Lance Jamesについては紹介の必要がないほど有名です。Lanceと彼の世界的に有名なUnit 221Bチームは、民間および公共における調査と対敵情報活動の最前線にいます。彼らは、情報セキュリティ、暗号技術、科学捜査、法律、捜査、法執行、諜報の各分野のユニークな専門家で構成されています。そして、私たちはこの数カ月間、彼らと一緒に仕事をする幸運な機会に恵まれました。
Unit 221Bは最近、Deep Instinct Prevention Platformの包括的な分析作業を完了しました。チームは、未知の脅威やゼロデイ脅威の対する防御に特に重点を置いて、プラットフォームの中核となる強みと能力を検証しました。
このプロジェクトに関するLanceの見解、侵害前提という認識に関する考え、そして企業や組織へのアドバイスを伺いました。
質問: Deep Instinctのプラットフォームのテストにおける全体的な目的は何だったのでしょうか?また、テストにはどのような手法を用いましたか?
回答: プロジェクトの目的は2つありました。
1) Unit 221Bは、Deep Instinctのエンドポイント プロテクション プラットフォーム(EPP)製品が、ディープラーニングを使用することによって、エンドポイントで悪意のある動作が実行される前にパターンを特定し、未知の脅威を本当に自動的に防ぐことができるのかどうかを評価しました。この評価では、以下のメーカーの主張を評価しました。
- 99%以上の精度でマルウェアの実行を自動的に防止
- 0.1%未満の誤検知率でマルウェアと攻撃を検知
- 未知の攻撃やカスタム(ゼロデイ)攻撃を認識し、自動的に防ぐ
テストは、未知の技術とカスタム技術、マルウェアの両方を使用して実施されました。未知の攻撃とは、Deep Instinctの 「Brain」のテストバージョンがデプロイされる前には公表されていない技術やマルウェアを指します。カスタム攻撃とは、この評価のためにUnit 221Bが特別に作成した技術およびマルウェアのサンプルです。
2) Unit 221Bは、Deep Instinct のEPPを評価するためのテスト環境を構築しました。その後、ポータブル実行ファイル、ドキュメント、ランサムウェアの未知およびカスタムの亜種を検知・防御するDeep Instinctの能力を測定するために、一連のテストを実行しました。
テストチームが使用したツールは、OSインスタンスを迅速に作成・復元するための仮想マシンで、追加の変数を導入することなく迅速にテストを実施することができました。一度テストを実施すれば、仮想マシンを初期状態に戻すことができ、各テストは同じ初期状態から開始されます。マルウェアのサンドボックスには、使い捨ての仮想マシンを使用しました。サンドボックスは、8GBのRAMと120GBのディスクスペースを持つVMware ESXiで構築されました。
変数を制御するため、Unit 221Bはテストとテストの間にマシンのスナップショットを復元し、互いに干渉しないようにしました。マシンに標準的なソフトウェアを構成したあと動作可能になった時点で作成された単一のスナップショットを、テスト期間中、コントロールグループとして再利用しました。
質問:「カスタム」攻撃を使ってテストされたとのことですが、それについてもう少し詳しく教えてください。
回答: カスタム攻撃は、Deep Instinctのエンジンを回避するために、Unit 221Bのレッドチームが設計したものです。ターゲットに対するレッド・チームのリアルタイム・シナリオの多くでは、システムをバイパスするために、外部から入手したものや独自で用意したエクスプロイト、バイナリが使用される傾向があります。私たちは、過去においてもゼロデイやカスタマイズされたペイロードを使用して目標を達成するAPT(国家ぐるみ)の攻撃者を多く見てきました。私たちのカスタマイズされたモードも同様で、ゼロデイ攻撃に対してメーカーの主張している防御が有効かどうかを判断することにしたのです。
Deep Instinctは、カスタマイズされた模擬ATP攻撃の防御と防止に成功しました。詳細は、3ヶ月のプロジェクト後に作成したテクニカルレポート(英語)でご覧いただけます。
前述したように、セキュリティプロトコルや防止システムを回避して侵入することに長けたプロのテスターやハッカーで構成されていますが、今回は検知を回避して侵入することに失敗しました。しかしそれは良い結果と言えます。今回のような徹底的な実戦評価を通じて、サイバーセキュリティの最も困難な問題を解決するための能力を高めることができるからです。Deep Instinctは、今日のセキュリティ態勢を成熟させながら、ディープラーニングが明日の問題を予測して戦うための革命的な技術になり得ることを示すことができました。
質問: 今日のITリーダーは、しばしば「侵入されることが前提」というスタンスであり、感染後に対処するEDRタイプのツールに大きく依存していますが、「侵入されることが前提」というスタンスについてどうお考えですか。
回答: 侵入され続けている歴史から考えると、これは仕方のない考えです。侵入されることが前提であると、次に何をすべきかを考えることに消極的になってしまいます。なぜ、このような考えになってしまうのか?その理由はすべての脅威を阻止することに成功したベンダーが存在しないからです。すべての組織の環境が同じように構成されているわけではないので、すべてを阻止することが可能であると言うのは無理があるかもしれません。ただし、侵入を想定しているからといって、「侵入を予防する」という究極の目的への投資が無駄というわけではありません。しかし、どちらの視点も非現実的だとは思いませんし、互いに補完し合えるものだと思います。
質問: Unit 221Bの支援を求める組織へのアドバイスをお願いします。(広い範囲の質問であることは承知しています)。
回答: 確かに広範囲の質問で、さまざまな問い合わせがありますが、私が言えることは、私たちは一緒に仕事をする組織をクライアントとしてではなく、パートナーとして見ているということです。そのような考え方や文化があるからこそ、具体的なアドバイスをするのではなく、「この問題を一緒に解決していこう」というマインドセットでスタートすることができるのだと思います。また、エゴや他の会社があなたの何が悪かったのか、なぜあなたが脆弱なのかを教えてくれるのとは違い、パートナーシップを通して初心者のマインドセットを奨励しています。パートナーシップには、尊敬の念と境界線の変化があります。そうすることで、私たちはみんなチームの一員となることができ、それが大きな違いを生むのです。
詳しくは、この報告書の全文とプレスリリースをご覧ください。