ラベル ホワイトリスト の投稿を表示しています。 すべての投稿を表示
ラベル ホワイトリスト の投稿を表示しています。 すべての投稿を表示

2020年2月11日火曜日

ホワイトリストのハードル



前回、「ホワイトリストは育てていくもの」と題して、ハミングヘッズ社のホワイトリスト型セキュリティソフト Defense Platform (DeP) について述べましたが、その最後の部分で述べた「API ホワイトリスト方式のとてつもないハードル」について、書きたいと思います。

ホワイトリストにもレベルがあり、DeP は上層のアプリケーションレベルだけでなく、 API レベルでのホワイトリストが可能である、と示しました。この方法こそが、巧妙なマルウェアをも本当に阻止できる、おそらく今日では唯一の方法だろうと考えます。

7年ほど前。ハミングヘッズ社と同時期に、同じ方式にチャレンジした米国の会社がありました。しかし、そのプロジェクトは途中で打ち切りになりました。気が遠くなるようなハードルがあったからです。しかも、2つも。

1つは、API レベルで監視することの開発量の膨大さです。アプリケーションレベルでのホワイトリスト化はさほど難しいものではありません。しかし API レベルでホワイトリストを作成するとなると、いったいどれだけの監視ルーチンを組み込む必要が生じるか。なおかつ、それらを組み合わせてジャッジできるアルゴリズムも必要になります。これは、比較的短期に結論を求められる米国の会社においては「理論上は理想的と言えても、現実的ではない」と判断されたのだと思います。

さらに、決定的に、この方法が困難な点は... 仮に製品化に成功したとしても、その後のメンテナンスのヘビーさです。なぜならば、API の仕様は OS なら OS の、メジャーなアプリならそのアプリのバージョンアップなどにおいて、修正、進化していきます。API ホワイトリストの場合、その変化に追随していかなければなりません。この作業をこなしていくにはいったい何人のエンジニアを投入する必要があるのか?これは決定的なネガティブ要素でした。

ところが、ハミングヘッズ社は、20年前から電力会社向けに「情報漏洩対策ソフト」を開発提供しており、その当時から、機能テストを自動化する仕組みを試みていました。そのノウハウを使い、API ホワイトリスト製品においても、API との整合性を常に自動評価するシステムを構築したのです。今日では計5,000台のマシン(仮想マシン含む)をグリッド構成し、1日に90万項目もの整合性評価テストを自動で行っているのです。

例えば Windows OS のマイナーアップデート、Google アプリのアップデートなど、何が起きても即座に自動評価し、必要に応じて Defense Platform もアップデートされます。そしてそれはリアルタイムにユーザ側にインストールされている実行モジュールに反映され、ゆえに、まったくつけ入るスキの無い体制を実現しています。

これが、「唯一無二の存在である理由」です。

旧来の「ウイルス定義型方式」から脱却して、時代に即した「ホワイトリスト方式」を広めるべく、無償版が配布されています。(無償版の制約は登録できるホワイトリスト項目が 1,000個までに限定されているだけで、あとはフル機能を使えます)

無償版は下記からダウンロードできます:
https://www.act2.com/dep

インストールして使い始めると、最初のころは、動きを止めるアラートが頻繁に出てきます。しかしいったんホワイトリストに登録してしまえば、次からは止めようとしません。ですから、しばらくの間は根気よく「ホワイトリストを、あなた仕様に、育てる、鍛える」ことです。使えば使うほど、精度の高いホワイトリストが出来上がっていきます。

最初は少しとまどうかもしれませんが、よく考えてみれば、これが正しいことがよくわかります。「実行しても良い行為だけを許可し、それ以外は実行させない」ゼロデイアタックを確実に止めるにはおそらくこれしかないでしょう。


さて、話はすこしそれますが、当然、仮想マシンでも使うことができます。
Mac で Windows を使っているユーザさんには特におすすめです。

「ホワイトリストに登録されている動作しか許可しない」
Windows を使う目的がはっきりしている場合には特に安心です。
OS のアップデートをするのが遅くなってもウイルスやサイバー攻撃の被害に会うことはありません。

現実の世の中も、実はホワイトリスト型で動いています。
ブラックリストと照らし合わせて来客を招き入れる会社などありませんよね。
エアラインのレセプションカウンタもブラックリストと照らし合わせて搭乗券を発行しませんよね。
すべて、「OKが出ているかどうか」で判断されています。
PCもまたそうあるべきでしょう。

コンピュータウイルスが初めて登場したころは「ブラックリスト方式」で良かったのです。しかし状況は変わっていきます。今は「ブラックリスト方式」では被害を止められない時代に、我々はいるのです。

20200211
- k

2020年2月9日日曜日

ホワイトリストは育てていくもの

ウイルス定義型のアンチウイルスソフトには、たぶん、もう未来はないだろう...

