ネットワークのコントロール
モダンマルウェアは、感染や進行中の命令と制御にネットワークを使うため、ネットワークは明らかに、ポリシーの決定的な執行ポイントである。アプリケーション許可のポリシーが適用されている場合、IT部門は注目点を変えて、許可されたトラフィック内のコンテンツを調査することができる。この調査では、トラフィック内に既知のマルウェア、命令と制御のパターン、エクスプロイト、危険なURL、危険またはリスクの高いファイル型を発見することがある。可能ならば、トラフィックのコンテンツに注目したポリシーは、単一の統合されたポリシーの一部とするべきで、そこではルール(およびそのルールの結果)すべてを、文脈の中で見られるようにする。
もし、コンテンツのポリシーが複数のソリューション、モジュール、モニタにまたがっていると、それらを総体として論理的ポリシーとして運営するのはIT部門のセキュリティスタッフにとってたいへんな作業になってくる。またこれらのポリシーを実際に適用してうまく働くかどうか予測することも同様に難しい。
目標は、明文化されたポリシーを作成することであり、それは、ポリシーの意図を誰かが口述したことを書き留め、それを反映したようなものであることが望ましい。たとえば、「指定された従業員のみにSharePointを使うことを許し、エクスプロイトとマルウェアについてすべてのSharePointのトラフィックを検査し、X、Y、Zの型のファイルの転送は禁止し、信頼できないゾーンに宛てたトラフィックについて“秘密”という単語を検索する」といった具合だ。
ネットワークポリシーのその他の要素として、トラフィックの内容の可視性を維持する必要性がある。インターネット向けの通信では、SSLの使用が増大している。これにより、特定のセッションにプライバシーが提供されるわけであるが、IT部門がSSLトンネルの内部を見る能力を持っていないと、SSLはネットワーク環境にマルウェアが導入される不透明なトンネルを提供することになってしまう。IT部門がSSLの中を見る必要性と、エンドユーザーのプライバシー確保と、ネットワークの全体的なパフォーマンスの必要性をうまく釣り合わせなければならない。
この理由から、一部のアプリケーションとURLカテゴリについてSSL復号化のポリシーを適用することが重要である。たとえば、ソーシャルメディアのトラフィックは復号化されてマルウェアのチェックがなされる可能性があり、財務関連や健康診断のサイトは暗号化したままにするといった具合だ。
この連載の記事
-
第6回
TECH
最新セキュリティ技術WildFireとは? -
第4回
TECH
次世代ファイアウォールはどのようにマルウェアを撃破する? -
第3回
TECH
なぜ従来型のセキュリティ手法ではだめなのか? -
第2回
TECH
ボット、ボットネット、ボットハーダーについて知る -
第1回
TECH
セキュリティにおける最新の脅威とは? -
TECH
モダンマルウェアの脅威と対策 - この連載の一覧へ