ゼロデイ攻撃とは?
ゼロデイ 攻撃は、最近発見された脆弱性を悪用する攻撃で、パッチはありません。 サイバー犯罪者は「ゼロ日目」に攻撃することで、組織が適切に検知して対応できる可能性を下げます。
多くの組織のセキュリティモデルは検出に基づいており、攻撃を悪意のあるものとして識別する能力が必要です。 ゼロデイ攻撃で使用される新しいエクスプロイトでは、必要なシグネチャがまだ開発されていないため、シグネチャ検出に基づくセキュリティはまったく効果がありません。
したがって、ゼロデイ攻撃のリスクを管理するには、検出だけでなく予防も必要です。
ゼロデイ攻撃を防ぐ方法
ゼロデイ攻撃の防止は、多段階のプロセスです。 組織には、潜在的なキャンペーンを特定するために必要な脅威インテリジェンス、このインテリジェンスに基づいて行動するためのツール、および迅速で協調的な脅威対応をサポートする統合プラットフォームが必要です。
- Threat Intelligence Platforms
現代のサイバー攻撃は広範囲に及び、自動化されています。 ゼロデイ攻撃は、脆弱性の発見からパッチリリースまでの期間が短いことを利用して、さまざまな組織を標的にします。
この種の大規模な攻撃から保護するには、高品質の 脅威インテリジェンスにアクセスする必要があります。 ある組織が攻撃を経験すると、その組織が収集するデータは、攻撃を検出してブロックしようとする他の組織にとって非常に貴重です。 しかし、最新の攻撃キャンペーンのスピードと量を考えると、手作業による脅威インテリジェンスの共有には時間がかかりすぎて効果的ではありません。
チェック・ポイントのThreatCloud AIは、世界最大のサイバー脅威インテリジェンス データベースです。 ThreatCloud AIは、人工知能(AI)を活用して、提供されたデータを抽出し、潜在的な攻撃や未知の脆弱性に関する貴重な洞察を生み出します。 100,000社を超えるチェック・ポイントの顧客からの860億件以上の毎日のトランザクションを分析することで、ゼロデイ攻撃キャンペーンを特定するために必要な可視性が得られます。
脅威インテリジェンスは、ゼロデイ攻撃を効果的に検知するために必要な情報を提供します。 攻撃から保護するには、このインテリジェンスを攻撃の成功を妨げるアクションに変換できるソリューションが必要です。
チェック・ポイントは、ゼロ デイ対策のためにThreatCloud AIの脅威インテリジェンスを活用する60以上の脅威対策エンジンを開発してきました。 主な脅威対策機能には、次のようなものがあります。
- CPU レベル インスペクション: サイバー攻撃者は通常、リターン指向プログラミング(ROP)を使用して、CPUに組み込まれた防御を回避します。 CPUレベルのインスペクションは、実行可能領域の保護とコード署名を突破しようとする試みを特定し、悪意のあるコードがダウンロードされて実行される前に攻撃をブロックします。
- 脅威のエミュレーションと抽出: サンドボックス環境内の疑わしいコンテンツを分析すると、マルウェアがターゲット システムに配信される前にマルウェアを検出するのに役立ちます。 これにより、マルウェアをブロックしたり、配信前にドキュメントから悪意のあるコンテンツを削除したりできます。
- マルウェアDNA分析: マルウェアの作成者は、通常、既存のコードに基づいて構築、借用、微調整して、新しい攻撃キャンペーンを開発します。 つまり、新しいエクスプロイトには、以前のキャンペーンの振る舞いやコードが含まれていることが多く、攻撃の最新のバリエーションを検出するために使用できます。
- アンチボットとアンチエクスプロイト: 現代のサイバー攻撃は、多くの場合、侵害されたマシンがボットネットの一部として使用されることに大きく依存しています。 侵害されたマシンを特定した後、組織はそれを分離し、ボット関連のトラフィックをブロックして、マルウェアの拡散を阻止できます。
- キャンペーンハンティング: マルウェアは、コマンドと制御を攻撃者のバックエンドインフラストラクチャに依存しています。 チェック・ポイントは、 脅威のエミュレーションと抽出を使用して、マルウェアが使用する新しいコマンド&コントロール ドメインを特定し、この情報を活用して攻撃キャンペーンの他のインスタンスを検出できます。
- IDガード: アカウント乗っ取り攻撃は、SaaS(Software as a Service)アプリケーションの使用の増加に伴い、ますます一般的になっています。 振る舞い分析と異常検出は、攻撃者が正しい資格情報を持っている場合でも、攻撃の試みを特定してブロックできます。
多くの組織は、幅広いスタンドアロン型および分離型セキュリティソリューションに依存しています。 これらのソリューションは、特定の脅威に対する保護に効果的かもしれませんが、セキュリティ担当者をデータで疲弊させ、多くの異なるソリューションの設定、監視、管理を強いるため、組織のセキュリティチームの有効性が低下します。 その結果、負担の大きいセキュリティ担当者は、重要なアラートを見落としています。
ゼロデイ攻撃を防ぐには、統一されたセキュリティプラットフォームが不可欠です。組織のITエコシステム全体を可視化し、制御する単一のソリューションで、分散型サイバー攻撃を特定するために必要なコンテキストとインサイトを得ることができます。 さらに、組織のインフラストラクチャ全体で調整された自動対応を実行する機能は、ペースの速いゼロデイ攻撃キャンペーンを防ぐために不可欠です。
チェック・ポイントによるゼロデイ攻撃からの保護
チェック・ポイントの予防ファーストのアプローチは、未知の脅威から効果的に保護する唯一の方法です。 インシデントの検出と対応に依存する従来のソリューションでは、新しい攻撃を見逃し、サイバー攻撃キャンペーンの被害を最小限に抑えるには対応が遅すぎます。
サイバー攻撃を防ぐための重要な最初のステップは、ネットワーク内の脆弱性を特定することであり、チェック・ポイントが 無料のセキュリティ診断サービスを提供しているのはそのためです。 人工知能を使用した新たなサイバー攻撃の防止の詳細については、 こちらのホワイトペーパーをご覧ください。
Feedback