あなたのサイバー防御はサンドボックスで立ち往生していますか?

外部の脅威から保護するためにネットワークサンドボックスをインストールすることは、10年以上にわたってゴールドスタンダードとして多くの人に受け入れられてきました。サンドボックスベースのサイバーセキュリティソリューションは、セキュリティのテストと分析の目的で企業の本番ネットワークをシミュレートする、ネットワーク上の保護された分離された環境です。

サンドボックス防御

高度な脅威保護では、サンドボックスは追加の保護レイヤーを提供します。このレイヤーでは、電子メールフィルターを通過しても、不明なURLリンク、ファイルタイプ、または疑わしい送信者が含まれている電子メールを、ネットワークまたはメールサーバーに到達する前に分離してテストできます。しかし、より多くの企業が重要なデータとサイバーセキュリティの防御をクラウドに移行し、ネットワークトラフィックの量が大幅に増加するにつれて、企業のサイバーセキュリティチームはサンドボックス環境の使用を再考しています。

新しいサイバーセキュリティ機械学習テクノロジーが定着し、脅威の特定と軽減の速度と精度が向上するにつれて、企業はサンドボックスの展開方法をシフトして、コストを削減し、高度な脅威検出の速度を向上させています。サンドボックスセキュリティソリューションに対する組織のアプローチを再評価および進化させる理由の上位4つは次のとおりです。

マルウェア回避技術

国民国家と組織化されたハッキン​​ググループが攻撃ベクトルでますます洗練されるにつれて、いくつかは効果的にサンドボックス防御を回避しました。企業は通常、トラフィックのサンプリングのみをサンドボックスに転送するため、サンドボックスを回避することがますます容易になっています。マルウェアは、時間遅延や特定のユーザーアクション/インタラクションなど、サンドボックスまたは物理エンドポイントで機能するさまざまな回避策を使用することがよくあります。どちらもサンドボックスが説明しようとしますが、常にそうとは限りません。

もう1つの一般的な検出回避手法には、サンドボックスではシミュレートできない組織のC2チャネル(別のシステムをリモート制御するように設定されたチャネル)からの指示が必要です。または、脅威の攻撃者は、数週間または数か月後に同じメッセージを送信することで組織のインフラストラクチャとサンドボックスに対してナンバーゲームをプレイするか、サンドボックスにメッセージを送信するための組織のルールを特定して回避することができます。

そして最後に、脅威の攻撃者はトラフィックの増加でサンドボックスを圧倒してサンドボックスを非常にビジーにすることができるため、他のマルウェアが検出を回避しやすくなります。これらは、サンドボックス防御を回避するためにサイバー犯罪者が展開している回避戦術のほんの一部です。

検出する時間

より多くの組織が、セキュリティツール(および本番ワークロードとデータ)をクラウドに移行して、広範なアクセスを提供し、全体的なスケーラビリティを向上させています。データレートが高いネットワークやハイブリッドインフラストラクチャを備えたネットワークでは、サンドボックスはニーズに合わせて拡張するのに法外なコストがかかります。サンドボックスは通常、数ギガビット/秒(Gbps)のネットワークスループットで実行されているネットワークについて、数分で脅威オブジェクトを分析できます。

ただし、トラフィックが拡大するにつれて、分析する必要のあるオブジェクトの数が膨大になる可能性があります。今日のネットワーク速度ではるかに速いペースでマルウェアを検出するための1つの答えは、機械学習による高度な脅威検出です。機械学習テクノロジーは、サンプルを動的に実行する代わりに、攻撃を統計的に分析し、回線速度で数秒で応答を返すことができます。

サンドボックスがファイルを分析するのを数分待つことは災害のレシピです。脅威の攻撃者はWannaCryのようなマルウェアをすばやく展開し、ネットワークを完全に乗っ取ることができるからです。脅威の検出では、毎秒が重要です。

総所有コスト

組織のサイバーセキュリティのニーズに合わせて完全なサンドボックスソリューションを運用するにはコストがかかります。平均して、サンドボックスソリューションの実行には、現在の機械学習ソリューションの2倍のコストがかかります。膨大な量のデータが移動する大規模なエンタープライズネットワークでは、サンドボックス化に非常にコストがかかります。高いデータレートと複雑なネットワークでは、セキュリティチームは、サンドボックスによる分析のためにコンテンツとトラフィックの小さな代表的なセットのみを送信し、カバレッジに大きなギャップを生じさせます。

その後、企業は、潜在的な脅威をカバーするために、ギャップを抱えて生きるか、非常に大規模な企業のために数十から数百、さらには数千のサンドボックスを設定することを余儀なくされます。これは、企業が管理、運用、監視、保守、およびアップグレードするための、データセンターまたはクラウドにおける多くの追加のサイバーセキュリティインフラストラクチャコストとラックスペースおよび電力消費です。これにより、企業が吸収する総所有コストが増加します。

限定的な攻撃ベクトル保護

サンドボックスの総所有コストが高いため、サイバーセキュリティチームは疑わしいデータを特定し、サンドボックスに送信されるデータを制限してコストを制限しようとします。脅威のすべてのデータを回線速度でリアルタイムに評価しないことにより、セキュリティカバレッジにギャップが生じます。サンドボックスは、機械学習ソリューションがカバーできる攻撃対象領域全体を効果的にカバーすることはできません。サンドボックスは、実行可能ファイルの広範な検出を提供しますが、高度な持続的脅威、ゼロデイマルウェア、または実行不可能なバイナリを検出するより優れた実績があります。

ほとんどの企業は、サンドボックスを介してデータの一部を実行し、ダウンサンプリングイベントを作成し、多くの場合、どのデータが疑わしいかを推測する必要があります。大規模なネットワークの場合、ダウンサンプリングが複雑になるため、サンドボックスが疑わしいデータまたはファイルを根絶するのに数分かかることがよくあります。これにより、脅威アクターは弱点にアクセスしたり、攻撃を爆発させたりするための十分な時間を確保できます。

堅牢な多層サイバーセキュリティ防御の一部である場合、サンドボックスは組織のサイバーセキュリティ兵器の便利なツールです。しかし、よりスケーラブルな機械学習サイバーセキュリティアプローチが市場に登場するにつれて、組織はサンドボックスソリューションをより適切に狙って、根本原因のセキュリティ問題を特定および分析し、投資をさらに保護し、SOCアナリストに優れた可視性を提供できます。

サンドボックスソリューションをいつ使用するかを知ることは、これまでとらえどころのない、ますます高度化する脅威攻撃ベクトルから組織を保護するために重要です。サンドボックスは、マルウェアプロセスの実行について特定の決定を行う際に、アナリストに貴重な洞察を提供するのに優れており、マルウェアの動作を安全に爆発させて記録し、マルウェアアナリストが脅威をよりよく理解できるようにします。

サンドボックスは、サンプルを減らすために機械学習の高度な脅威保護ツールと組み合わせると非常に役立ちます。これにより、サンドボックスは本来の意図を果たすことができます。疑わしいファイルのみを実行して攻撃の根本原因と構成を特定し、将来の攻撃を回避するための運用ルールの実装に必要な知識をアナリストに提供します。