次世代アンチウイルス(NGAV)とは

Anne Aarness - 9月 21, 2023

NGAVは、人工知能、振る舞い検知、機械学習アルゴリズム、エクスプロイト緩和策を組み合わせて使用して、既知および未知の脅威を予測し、直ちに防御することができます。従来は数か月かかった展開も、クラウドベースのNGAVなら、数時間で完了します。また、ソフトウェアメンテナンスやインフラストラクチャ管理、シグネチャデータベースのアップデートの作業を大幅に軽減します。

NGAVは、エンドポイント保護の次のステップで、シグネチャレスのアプローチにより、従来のAVで可能だったものよりも完全で、効果的なエンドポイントセキュリティを実現します。

最新の攻撃者とその回避技術

サイバー犯罪(eCrime)アクターの86%がアンチウイルスソフトウェア回避技術を使用しています。レガシーアンチウイルスは攻撃者にとって容易な標的であることと、彼らが用いている、従来型AVでは止められない技術について学びます。

今すぐダウンロード

次世代AVと従来型AV

NGAV
従来型AV
未知の脅威の検知



人工知能、振る舞い検知、機械学習アルゴリズム、エクスプロイト緩和策を組み合わせて使用します。
X


シグネチャに依存しているため、ファイルレス攻撃に対しては更新が難しく、効果的ではありません。
エンドポイントへの影響



クラウドベースのアーキテクチャは、エンドポイントのパフォーマンスに影響を与えず、追加のハードウェアやソフトウェアを必要としません。
X


スキャンと更新はリソースをかなり消費し、エンドポイントの動作を遅くします。
価値実現までの時間



数時間で実装できます。
X


実装には何か月もかかります。

既知と未知の脅威の検知

従来型AVは、特定のマルウェアのタイプに関連付けられているシグネチャと呼ばれる文字列を使用して、同様の攻撃を検知して防止します。このアプローチは時代遅れになりつつあります。巧妙な攻撃者が、従来のAV防御を回避する方法を見つけているためです。これにはマクロ、スクリプトエンジン、メモリ内実行などを使用して攻撃を開始する、ファイルレス攻撃が含まれます。2021年の段階で、攻撃の62パーセントがファイルレス攻撃であったと推定されています。

従来型AVでは、組織はリアクティブモードでしか対応できず、AVプロバイダのデータベースに登録されている既知のマルウェアとウイルスしか防御できません。過去においては、このアプローチは最善のものでしたが、未知の脅威に対しても既知の脅威と同じようにしっかりと防御することが必要とされる今日では、まったく不適切です。Ponemonの調査では、侵害を受けた回答者の80パーセントが、攻撃は新規の、または未知のゼロデイ攻撃であったと答えています。既知の脅威をソースとして特定できたのは、侵害された回答者のわずか19パーセントでした。

NGAVは、機械学習、振る舞い検知、人工知能など、より高度な防御方法の統合により、これらの欠点を排除します。つまり、シグネチャにのみ依存して悪意のあるアクティビティを検知するという状況を排除します。NGAVは、既知の脅威だけでなく、未知の脅威からも保護します。このことは、攻撃者の間でファイルレス攻撃の使用が増えるにつれてますます重要になっています。NGAVは、両方のタイプの脅威をほぼリアルタイムで発見することを可能にし、組織がこれらの脅威を以前よりもはるかに迅速にブロックするのを支援するうえで、はるかに効果的です。

価値実現までの時間

従来型AVは、価値実現までに時間がかかり、平均的な導入で3か月かかります。従来型AVでこの時間が必要となるのは、物理的な施設に設置されるハードウェアに依存することが多いからです。さらに、インストールが済んでも、ほとんどのレガシーソリューションを完全に機能させるには、かなりの調整と設定が必要になります。

しかし、本当の意味でクラウドネイティブなNGAVソリューションの導入では、このような面倒はなく、完全な実装に数時間しかかかりません。NGAVはクラウドに基づいているため、追加のハードウェアやソフトウェアの調達、インフラストラクチャの展開、新しいソリューションのアーキテクチャ決定などの必要がなく、継続的なメンテナンスやシグネチャ更新の手間もかかりません。

