2023年のビジネス戦略を発表、企業が「ビジネス目標」起点でセキュリティ対策を検討するメリットを語る
WithSecureが提唱する「アウトカムベースセキュリティ」アプローチとは
2023年02月27日 07時00分更新
ランサムウェアが暗号化したファイルを即時ロールバックする新技術
WithSecureでは同日、マルウェア感染後のロールバックを可能にする新技術であるActivity Monitorを開発し、サーバー向けEPP製品の「Elements Endpoint Protection for Servers」に初めて実装したことを発表した。説明会ではその技術解説やライブデモが披露された。
WithSecure リードリサーチャーのブロデリック・アキリーノ(Broderick Aquilino)氏は、Activity Monitorは従来のサンドボックス技術と似たような環境を、ユーザーエクスペリエンスを犠牲にすることなく実現する技術だと説明する。
具体的には、未知のコードを実行する前にあらかじめ一部のファイルやシステムのバックアップを作成したうえで、セッションを監視しながらそのコードを実行する。Activity Monitorが有害な可能性のある振る舞いを検知した場合は、コードをブロックしたうえで、ファイルやシステムをロールバックするという仕組みだ。これにより、サンドボックス技術で問題となる正当なコードの実行待ち時間や大きなリソース消費、システムのスローダウンなどを回避しつつ、強力な保護機能を提供できるとしている。
「既存技術のDeepGuard(振る舞い検知技術)、SandViper(サンドボックス技術)とも、非常に有効に機能する一方で課題もあった。Activity Monitorはそれらの“いいところ取り”をしたような技術だ」(アキリーノ氏)
新技術「Activity Monitor」の概要
Activity Monitor技術は、Elements Endpoint Protection for Serversの新機能である「Server Share Protection」において今回初めて実装された。この機能は、Windowsファイルサーバーの共有フォルダが、ランサムウェアに感染したネットワーク内のPCから暗号化されないよう保護する機能である。
Server Share Protection機能のライブデモ。(左画面)PCでランサムウェアが実行され(左ウィンドウ)ローカルファイルだけでなくサーバー上の共有フォルダのファイル(右ウィンドウ)も暗号化された。(右画面)異常な振る舞いを検知したServer Share Protectionが共有フォルダ内のファイルを復元した
Server Share Protectionのアラート表示。感染元のユーザー名やランサムウェア名も表示されている
アキリーノ氏はActivity Monitor技術の今後の展開として、たとえば有害な振る舞いを検知したタイミングでネットワーク送信に制限をかけ、機密情報漏洩を防ぐといった機能も考えられると話した。他の既存技術とも併用可能であるため、PC向けのEPPやEDRなどへの組み込みについても計画されている。
