目次:
ビデオ: ACQUAã®ããã12æ19æ¥äºåã ã¼ãã¼ (十一月 2024)
新しい種類のマルウェアである「インビジブルマルウェア」が進行中です。サーバーに攻撃が加えられた場合、それに対してできることはあまりないかもしれません。 実際、そこにあるとは言えないかもしれません。 場合によっては、目に見えないマルウェアはメモリにのみ存在します。つまり、エンドポイント保護ソフトウェアが検出するファイルがディスク上にないことを意味します。 他の場合では、目に見えないマルウェアが基本入出力システム(BIOS)に存在し、いくつかの戦術の1つを使用して攻撃する可能性があります。 場合によっては、既存のファームウェアを、感染していて検出または削除がほぼ不可能なバージョンに置き換えるファームウェアアップデートとして表示されることもあります。
従来のAVパッケージよりも高度なEDRソフトウェアは、攻撃をキャッチするのに非常に効果的であり、このソフトウェアはさまざまな方法を使用して攻撃者が働いているかどうかを判断します。 「EDRの開発により、ブラックハットが対応し、カーネルルートキットとファームウェアルートキットを作成します。これは、ハードウェアでマスターブートレコードに書き込むことができます」とKnight氏は言います。
また、オペレーティングシステム(OS)の前に起動する仮想ルートキットが作成され、マルウェア用の仮想マシン(VM)が作成され、OSで実行されているソフトウェアによって検出されなくなります。 「それにより、捕まえることはほとんど不可能になります」と彼女は言った。
ブルーピルマルウェアなど
幸いなことに、仮想ルートキットをサーバーにインストールすることは依然として困難です。それを試みている攻撃者が、通常、州が支援する攻撃者として働く程度です。 さらに、少なくともいくつかのアクティビティを検出でき、いくつかのアクティビティを停止できます。 Knightは、メモリ内でのみ動作する「ファイルレスマルウェア」は、実行中のコンピューターの電源を強制的にオフにすることで無効にできると述べています。
しかしKnight氏はまた、このようなマルウェアには「Blue Pillマルウェア」と呼ばれるものが付随する可能性があるとも述べました。これは、VMに自身をロードし、OSをVMにロードする仮想ルートキットの一種です。 これにより、マルウェアを実行させながら、シャットダウンして再起動することができます。 これが、Microsoft Windows 10でシャットダウンの選択を使用できない理由です。 プラグを引くだけで機能します。
幸いなことに、他の種類のハードウェア攻撃が進行中に検出される場合があります。 Knightによると、ある会社のSentinelOneは、ほとんどの場合よりも効果的なEDRパッケージを作成し、マルウェアがマシンのBIOSまたはファームウェアを攻撃していることを検出できる場合があります。
クリスベイツは、SentinelOneの製品アーキテクチャのグローバルディレクターです。 同氏によると、製品のエージェントは自律的に動作し、必要に応じて他のエンドポイントと情報を組み合わせることができます。 「すべてのSentinelOneエージェントがコンテキストを構築しています」とベイツ氏は言います。 彼は、コンテキストと、コンテキストの構築中に発生するイベントが、マルウェアの動作を検出するために使用できるストーリーを作成すると述べました。
ベイツ氏によると、各エンドポイントはマルウェアを排除するか、隔離することで修復することができます。 しかし、ベイツ氏は、彼のEDRパッケージがすべてをキャッチすることはできません、特にそれがOSの外で起こったときもそうだと言いました。 コンピュータが起動する前にBIOSを書き換えるUSBサムドライブはその一例です。
準備の次のレベル
これは、次のレベルの準備が来るところです、とナイトは説明しました。 彼女は、Intelとロッキードマーティンの共同プロジェクトを指して、「ロッキードマーチンによるセキュリティ強化のためのインテルセレクトソリューション」と呼ばれる標準の第2世代Intel Xeonスケーラブルプロセッサで実行されるセキュリティ強化ソリューションを作成しました。 この新しいソリューションは、重要なリソースを分離し、それらのリソースを保護することにより、マルウェアの感染を防ぐように設計されています。
一方、Intelは、BIOSをロックダウンする「ハードウェアシールド」と呼ばれるハードウェア予防措置の別のシリーズも発表しました。 「これは、悪意のあるコードが何らかの形で挿入された場合、BIOSが応答できるテクノロジーです」と、Intelのビジネスクライアントプラットフォーム担当副社長兼ゼネラルマネージャーであるステファニーホールフォードは説明しました。 「一部のバージョンには、OSとBIOSの間で通信する機能があります。OSは応答して攻撃から保護することもできます。」
残念ながら、既存のマシンを保護するためにできることはあまりありません。 「重要なサーバーを交換する必要があります」と、Knight氏は、重要なデータが何であり、どこで実行されているかを判断する必要があると付け加えました。
「IntelとAMDは、ボールに乗ってこれを民主化する必要がある」とナイトは言った。 「マルウェア作成者が良くなるにつれて、ハードウェアベンダーは追いついて手頃な価格にする必要があります。」
問題は悪化するだけ
残念ながら、ナイトは問題が悪化するだけだと言いました。 「犯罪キットとマルウェアキットはもっと簡単になるでしょう」と彼女は言いました。
Knight氏は、クラウドサービスプロバイダーがこの種のハードウェア攻撃に対する保護を強化できるという理由だけで、ほとんどの企業が問題を回避する唯一の方法は、重要なデータとプロセスをクラウドに移動することだと付け加えました。 「今こそリスクを移転する時です」と彼女は言った。
そして、ナイトは、物事が動いている速度では、重要なデータを保護する時間がほとんどないと警告しました。 「これはワームに変わるだろう」と彼女は予測した。 「それはある種の自己増殖ワームになります。」 サイバー戦争の未来だとナイトは言った。 国が後援する俳優の範囲を永遠に保つことはありません。
実行する手順
それで、この荒涼とした未来で、あなたは今何ができますか? すぐに実行する必要のある最初の手順を次に示します。
-
- 2019年の最高のウイルス対策保護2019年の最高のウイルス対策保護
- 2019年の最高のホスト型エンドポイント保護およびセキュリティソフトウェア2019年の最高のホスト型エンドポイント保護およびセキュリティソフトウェア
- 2019年の最高のマルウェア除去および保護ソフトウェア2019年の最高のマルウェア除去および保護ソフトウェア
感染したサムドライブをサーバーの1つに接続するスタッフではないように、スタッフを適切なセキュリティ衛生状態で訓練してください。
SentinelOneなどの効果的なEDRソフトウェアをまだお持ちでない場合は、今すぐ入手してください。
重要なデータを特定し、ハードウェアの脆弱性とそれを利用するエクスプロイトから保護されたマシンにデータが保存されているサーバーをアップグレードする際に、暗号化によって保護するように働きます。
重要なデータを社内に残す必要がある場合は、そのデータを含むサーバーを、クライアント用のハードウェアシールドや、サーバー用のロッキードマーチンによるセキュリティ強化向けインテルセレクトソリューションなどのハードウェアテクノロジーを使用するプラットフォームに置き換えます。
可能な限り、重要なデータをプロセッサが保護されたクラウドプロバイダーに移動します。
ネットワーク内のサーバーおよびその他のエンドポイントを保護するために、物理的なセキュリティが十分に強いことを確認してください。 これらすべてが、セキュリティが軍拡競争であるとあなたに思わせるなら、あなたは正しいでしょう。
