目次:
サイバー脅威とITセキュリティの全体的な性質は、猛烈なペースで動いています。 攻撃がより洗練され標的にされるにつれて、以前は効果的な防御の一部が本来の防御ではないか、攻撃に対して完全に無効になっています。 時代遅れの3つの保護方法と、それらがもはや十分ではない理由を以下に示します。 (背景を読むには、21世紀のサイバー戦争の新しい顔をご覧ください。)
次世代ファイアウォール(NGFW)
歴史的に、次世代ファイアウォール(NGFW)は、アプリケーション中心のアプローチを使用して、マルウェアやその他の攻撃を阻止するためにネットワークトラフィックを分類します。 ただし、NGFWは高度な攻撃に対して効果がないことが証明されています。 これは、NGFWテクノロジーの核心がIPSシグネチャ、ウイルス対策ソフトウェア、URLブラックリスト、レピュテーション分析の基本的な構成だからです。 これらはそれぞれ本質的に事後対応型であり、高度な脅威を阻止できないことが証明されています。
NGFWテクノロジーのメーカーは、クラウドベースのバイナリやDLL分析のほか、ファイアウォールシグネチャセットの1時間ごとの更新など、製品を強化しています。 問題は、これらのオプションでは、マルウェアが損害を与えるための十分な時間が残っていることです。
ウイルス対策ソフト
未知の脆弱性を悪用するゼロデイおよび高度な持続的脅威(APT)攻撃に直面して、アンチウイルスは現代のサイバー脅威を防ぐのにほとんど役に立たない。 一部の研究では、マルウェアのバイナリの90%が1時間以内に変形し、更新頻度に応じて数時間、数日、または数週間遅れる署名ベースの検出と更新に依存する過去のアンチウイルスソフトウェアをこっそり盗むことができることが示唆されています。
この遅延時間は、マルウェアが感染する最初のシステムからマルウェアが増殖する絶好の機会です。 また、このウィンドウは、マルウェアが侵入先のホストシステムに深く埋め込まれているパスワードクラッカーやキーロガーを含む他の感染をインストールするのに十分な長さです。
この時点で、除去はますます困難になります。 では、なぜITセキュリティの専門家は、ウイルス対策ソフトウェアをセキュリティ全体の信頼できる部分として保持しているのでしょうか? 最近では、アンチウイルスは、より大規模で高度なシステムと組み合わせて、補完的なシステム、または「最前線」の防御としてよく使用されます。 アンチウイルスは、古いウイルスシグネチャを含む「ぶら下がり果物」をキャプチャし、より堅牢なマルウェア保護システムは見逃された高度なマルウェアをキャッチします。
Webゲートウェイ
サイバーセキュリティ業界は、かつてポートベースのブロッキングを強化し、署名およびリストベースのセキュリティ製品の制限を取り除くことを目的としたパターンマッチングの遺産を私たちに与えてきました。 Webゲートウェイは、これらと同じテクノロジーを採用しています。
Webゲートウェイテクノロジーは、既知の「不良」URLのデータベースとリストを使用しますが、今日の現実の進化する脅威を考慮していません。 ポリシーの施行と低レベルのセキュリティは、ゲートウェイが無効になるようにサイバー攻撃が進化したため、Webゲートウェイがセキュリティテーブルにもたらす唯一の価値です。 マルウェアの配信と通信の動的な性質により、「悪い」ウェブサイトとURLのリストは時代遅れになります。
皮肉なことに、Webゲートウェイが世界中で採用されると、セキュリティの面でやや時代遅れになりました。 Webゲートウェイテクノロジーは、Webブラウジングを制限または制限する企業ルールを適用することにより、ある程度の用途がありますが、高度な攻撃からの保護に関しては、Webゲートウェイの役割はせいぜいわずかです。
メジャーからマイナーへ
これら3つの技術がサイバー脅威からネットワークを保護する上で現在の役割を果たしていることを否定するものではありませんが、今日見られる進化した次世代攻撃により、それらはより高度な防御の小さな部分になりました。
高度なマルウェアからの保護に効果的な技術の1つはステートフルファイアウォールです。これは、パケットフィルターと、プロキシを介して得られるアプリケーションレベルのインテリジェンスとの間に多少の違いがあります。 これは、少なくとも現在のところ、いくつかの古いテクノロジーのスラックを置き換えた、または取り戻した多くのテクノロジーの1つにすぎません。 もちろん、サイバー脅威は進化し続けています。つまり、保護の試みはそれらとともに進化しなければなりません。
