Anti-Malware Solution- How Does It Work?

マルウェア対策の仕組み

マルウェア対策保護は、次の 2 つの異なる方法で機能します。

• ファイル内の悪意のあるコード行を検出します
• ファイルを分離するか、実行されないようにする必要があります

マルウェア対策が疑わしいファイルや危険なファイルを検出する具体的な方法には、いくつかの異なる形式があり、静的分析と動的分析の2つのアプローチパスが考えられます。

静的検出

静的 マルウェア 分析は、既知のファイルベースのマルウェアとの戦いにおいて重要な手法です。 マルウェアファイルのユニークな機能を手動で分析することに焦点を当てています。 適切な詳細な分析のために、セキュリティ担当者は通常、以下から引き出された各タイプのマルウェアファミリの複数のコピーに依存しています。

• オンラインリポジトリ
• ダークウェブ
• 感染したコンピュータ

ファイルサイズ、インポートおよびエクスポートされた関数、ハッシュ、印刷可能な文字列などの側面がすべてこの静的分析に引き込まれるため、マルウェアのアクションを理解し、共有可能な署名に照合することができます。

署名フォーマット

このプロセスでは、YARAのようなシグネチャ形式が重要な役割を果たし、アナリストがマルウェアファミリの説明を作成し、互換性のあるツールと共有できるようにします。 各YARAルールは、文字列のセットとブール式で構成されているため、より広範なコンテキストに関係なく、コードの性質を正確に検出できます。

このようにして、1つの企業だけに感染したマルウェアを分析し、業界全体の防御策に実装することが可能になります。

シグネチャベースの検出の有効性は、分析されたマルウェアサンプルの数に大きく依存します。 アナリストのサンプルセットが限られている場合、またはサンプルが 1 つしかない場合、結果として得られるシグネチャの効果は低下し、 誤検出の影響をはるかに受けやすくなります。

また、大きなファイルをすばやくスキャンするには、より多くのリソースが必要です。 ファイルスキャンをサイズに基づいて制限すると、パフォーマンスは向上しますが、検出プロセスにまったく新しい脆弱性が生じます。作成者は、ファイルを不要なコードで膨らませて検出を回避することで、これを悪用する可能性があります。

動的解析

ファイル 署名スキャン の静的分析に代わるものとして、ヒューリスティックがあります。 この新しいアプローチは、生のコードから推測しようとするのではなく、ファイルのリアルタイムの動作を分析することに重点を置いています。 これは、次のような高度な脅威手法への対応でもあります。

• コードの難読化
• 部分的には、新しいマルウェア株に対する標的型防御

ヒューリスティックは、 ユーザーとエンティティの行動分析(UEBA)の中核をなすものです:UEBAをより広範な組織に適用すると、UEBAはアルゴリズムに依存して、ユーザー、ルーター、エンドポイント、およびサーバーの行動を調査します。

動的ヒューリスティック分析とUEBA

しかし、UEBAが登場する前は、動的ヒューリスティック分析はサンドボックスに依存していました。 ランタイム環境のこの分離された遮断されたセクション内で、疑わしいファイルのコピーが実行されます。

その後、その活動が追跡されます。 ファイルがシステムログをたどり始めたり、不明なサーバーへの接続を確立しようとしたり、誤動作を行ったりした場合、マルウェア対策プログラムはそのファイルを悪意のあるものとしてタグ付けし、終了させ、会社のデバイスへのダウンロードを防ぎます。

しかし、サイバーセキュリティのいたちごっこが絶え間なく繰り広げられる中、一部の攻撃者は、悪意のあるファイルが最初にチェックを実行できることを発見しました。 サンドボックスに存在する可能性が高いかどうかを確立するために、完全に空の環境や新しく作成された環境を検出した場合、実行を拒否する高度なマルウェア株が増えています。

これにより、マルウェア対策の最も高度な形式であるUEBAにたどり着きます。

Gain Cutting-Edge マルウェア Protection with チェック・ポイント Harmony

エッジ デバイスがこれほどまでに露出したことはなく、 チェック・ポイントの 2024 年サイバーセキュリティ レポート では、国家規模の APT と不当な利益をむさぼる攻撃グループ全体で、今年最も重要な脅威アクターについて詳しく説明しています。

チェック・ポイントのマルウェア対策機能を直接確認したい場合は、 デモを予約 して、市場をリードするプラットフォームをご自身で探索してください。