新たなアプローチとは
新しいアプローチの鍵を握る考える方は2つ。1つは「監査、パッチおよびブロック」。防御者の立場から多重防御を考えるものだ。2つ目は「検出、解析および修正」だ。これは、攻撃者の立場でサイバー攻撃の対策を考えるもの。
「あらゆる最前線で些細な兆候を監視する手法」(Skocich氏)だ。攻撃メールが個人に届いたときのイメージで説明するとこうなる。
最初の段階は「侵入」。悪意のあるファイルを添付したメールがFacebook、Twitter経由でユーザーに送信された場合。この時点で、送信元や文面に怪しい点がないかを確認する必要がある。
次の段階が「つかみ」。メールを開いてしまった際に、通常とは違うコマンドが作動するなど異常なシステム動作とネットワーク通信があるかどうかを確認する。不自然なほどレスポンスの早いメールが届いていないかなどもチェックの対象だ。
さらに「展開」。メールを閲覧しているデバイスが奇妙なパターンで内部ホストに接触し、ウイルスを展開していないかなどを監視する必要がある。
キーワードは「収集」「抜き出し」と続く。異常なユーザー動作とデータアクセスパターンなどの情報を収集。さらに攻撃者は、ストリーム単位でデータを未知のホストに移動させるプロセスを踏む。これをチェックしなくてはならないという。