マルウェアを含む全てのアプリケーションは、アクション、ファイル・サイズ、ファイル・ハッシュ、コンパイル・コードとは異なるパターンを持っています。このパターンをシグネチャと呼びます。シグネチャベースの侵入検知は、ネットワーク上のトラフィックを検査し、悪意のあるソフトウェア・シグネチャを検出します。従来型のマルウェア検出ですが、シグネチャベースの検出は正確で、サイバーセキュリティやデータ保護において実行可能です。
シグネチャベースの侵入検知とは?
シグネチャベースの侵入検知は、システム・アクティビティを既知の攻撃パターンやシグネチャのデータベースと比較し、悪意のある行動を検出することで脅威を特定します。
マルウェアは、他のプログラムと同様に、バイナリ・コンピュータ言語にコンパイルされます。コンパイルされたコードは、ハッシュ化して一意のシグネチャを作成することができます。しかし、他の特性でもシグネチャを作成することができます。マルウェアが実行するアクションとインメモリ・コードによって、固有のシグネチャが決まります。マルウェアの中には、メモリに保存された著者フレーズを表示するものもあれば、特定の場所に特定のファイルを保存するものもあり、特定のパターンにフィードされます。
最新のマルウェアは、多くの場合、コマンドアンドコントロール(C2)ロケーションと通信します。マルウェアには、作成者と通信するためのハードコードされた IP アドレスまたはドメイン名があります。攻撃者は、標的のマシンがマルウェアを実行しており、攻撃が成功したことを知ることができます。ファイアウォールと侵入検知システムは、これらの IP アドレスとドメインで通信する要求を検出し、疑わしい活動について管理者に警告します。
シグネチャベースの侵入検知の仕組み
シグネチャベースの侵入検知を使用するには、まずマルウェアのシグネチャを保存する必要があります。シグネチャはデータベースに格納され、通常は侵入検知プロバイダによって提供されます。指標として選択されたシグネチャは、オープンソースの場所で発見を共有することが多いセキュリティ研究者によって決定されます。例えば、一般的な YARA ツールを使用してマルウェアのシグネチャを分類し、作成することができます。
侵入検知システムは、ネットワーク・トラフィックを継続的に監視し、マルウェアのシグネチャを検出します。ネットワーク・トラフィックを侵入検知システム・データベースに格納されているシグネチャと比較します。トラフィックでシグネチャが検出されると、侵入検知は管理者に警告するなどのアクションを実行します。
シグネチャベースの侵入検知のメリット
シグネチャはマルウェアから構築されているため、他の異常ベースの検出よりもはるかに正確なシステムです。シグネチャは静的です。ただし、マルウェア作成者が変更やバリアントの導入を行わないため、更新されたデータベースによる侵入検知では誤検出はほとんど発生しません。誤検出は、侵入検知がアプリケーションに誤ってフラグを立てた場合に発生します。
シグネチャベース検出のもう 1 つの利点は、迅速で、ベンチマーク・データを必要としないことです。シグネチャは、最初にデータを収集しなくても迅速に特定でき、アクティビティがベンチマークと一致しないかどうかを判断できます。例えば、異常ベースの検出では、多すぎるアクセス要求がマルウェアなのか、それとも一般的なネットワーク・アクティビティなのかを判断する前に、ファイルに対するアクティビティのベンチマークが必要です。
シグネチャベースの侵入検知の限界
マルウェアのシグネチャを取得するには、脅威を認識する必要があります。ゼロデイ脅威は、未知の脅威であるため、検知するシグネチャはありません。ゼロデイ脅威ではシグネチャが不足しているため、シグネチャに依存する侵入検知ではシグネチャを検出できません。完全なカバレッジがなければ、このような侵入検知は管理者に誤ったセキュリティ意識を与える可能性があります。
シグネチャベースの侵入検知には、他の形態の侵入検知よりも多くのリソースも必要です。トラフィックは常にデータベース内のシグネチャのリストと比較され、シグネチャ・データベースには数百万ものアイテムが保存されている可能性があります。シグネチャを使用して侵入検知を行うには、データベースが一貫して更新されていることを確認する必要があります。クラウド・プロバイダは通常、アップデートを提供しますが、ローカル・ストレージでは、ネットワーク管理者による手動操作が必要になる場合があります。
ユースケースとアプリケーション
ローカルおよびクラウド・データを持つあらゆる業界は、シグネチャベースの侵入検知を活用できますが、多くの場合、データ保護の単一のコンポーネントとして使用されます。シグネチャベースの侵入検知は、誤検出をほとんど必要とせず、既知の脅威を即座に特定するのに役立ちます。例えば、医療従事者は、この種の侵入検知を使用して、既知のランサムウェアから保護することができます。ランサムウェアは、旧式のソフトウェアを使用していることが多い医療機関、病院、保険会社を主な標的とします。シグネチャベースの保護は、特に侵入防止システムとの組み合わせで、これらの脅威を即座に阻止できます。
カスタマーサービス機関も一般的な標的の 1 つです。顧客から送られてくる添付ファイルを確認する必要があるためです。添付ファイルにマルウェアが含まれている場合は、マルウェアのシグネチャが検出されます。侵入検知は、第三者の電子メールの添付ファイルがダウンロードされ、保存されるネットワーク・セグメントにとって重要です。
まとめ
ビジネス・レベルのサイバーセキュリティには、複数の保護層が必要です。シグネチャベースの侵入検知は 1 つのレイヤーですが、環境を完全に保護するには他のレイヤーも必要になります。シグネチャベースのセキュリティにより、データ侵害の大きな要因である既知の脅威から環境を守ることができます。
シグネチャやその他のセキュリティ分析を保存するには、堅牢なストレージ・システムが必要です。ピュア・ストレージは、複雑な侵入検知を備えた大規模な環境に適した速度と容量を備えています。ピュア・ストレージは Elasticsearch と提携し、高速な検索とスケーリングに対応するレジリエントなアーキテクチャを提供しています。