なにしろ、マイクロソフト社が「ウイルス駆除は Windows OS に搭載されている Windows Defender で十分。サードパーティ製のアンチウイルスは入れないでほしい」とまで公言してしまったのだから。

ただ、問題は残る。

Windows Defender もまた「ウイルス定義型のアンチウイルスソフト」であり、したがって、"ゼロデイアタック" には効力が無い。

コンピュータウイルスというものが登場した昔は、その方法でよかった。

しかし、毎日毎日、35万個の新しいコンピュータウイルスが誕生している今日、それらを解析し、ウイルス定義ファイルに追加し、配布し...

この方法では追いつけるわけがない。

日々新しいウイルス、攻撃が発生する中で、コンピュータを守るには、逆の発想、つまり「ホワイトリスト型」しか手がないと思われる。

ホワイトリスト型とは、「悪いものを見つけて止める」のではなく「正しいと定義されているもの以外はすべて止める」という方法だ。

これが基本的なエッセンスなのだが、問題もある。それは「ホワイトリストの精度」である。

我々がこれを発表した 2014 年当時は、「ホワイトリスト」という言葉さえまだ耳慣れないものだった。

しかし、昨今では、我々だけでなく、他社もこぞって「ホワイトリスト型」を唱い出した。

やっと... 「ホワイトリストとは何か」という啓蒙活動をしなくてもよいところへ近づいてきた。

やっと... 本来の性能の勝負を主張すべき時が来た。

一口に「ホワイトリスト」と言っても、各社、千差万別である。

が、ほとんどは、アプリケーションレベルでのホワイトリストでしかない。

単純な例を挙げれば、Outlook, Word, Excel, Chrome browser... というように、アプリケーションのホワイトリストを作成するタイプが多い。

しかし、昨今のマルウェア(ウイルス等)は巧妙だ。

それらのアプリケーションに "寄生して" 悪さをするマルウェアで溢れている。
アプリケーション層だけでのホワイトリストは彼らにとってはなんの驚異でもない。

我々が提供しているハミングヘッズ社のホワイトリスト製品(ディフェンスプラットフォーム)は、アプリケーション層だけでなく、さらに深いところ(API (Application Programming Interface)) にまで掘り下げてホワイトリスト化を実現している。

また、H4E と名付けらた機能が "コマンドレベルでの動作" を監視している。
時々、「それはふるまい検知ではないのか」と尋ねられることがあるが、H4E はふるまい検知ではない。そもそも、ふるまい検知自体がパターンマッチングではないか。

H4E は一種の AI と呼んだほうが正しい。とても特殊なアルゴリズムだ。

いずれにしても、

ひとつ、大切なことがある。それは、

「ホワイトリストは育てていくもの」「鍛えていくもの」ということである。

スタート時点で、完璧なホワイトリストを作成することは容易ではない。

ディフェンスプラットフォームの場合、検知モードというモードがあり、一定期間(例えば1週間とか2週間とか)履歴取得だけの活動をする。
その履歴からまずベースとなるホワイトリストを作成する。

そして、本稼働に入る。検知モードの期間内に実行されなかった正しいプロセスもアラートの対象になる。そうした場合、それをホワイトリストに追加してやる。

マルウェアなどは完全にアラート対象になる。今、この瞬間に発生して解析されていない段階であっても。なぜならそれはホワイトリストには登録されていないのだから。

いかにも怪しい動きはブラックリストに入れて永遠に葬ればいい。

マルウェア状況は日々刻々と変わっていく。
だから、終わりのない戦いなのかもしれない。

こうして、「ホワイトリストを育てる、鍛える」という考え方が必要だ。

もちろん、サーバのように、実行されるプロセスが確定していてそれ以外はあり得ないような場合は、ホワイトリストの完成もすばやい。

そう。サーバーにこそ、ホワイトリストを入れるべきだろう。

ディフェンスプラットフォームのビジネスエディションが最近よく売れるのは、こうした認識が徐々に広まりつつある証だと思う。

ところで、

この方法には1つ、とてつもなく大きなハードルがある。だから、競合製品が出てこない。

それについては、次回、記載したいと思います。

2020/02/09
- k
(EOF)

