何をもってNext Generation Anti Virusなのか？

お久しぶりです、C&S技術統括部の石田です。

ここ数年でNext Generation Anti Virus(以下、NG-AV)と呼ばれる製品がたくさん出てきました。テリロジーでも、今年度からCarbon Black社製のNG-AVを取り扱っています。

タイトルの通りですが扱っている私でさえ何ができたらNext Generationと言って良いのか悩みました。この点、NG-FWはアプリケーションの可視化と制御ができると言う明確な基準があったので楽でしたね。

今回はNG-AVを調査、検討している方に私なりに解釈したNext Generationの基準をまとめてみようと思います。

よく話にあがるNG-AVの基準

• AI（人工知能）を利用しているからNG-AV
• 機械学習（または深層学習）利用しているからNG-AV
• シグネチャに頼らないからNG-AV
• EDR(Endpoint Detection and Response)機能を搭載しているからNG-AV
• 他のセキュリティ製品と連携して包括的な動作を行うからNG-AV

これら説明を聞くと私は非常に違和感を覚えました。
これらは利用者から見ると
「できること」ではなく「やっていること」
ではないかと思います。

そこで、「できること」目線でポイントを書きだしてみました。

できること視点で考える従来型VAとの差別化ポイント

• ゼロデイ攻撃や未知のマルウェアを検知できるからNG-AV
• ファイルレス型や非マルウェア攻撃を検知できるからNG-AV

あたりが妥当ではないか？と考えます。

特に後者は非常に多くみられるので早急に対策が必要な脅威です。

タイトルで謳っている内容はこれで終わりです。

それだけでは面白くないですし、基準が固まったので実現するために何が必要か？を考えてみます。

実現するために必要な機能としてようやく「機械学習」と言う言葉が出てきます。

ゼロデイ攻撃や未知のマルウェアを検知できること

従来の静的なシグネチャの代わりに、既知のマルウェアファイルに対し機械学習をおこなうことで得た学習モデルを用いた対象ファイルの危険度判定（正確には機械学習にて生成したモデルを用いた分類）を行うことで実現可能と考えています。

そのため、このモデルのことを"ファイルに対する動的なシグネチャ"と呼んでしまっても良いかもしれません。

ファイルレス型や非マルウェア攻撃を検知できること

こちらはファイルとして存在しない場合やOS標準のツールを悪用していることから、ファイルではなく稼働中の全プロセスの挙動を常時監視し、危険な挙動を検知した際に対象プロセスを制御する必要が有ります。
つまりコンピュータ上の膨大な挙動から確実に「危険な挙動」を検出することがポイントとなります。
単純な挙動であれば従来型の「振る舞い検知」と変わらない上に、過検知/未検知で使い物にならないため、検知精度を向上させるためにも可能な限りコンピュータ上の挙動を細分化の上で組み合わせて判断する必要が有ります。
そのため、こちらも既知のマルウェアの挙動に対して機械学習を行うことで
得られた学習モデルを用いた挙動の危険度判定（こちらも正確にはモデルによる分類）を行うことで実現可能と考えています。
このモデルも"挙動に対する動的なシグネチャ"と呼んでしまっても良いかもしれません。
※実用性を考慮すると実害が発生する以前の挙動で危険度判定を行う必要が有ります

つまり、現段階でNG-AVと言われる製品は何かしら機械学習の技術を活用していますが端末側で動作するエージェントは作成された学習モデルを利用して危険度判定しているに過ぎないのが実情です。
このことからNG-AVも広義の意味では"シグネチャ"を利用していると言えます。
※今後はエージェント側にも機械学習エンジンが搭載されるでしょう

しかし、どのNG-AVメーカーもモデルのことをシグネチャと謳っていません。
これはあくまでも狭義の意味でのシグネチャを使用していないと言う意味であり、マーケティング戦略的な意味合いが強いと思われます。

NG-AVを検討している方はマーケティング用語に惑わされずに今エンドポイントセキュリティに求められる機能を正しく見極めて選定して下さい。

まとめ

• NG-AVも定められたルールを基に危険度を判定しているの過ぎない
• この判定基準の作成に機械学習が向いているので機械学習を利用している製品が多い
• エージェント自体に機械学習エンジンが搭載されているわけではない
• 製品選定はやりたいことを正しく把握する必要がある

おまけ　Carbon BlackのNG-AV「Cb Defense」

最後に宣伝ですが、こちらは危険な挙動の検知に特化したアンチウィルスと本業のEDRがセットになったクラウドサービスです。
どのくらい特化しているかと言うとファイルとして存在しても検査しませんでした。
※実際、初評価時にEICARファイルを端末にコピーしても検知せずに焦りました。

これは設計思想が
「起動しなければただのファイルであり危険な挙動は発生しない、しがたって起動するまで検査や削除する必要も無い」
という所でしょうか?

ただ、世界中で不評？だったのか先週リリースされた新バージョンから
既知のマルウェアについては起動しなくともディスク上から削除するようになり、一般的なアンチウィルスと同じような挙動になりました。

※未知のマルウェアは従来通り起動するまで検知しません

肝心の検知精度ですが、弊社のテスト環境で試す限り未知のマルウェアのみならず
ファイルレス型や非マルウェア型も起動すればほぼ検知/ブロックしてくれます。
※流石に100%ではないです

さらに良い点はこの検知精度に強力なEDR機能を搭載している点ですね。
EDRもCarbon Blackはこのジャンルの元祖だけあって非常に良くできていてます。

2種類の機能が搭載されているので

1. NG-AVで可能な限り侵入自体を阻止
2. 止められなかった攻撃をEDRで調査⇒封じ込め⇒駆除

上記2段階のインシデントレスポンスを単一のUIでシームレスに対応可能です。

デモ環境もあるので興味がある方は是非連絡ください！