メインコンテンツにスキップする
Technology

アダプティブアノマリーコントロール

この方法では、シンプルな強靭化ルールとふるまい分析に基づくスマートな自動チューニングを組み合わせて、攻撃を受ける面を減らします。

攻撃を受ける面を減らす(強靭化する)ことは、非常に効果的で安価な防止手法です。システムの脆弱性や過剰な機能について把握していれば、これらの欠陥の悪用につながる可能性のある動作を事前にブロックできます。

ただし、このような方法を日常的に使用することにはデメリットがあります。まず、全面的な制限では特定のシナリオが無視されるため、正規のユーザーが違反の対象になる可能性があります。例えば、MS Wordドキュメントのマクロを使用すると、ドキュメントから直接PowerShellを実行できますが、この「便利な」機能により、多くのマルウェアが蔓延しています。しかし、社内全体でマクロを使用できないようにブロックすると、財務部門の従業員から不満が出てくる可能性があります。彼らは、MS Wordドキュメントでマクロを使用する必要があるからです。

もう1つの問題は、手作業による強化には多くの専門的な労力がかかることです。経験豊富な管理者であっても、さまざまなグループやアプリケーションですべてのブロックルールを調整するには、非常に長い時間がかかります。これに加えて、新たな脅威やインフラストラクチャの変更により、これらのセキュリティポリシーを定期的に見直す必要もあります。

アダプティブアノマリーコントロール(AAC)は、Kaspersky Endpoint Securityのソリューションの新しい保護モジュールであり、攻撃を受ける面を自動的に減らすためのスマートなツールです。このテクノロジーでは、システムの脆弱性や過剰な機能の悪用を防ぎながら、個人またはユーザーのさまざまなグループのさまざまな固有の要件に合わせて、システムの強靭化をカスタマイズできます。



アダプティブアノマリーコントロールモジュールの主な機能:

(1)効果的なコントロールルールの包括的なセット。機械学習の手法によって取得されたデータに基づいて、カスペルスキーの専門家によって作成されます。ふるまい分析アルゴリズムでは、システム内の不審な動作の新しい潜在的なヒューリスティックを見つけることができますが、それらの動作は特定の状況では正規の動作になる場合もあるため、全面的なブロックは使用できません。ただし、そのような例外を専門家が定義し、「ピンポイントで特定」することで、このような潜在的なヒューリスティックを、完全に機能する強靭化のルールに変えることができます。

疑わしいふるまいの一般的な例は、Windowsセッションマネージャー、ローカルセキュリティ機関のプロセス、Windowsスタートアップアプリケーションなどのシステムプロセスによってアプリケーションが起動される場合のふるいまいですが、例えば、Windows OSの起動時は、これらは正規の動作になります。専門家の仕事は、これらの条件を特定し、システムプロセスによるアプリケーションの実行をブロックするコントロールルールを作成することですが、OSの適切な動作を可能にする適切な例外も必要です。

(2)適応の自動化(スマートモード)。ユーザーアクティビティ分析に基づいています。これにより、コントロールルールを手動で構成する必要性が大幅に減ります。最初に、AACモジュールが学習モードで動作を開始し、特定の期間にトリガーされたコントロールルールに関する統計データを収集して、ユーザーまたはグループの通常のアクティビティモデルを作成します(正規のシナリオ)。次に、防止モードで、このグループまたはユーザーのシナリオに対して、異常な動作をブロックするルールのみをシステムが有効化します。何らかの理由で通常のアクティビティのパターンが変更された場合は、AACモジュールを学習モードに戻して、新しいシナリオを作成できます。

例えば、電子メールの添付ファイルが危険であるという1つの指標は、アーカイブ内のJavaScriptの存在です。財務部門の従業員は、そのようなアーカイブを通常の場合やりとりする必要はありませんが、このような状況は、開発者においてはよく行われます。アダプティブアノマリーコントロールは、例えば、財務部門のユーザーグループではアクティブなコンテンツの添付ファイルをブロックし、別のユーザーグループ(開発者)ではブロックしないなど、検知シナリオに応じて、添付ファイルをブロックするかどうかを判別します。

(3)微調整。ブロックする動作が特定のユーザー、アプリケーション、デバイスの正規の動作の一部である可能性がある場合、システム管理者は、自動モードを使用すると同時に、ブロックルールのアクティブ化を管理し、個々の例外を作成できます。

例えば、拡張子が二重のファイル(img18.jpg.exeなど)の実行をブロックすることは、99%のケースで正しいコントロールルールになりますが、一部のシステムでは、拡張子が二重のファイルが正規に使用される場合もあるため(update.txt.cmd)、管理者はこれに対応する例外を簡単に追加できます。

(4)複数のツールの相乗効果。アダプティブアノマリーコントロールモジュールは、ゼロデイ攻撃など、攻撃を受ける面や脅威にさらされる状況を減らすだけでなく、多層セキュリティプラットフォームの一部として、Kaspersky Endpoint Securityの連携機能のパフォーマンスも強化します。特定のAACルールのトリガーは、他の保護モジュールまたは専門家による疑わしいオブジェクトの詳細な調査を求めるためのシグナルとして機能できます。

関連するカスペルスキー製品

Kaspersky Endpoint Security for Business

企業を標的にした高度な脅威に対抗する適応型の保護
詳しくはこちら

WHITEPAPER
Preventing emerging threats with Kaspersky System...
READ MORE 

関連テクノロジー

ふるまいベースの保護

機械学習ベースのモデルを備えたThreat Behavior Engineにより、実行の早い段階で悪意のある不明なパターンを検知し、メモリ保護と修復エンジンにより、ユーザーデータの侵害と損失を防ぎます。
詳しくはこちら

アプリケーションコントロールとHIPS

重要なシステムリソースを起動、またはそれらのリソースにアクセスするアプリケーションの機能を制限することで、未知の脅威でも効果的にブロックできます。
詳しくはこちら