を悪用しやすくなります。
開発者は、コンパイル時にアドレス空間配置のランダム化 (ASLR) を選択できます (再起動ごとに 1 回アドレスをランダム化)。しかし、ASLR を搭載していないサードパーティ製ソフトウェアを使用している場合、効果が薄い可能性があります。
Sophos Endpoint は、アプリケーションを起動するたびに、すべてのモジュールがランダムなメモリアドレスでロードされるようにすることで、インターネットに接続している業務用アプリケーションのセキュリティを強化し、潜在的な悪用のリスクを低減します。
コードの偽装
攻撃者はしばしば、難読化を使用してファイルスキャナやメモリスキャナから悪意のあるコードを隠そうとします。
難読化を使用しない場合は、以前のコードと類似しないよう、標的ごとに固有のコードを用いる必要があります。類似しているコードはエンドポイント保護製品によって検出され、ブロックされる可能性があるためです。
幸いなことに、悪意のあるコードを難読化した場合でも、マシン上で実行する前には (短い初期化ルーチンやローダールーチンを使って) 復元する必要があります。この難読化プロセスは通常、特定の OS API に依存しており、攻撃者が攻撃を隠蔽しようとしていることの指標となるため、攻撃者はこの依存関係を隠し通そうとします。
結果として、この依存関係はマルウェアバイナリのインポートテーブルから省かれることが多く、代わりにローダーが、必要な API を提供するメモリ常駐型の Windows モジュールを直接検索するように設定されます。
ソフォス製品は、攻撃者が悪意のあるコードを初期化して実行するために使用するメモリ関連の API を模倣した「おとり」を戦略的に配置します。このように脅威やコードにとらわれない防御を行うことで、正常なアプリケーションを阻害することなく、悪意のあるコードを破壊できます。
制限
防御を迂回するために、悪意のあるコードは通常難読化され、しばしば正規のアプリに便乗します。たとえば多段階の埋め込みなど、秘密のコードを実行する前には、攻撃者は最終的に難読化を解除し、コードの実行に適したメモリ領域を作成する必要があります。これは CPU のハードウェア要件です。
コード対応のメモリ領域を作成するために必要な基本的な命令 (オペコード) は、非常に短く汎用的なものであるため、他の保護技術で悪意があると判断するには、根拠が不十分です。というのも、すべて停止してしまうと、正規のプログラムも機能しなくなるからです。
しかし、Sophos Endpoint は履歴を独自に保持し、所有権を追跡し、アプリケーション間でコード対応のメモリ割り当てを紐付けることで、通常では不可能な低レベルでの緩和策を可能にします。
ハードニング
ソフォス製品は、すべてのアプリケーションのセキュリティ上重要なメモリ領域にバリアを張ることで、プロセスの操作を防ぎます。
機密性の高いメモリ領域の例としては、プロセス環境ブロック (PEB) や、Anti-Malware Scan Interface (AMSI) のようなセキュリティ関連モジュールのアドレス空間があります。
正規プロセスのなりすましを目的とする攻撃者は、コマンドラインパラメータを隠蔽し、自分自身 (または別のプロセス) のアドレス空間で任意のコードを無効化または実行し、これらの重要な領域内のコードやデータを定期的に改ざんします。
これらの領域を保護することにより、ソフォス製品は既存の、および今後出現する攻撃手法から総合的に保護し、アクティブな攻撃を自動的に検出・停止します。
ガードレール
ソフォス製品は、コード実行を阻止するガードレールを設置します。この機能は、コードの実行が個々のコードセクション間を流れ、元のアプリケーションの一部であるにもかかわらず、データのみを含むアドレス空間 (別名: コードケーブ) に侵入することを防ぎます。
ソフォス製品はさらに、APC インジェクションや、ビジネスアプリケーションで使用されない他のさまざまなシステム機能が実行時に利用されるのをアクティブに防止します。
対照的に、他の多くのエンドポイント保護プラットフォームは、主に関連する既知の悪意のあるコード、特定のシーケンシャル命令呼び出し、および配信コンテキストに基づいて、特定の攻撃手法を検出することに依存しています。その結果、これらのプラットフォームは、マルウェアの作成者がコードやその配布方法を変更した場合、効果的な保護を提供できない可能性があります。
結論
AMTD 技術が適切に導入されれば、高度な持続的標的型脅威 (APT)、エクスプロイトベースの攻撃、ランサムウェアに対する有効な防御層が追加されます。
Sophos Endpoint はエンドポイントで AMTD 技術を使用し、設定やソースコードの変更、互換性の評価を行うことなく、すべてのアプリケーションの復元機能を自動的に強化します。
AMTD 技術は IT 環境を根本的に変革し、攻撃者により大きな不確実性と複雑さをもたらすことで、攻撃のハードルを引き上げます。つまり、ソフォス製品で保護されたエンドポイントは、攻撃に対する耐性が向上するのです。
コメントを残す