2020年1月8日水曜日

DAY 008 - サーバにこそ、ホワイトリストを

ぼくらがホワイトリスト製品をリリースしたのは、2015年だったと記憶している。 あの頃はまだ、「ホワイトリストとは何か」から話をしなければならず、今にして思えば、世間一般には早過ぎた感がある。(コンピュータセキュリティの専門家の間では概念としては存在していたが) やっと最近はその説明をせずとも、「ホワイトリスト」という言葉が市民権を得てきたように思う。 一言に集約すれば、「実行してもよいパターン」ということです。 僕らが販売しているのは、国産(ハミングヘッズ株式会社製)の DeP (デップ、Defense Platform の略)という製品です。(Windows 用) 初めはクライアント版からスタートしたが、機能が強力過ぎて、慣れるまでにやや時間がかかる。 一方で「これはサーバには使えないのですか?」という問合せが増え始めた。 確かに。なんでこんなことに気づかなかったんだろう。 サーバマシンは役目が決まっているから、ホワイトリスト化もしやすいし、防御という面からは理想的

マイクロソフト社も「ホワイトリストを持っている」と主張していますが、問題は、どの程度の厳しいホワイトリストを作れるか

残念だがマイクロソフト社のホワイトリストは甘い。

一方、DeP のホワイトリストは、アプリ名だけで判断するようなスカスカなものとはわけが違う。API(Windows OS の最下位のコマンドレベルのプログラムインターフェイス)の挙動を完全把握して、「何が、何を、どこへ、どうしようとしているか」という API の連動プロセスレベルでリスト化できる。最初から明確にわかっているものはホワイトリスト(またはブラックリスト)にセットしておけばいいし、登録がない動きについては H4E と呼ぶ AI アルゴリズムが判断をし、アラートを出してくれる。

例えば、「あなた(管理者)が起動したプログラムが、あるファイルのデータをコピーしてどこかに保存する」ということはあり得るが、プログラムが勝手に起動して、または別のプログラムを起動させてファイルをコピーする」というのはあやしい。そうした場合は H4E と呼ぶ独自の AI アルゴリズムが「待った、をかける」あやしいものはいったん止めて、確認する。「職務質問」のようなものだ。

だから、導入時に、ある程度のホワイトリストを作成しておいて、あとはそのアラートをみて判断してやればいい。これが、昨年米国を震撼させた数々のランサムウェアをも止めた DeP のエッセンスだ。

もうすぐ、Windows 7 のサポートが終了する。(あと1週間後)
OS のサポートが終了するということは、わからないことがあった時に助けてもらえない、という程度では済まない。新たなセキュリティホールが見つかっても、もう、それを塞ぐパッチは開発されないのである。当然そこを突いたマルウェアが登場し、そのマシンは簡単に餌食にされる。これはIT管理者ならたいていの人がわかっている周知の事実であり、それが引き金になって、サーバの対策も見直そうという機運が高まっている。

ゼロデイアタック(生まれたばかりでブラックリスト方式では止められない攻撃)から身を守ることができる唯一の方法が「精密なホワイトリスト化」なのである。

NIST という米国の安全確保機構では、すでに数年前から、ホワイトリスト化による防御を勧告し、DeP はその厳しい仕様基準をクリアして認められた。

しかし、この開発の陰には壮絶としか表現できない開発現場の試練と挑戦があった。それがどんなものであったか、それを知れば、なぜ DeP をしのぐ製品が世界を見渡しても存在しないのか、よくわかる。長くなってしまったので、その話はまた機会をあらためたい。

今回は、「役目の決まっているサーバにこそ精密なホワイトリスト化を」というお話でした。

製品の詳細情報はこちらへ

2020/01/08
- k


2015年6月4日木曜日

日本年金機構の情報漏洩について:その2



6月3日の報道によると、今回の日本年金機構の情報漏洩には4通の不審メールが要因だとされている。

そして、機構は職員に対して、不審メールへの警戒を喚起したが、メールの件名を示さなかったことが被害につながった、と報じられていた。

なんとも、どこに責任の所在があるのか、まったく釈然としないコメントだ。
メールを警戒しなかった職員のせいにしたいのだろうか?


かつて、マーフィーもこう言っている:

Anything that can go wrong will go wrong.
Everything that can possibly go wrong will go wrong.