エンドポイントへの影響

いったん設置して運用を開始しても、エンドポイント上の従来型AVのフットプリントは、時間の経過とともにセキュリティ機能が非効率的に追加されるためエージェントが肥大化して非常に大きなものとなり、パフォーマンスに悪影響を及ぼす可能性があります。さらに、シグネチャに依存しているため、シグネチャデータベースを常に更新して、最新の追加シグネチャを含める必要があります。これらの更新は大量のリソースと時間を消費し、更新が完了した瞬間にすでに古くなっています。

NGAVソリューションは単一の軽量エージェントを採用するように設計されています。このようなエージェントは、本質的に邪魔にならず、エンドポイントへの影響を最小限に抑えます。

詳細情報

当社の『アンチウイルス置き換えガイド』をダウンロードしてください。意思決定プロセスの各段階をガイドする、主要なセキュリティ専門家からの詳細な情報にアクセスできます。ガイドのダウンロード

NGAVソリューションに求められるもの

攻撃者が組織を侵害するために使用する戦術、手法、手順(TTP)には、コモディティマルウェア、ゼロデイマルウェア、さらには高度なマルウェアフリー攻撃などが含まれますが、これらは急速に変化します。効果的なNGAVソリューションは、革新的なテクノロジーを使用してこれらを防ぎます。侵害防止機能として、次が求められます。

1. 既知および未知のマルウェアの防止

a. シグネチャレスマルウェアからの保護

シグネチャレスマルウェアからの保護では、機械学習アルゴリズムを使用して、ファイルが悪意のあるものである可能性を判断します。新しい脅威は即座に阻止されるので、価値実現までの時間はゼロに短縮されます。

b. 機械学習

機械学習は、ネットワークに接続されていてもいなくても、エンドポイント上の既知および未知のマルウェアの両方を検知して防止できます。攻撃の兆候をより迅速かつ完全に検知して、ランサムウェアを排除するので、従来型AVでは残されていたギャップを埋めます。

2. マルウェアフリー攻撃の防止

a. 攻撃の痕跡(IOA)

IOAは、エンドポイントイベントの相関関係を調べ、悪意のあるアクティビティの兆候であるステルスアクティビティを検知します。IOAの検出を遡及的なオフライン分析に依存しているソリューションは、新たに出現してくる脅威に追いつくことができないだけでなく、管理に多大なリソースを必要とします。有用な分析の実行に機械学習を使用し、データセット全体を必要としないオンラインアルゴリズムは、より高速で、効率的かつ効果的です。

b. エクスプロイトブロック

マルウェアは常にファイルで配信されるとは限りません。マクロ、インメモリ実行、および他のファイルレス手法を利用する攻撃が現れ、増加しています。エクスプロイトブロックは、エクスプロイトの発生時にそれを検知し、ブロックします。

3. 脅威インテリジェンスの統合

脅威インテリジェンスの統合により、環境内の脅威の出所、影響力、重大度が直ちに評価されます。そして、ベストな対応と改善方法についてのガイダンスが得られます。

4. クラウドネイティブ

クラウドアーキテクチャは、真の次世代AVを提供する上で重要なコンポーネントです。クラウドベースのNGAVは、数秒で完全に動作させることができます。再起動、シグネチャの更新、構成、インフラストラクチャの購入などは必要ありません。アルゴリズムは、エンドポイントのアクティビティが発生したときに処理し、エンドポイントのパフォーマンスに影響を与えることなく、悪意のあるファイルや疑わしい振る舞いをほぼリアルタイムで明らかにできます。

専門家からのヒント

従来のアンチウイルスでは、悪意のあるソフトウェアの39%が検知されないことをご存知ですか。現在使用しているアンチウイルスソリューションのパフォーマンスを比較して、現在のAVに何が欠けているか確認してください

NGAVの仕組み

NGAVは、新しいテクノロジーを使用し、従来のAVとは根本的に異なる方法でエンドポイントを保護します。クラウドベースのアーキテクチャで機械学習アルゴリズムを使用することにより、NGAVは、現在典型的な、急速に進化する脅威を阻止できます。

