企業や組織を標的にするマルウェアの高度化が進み、回避能力が向上しています。ハッカーは、ゼロデイ、暗号化された通信チャネル、カーネルレベルのルートキット、回避技術を活用し、古いネットワーク対策に検知されることなく侵入するようになりました。そして、このようなマルウェアの巧妙化に注目し、複数のサービスを活用することで隠された攻撃を根絶しようとするソリューションも登場しています。

一例として、ウォッチガードは最近、TDR（Threat Detection and Response）サービスで疑わしいと判断された脅威を APT Blocker に送信し、次世代クラウドサンドボックスでの詳細分析とスコアを再判定することで、これまでのマルウェア検知を強化しました。これにより、最終的には、脅威が悪意のあるものかどうかの判断の確度が向上し、効果的なレスポンスと迅速な修復が可能になります。

具体的な方法は以下のとおりです。

ThreatSync による相関付けと脅威スコア判定

TDR（Threat Detection and Response）の一部である ThreatSync は、WatchGuard Firebox、WatchGuard Host Sensor、および脅威情報フィードからのイベントデータを収集、相関付け、分析します。APT Blocker、RED（Reputation Enabled Defense）、Gateway AntiVirus、WebBlocker などの WatchGuard Firebox のセキュリティサービスのイベントデータが ThreatSync に送信されて、ホストセンサーから収集されたエンドポイントデータと照合されます。ThreatSync は、この脅威データを分析して包括的な脅威スコアを判定し、総合的な重大度を決定します。

ウォッチガード脅威スコア判定モデル

• 8、9、10 – Severe（重大）
• 6、7 – High（高リスク）
• 3、4、5 – Suspicious（不審）
• 2 – Suspect（疑いあり）
• 1 – Remediated（対策済み）
• 0 – Benign（無害）

ネットワークとエンドポイントでキャプチャされたイベントを ThreatSync が判断し、関連性が見つかった場合は、最も重大度の高い脅威スコアである 10 が自動的に割り当てられます。このスコアはすなわち、不正プロセスが活動中で、感染した Web サイトやコマンド & コントールのボットネットなどの外部の送信先への接続を確立しようとしていることを示すものです。

APT Blocker による疑わしい脅威の分類

脅威スコアは、脅威に対処する際の目安としては確度の高いものですが、常に進化するマルウェアの特性を考えると、疑わしい（3 ～ 7）という評価であったとしても、現段階ではマルウェアと判定されていない、警戒すべき早期の兆候である可能性もあります。TDR では、管理者による手動での脅威の分類だけでなく、疑わしいファイルを APT Blocker に自動送信して実行することもできます。

APT Blocker は、次世代サンドボックスを使用したシステムの完全エミュレーション（CPU とメモリ）により、マルウェアプログラムの実行の詳細ビューを提供します。Gateway AntiVirus や不正侵入防御などの他のセキュリティサービスを最初に実行した後に、ファイルがフィンガープリンティングされ、既存のデータベースとの照合チェックが実行されます。これまでに見つかったことのないファイルについては、システムエミュレータを使用して分析され、すべての命令の実行が監視されます。これにより、他のサンドボックスで見逃された回避方法も特定できます。

APT Blocker によって不審ファイルが実際の脅威であると確認された場合は、ThreatSync によって脅威スコアが自動的に引き上げられるため、そのスコアを目安に対策を実行できます。結果として、Severe（重大）または Benign（無害）と確実に判断できる脅威が増え、確度の高い対応が可能になります。

今日の脅威環境では、複数の異なるセキュリティソリューションを選んで導入するという方法では、ソリューションがサイロ化されて、連携しないため、必然的にギャップが存在することになります。さらに、複数の異なるソリューションを使用すると、管理と導入はもちろん、脅威の分類にも時間がかかります。これに対し、信頼できるベンダの統合ソリューションを導入すれば、完全統合セキュリティプラットフォームが実現し、高度な保護が保証されます。

TDR（Threat Detection and Response）の詳細は、https://www.watchguard.co.jp/products/security-services/threat-detection-and-response を参照してください。