うまく行かなくなり得るものは何でも、うまく行かなくなる。
何事であれ失敗する可能性のあるものは、いずれ失敗する。



笑えない話になってきた。
人がいちいちメールをチェックするのか? ただでさえワケの分からないコンピュータの、マルウェアにかかわることなど、普通、わからんですよ。

システム側はこうした事故を未然に防ぐために最善の防御策を講じる義務がある。

だから、とりあえず、動作のホワイトリストでフロントラインを防衛しなければ。

昔ながらのウイルススキャンは事件後の犯人捜査みたいなものであって、犯罪を未然に食い止めるリアルタイム性は無いのです。

賢い皆さんはどうかホワイトリストを入れてください。
ハミングヘッズ社から無償で提供されています。

http://www.shinobi-whitelist.com/index_j.html

- MK
日本年金機構の情報漏洩その1




2015年6月3日水曜日

日本年金機構の情報漏洩、DeP なら阻止できた

2015年6月1日に発生した日本年金機構における 125 万件超の情報漏えい事件...
まったく、お粗末な話だ...

私は今日、ハミングヘッズ社を訪れ、エンジニアに確認した。
「DeP が入っていれば(もちろん SeP ならなおのこと)、こんなことは起きないですよね?」

エンジニアは明確に答えてくれた。
「その通りです」


ニュースメディアにさまざまな記事が掲載されていた。

「新種のウイルスだったから...」

そんなことはすでに何年も前から、わかっていた話だ。
未知のウイルスに対してどう防御するのか、そこを徹底的に対策せずにきたツケが回ってきたのだ。そして被害を受けるのは我々国民だ...

こういう事件を、いつものように、エライ人が出てきて頭を下げて、それで終わり。
という、そんなことでよいものなのか?

今の情報社会では、セキュリティは最重要事項であり、ゆえに、さまざまな開発会社が存在し、智慧をしぼり、腱鞘炎になりながらも、対策に「命をかけて」いる。


ともあれ、

なぜ、いまだに「未知のウイルスだったから...」などという言い訳が通るのか?

あの Symantec の VIP が去年の5月に、従来の方法では 45% しか阻止できない、と公言しているのに。


なんとも、やるせない。


私はこのブログの中で以前にホワイトリスト型のことを記載したけれども、何度考えても、サイバー攻撃を食い止めるには、ホワイトリスト方式が最適なのは間違いない。

ただ、それを実現できる会社が少ないから、一般に浸透していないから、管理者層は採用する「智慧と勇気」がないのだ。


アメリカではすでに、そういうムードになってきている。
先日のサンフランシスコでの世界最大の IT セキュリティカンファレンス RSA 2015 でも旧来のセキュリティツールはまったく関心を集められず、ホワイトリスト型のブースに人だかりができていた。


ハミングヘッズ社は先日、DeP の無償版の配布を開始した。
タダなんだから、とりあえず、それを入れて、PC のフロントラインで防御しましょうよ。
ウイルスのスキャンはその後でマシンを使っていない時間帯にでも走らせておけばいい。


DeP が入っていれば、その未知のウイルスがファイルを開こうとしたタイミングで食い止めるし、開かずに送信しようとしてもやはり止められる。あの事件は止められたのだ...


日本も一日も早く「ホワイトリスト型セキュリティ」が当たり前になってほしいと、切に願うばかり。


これを読んでくださった方は、どうか、
http://www.shinobi-whitelist.com/index_j.html
から無償のホワイトリストをダウンロードしてインストールしてください。

- MK

6月3日の報道によると、日本年金機構の情報漏洩には4通の不審メールが要因だとされているが・・・
日本年金機構の情報漏洩について:その2






2015年4月21日火曜日

訃報がメールで送られてきた!どうする?

昨日より「訃報」のマルウェアが話題になっている。

報道によると、「DragonOK」と呼ばれる、中国の攻撃者とみられる集団が、今年の1月から3月の間に国内の企業や組織に向けて「訃報」に見せかけて、新種のマルウェア「FormerFirstRAT」を送り込む攻撃を行ったことが発表されたようだ。

2015年3月9日月曜日

ネットバンキング:法人は被害にあっても補償されない



2015/03/04 の NHK の「クローズアップ現代」において、ネットバンキングにおけるサイバー犯罪が急増していることが報じられました。

2015年2月13日金曜日

【コラム】サイバーアタック… そもそも自分もその標的にされるのか?



サイバーアタックと一口で言っても、それを正確に説明できる人はどれくらいいるのでしょうか?私自身 100% 答えられる自信はありません。なぜなら、変化と進化が速すぎて、昨日の定義では今日は収まらいことが日常茶飯事だからです。

2014年10月14日火曜日

【だれでもわかる】ホワイトリスト方式とは

DeP がホワイトリスト型のセキュリティツールであることは前回述べました。
ここで、「ホワイトリスト方式って、ようするに、どういうこと?」という素朴な疑問を解いておきましょう。