仕組みには次のようなものが含まれます。

1. 単一の軽量エージェント

クラウドベースのアーキテクチャと単一の軽量エージェントにより、エンドポイントへの影響はほとんどありません。セキュリティのためにパフォーマンスを犠牲にする必要はありません。

2. 最先端の侵害防止機能

真の次世代アンチウイルスは、マルウェアをブロックするだけでなく、攻撃者が使用する戦術、手法、手順(TTP)には関係なく、マルウェアレス攻撃を阻止する高度な防止ツールと方法を使用する必要があります。これらの方法とツールには、機械学習、エクスプロイトブロッキング、カスタムホワイトリストとブラックリスト、攻撃の痕跡(IOA)、攻撃属性情報、アドウェアブロッキングなどが含まれます。

3. シグネチャの更新を必要としない

機械学習は、洗練されたアルゴリズムを使用して数百万のファイル特性をリアルタイムで分析し、ファイルが悪意のあるものであるかどうかを判断できるようにします。シグネチャレステクノロジーにより、CrowdStrike Falcon®のようなNGAVソリューションは、エンドポイントがクラウドに接続されていない場合でも、既知および未知のマルウェアの両方を検知してブロックできます。

4. オンラインとオフラインの防御

CrowdStrike Falcon®インテリジェントエージェントは、オンラインかオフラインかを問わず保護を提供し、エンドポイントでのデータ処理と意思決定をサポートします。これにより、高精度の検知と防御が可能になるだけでなく、オンラインでもオフラインでも、あらゆる条件下でエンドポイントを保護します。

5. 即座に価値を実現

NGAVソリューションは、ハードウェアやソフトウェアを追加したり、チューニングや構成を行ったりすることなく、数時間で展開して運用できなければなりません。お客様からは、1日に70,000件ものエージェントがインストールされているという報告があります。

6. 管理の負担がない

NGAVソリューションは、複雑にならずシームレスに環境に統合できるように設計されています。オンプレミスの管理インフラストラクチャは必要ありません。

7. 統合

NGAVソリューションは既存のSIEMに容易に統合できます。クラウドストライクのFalconセンサーは収集されたイベントをエンドポイントから取得し、Falcon APIは既存のサードパーティインテリジェンスおよび侵害の痕跡(IOC)と統合されるため、組織内でセキュリティ投資全体を最大限に活用できます。

詳細情報

次世代アンチウイルス(NGAV)テクノロジーは、攻撃者からの防御が必要な中小企業での防衛最前線です。クラウドストライクのNGAVソリューションを使用すると、Falconプラットフォーム上で数分で稼働を開始できます。高価なインフラストラクチャや専任のIT管理者が日常業務に必要になることはありません。表示:中小企業のためのアンチウイルスソリューション

古くなったアンチウイルスの交換

CrowdStrike Falcon Preventは、防御のための新しい標準装備です。マルウェア、エクスプロイト、マルウェアフリーの侵入、その他の持続的標的型攻撃(APT攻撃)に対して優れた保護を提供します。試行された攻撃が、前例のないようなレベルで読みやすいプロセスツリーとして組織内で可視化され、エンドポイントで起きている出来事と効果的に修復する方法を理解するために必要な詳細とコンテキストが示されます。

クラウドストライクの次世代AVソリューションが優れた保護を提供し、侵害の防止をサポートする方法については、以下の動画をご覧ください。

Falcon Preventは、エンドポイントには実質的に何の影響も与えず、数時間もあれば数万件のエンドポイント上で完全に動作できます。展開すると、管理と処理はクラウド内で行われ、既存のSIEMと簡単に統合できます。

詳細情報

Falcon Preventのデータシートをダウンロードして、組織を侵害から保護する製品の機能と、弊社のNGAVソリューションがAVの代替として業界で認められている理由をご確認ください。データシートのダウンロード

無料トライアル開始

GET TO KNOW THE AUTHOR

アン・アーネス(Anne Aarness)は、カリフォルニア州サニーベールを拠点とするクラウドストライクの製品マーケティング担当シニアマネージャーです。