EDR（Endpoint Detection and Response）とは？（２）

こんにちは、えもんです。

遅くなりましたが、前回の続きです。

前回はEDRが取り上げられるようになった背景について説明しました。

今回はさらに深く掘り下げ、その機能について説明したいと思います。

EDRのDetection機能について説明します。

Detectionは検知機能のことを指しますが、一般的となったウィルス対策ソフトの検知とは異なるアプローチで検知します。

従来のウィルス対策ソフトはシグネチャと呼ばれるマルウェアの特徴的なパターンを記載した定義ファイルによって検知を実現しています。

これまではこれで十分に防御できていました。

しかし、近年ではマルウェアは使い捨てが常識となり、1日ごとにシグネチャの異なる新しいマルウェアが大量に作成されています。

下記、記事内でもマルウェアの96%は使い捨てとのデータがあります。

定義ファイルが作成される頃には、すでにそのマルウェアは使われなくなっている状況なわけです。攻撃者はこの世にまだ現れていないマルウェアを作成し、定義ファイル更新の前にターゲットを感染させます。

このように、ウィルス対策ソフトのみでは脅威の侵入を防ぐことができない状況になってきており、「攻撃を完全に防ぐ」という観点から、「感染を早期に把握し、対処する」という考え方が重要になってきました。

多くのEDRは端末内のプロセスやネットワーク情報を収集し、「攻撃の振る舞い」に近い疑わしい挙動を検知します。

①メールに添付されたエクセルファイルをクリックして開封

②エクセルファイルにはマクロがついていたため、マクロを有効化

③エクセルファイルからPowerShellが呼び出される

④外部への通信が発生

これら一つ一つの挙動は不審ではありませんが、連続すると標的型攻撃の初期潜入フェーズの挙動になります。

ファイルベースで検知するウィルス対策ソフトではこのような挙動の検知は難しいです。

EDRではこのような挙動の検知が可能となりますが、同時に過検知も多くなるため、 検知に対する運用を考えることが重要です。

「脅威度が高いアラートのみに対応する」や「ホワイトリストに登録する」などが一般的です。

次はResponse機能について説明します。EDRはレスポンス機能によって差が出ると言っても過言ではありません。

検知しても対処ができなければ、攻撃をそのまま見過ごすことになります。EDRで検知したものはEDRで対処する。

それを実現するのがインシデントレスポンス機能です。

一般的にEDRには端末をリモートでネットワーク隔離できたり、端末上で動いているプロセスを停止させる機能が備わっています。

リモートで端末に入り、任意のファイル取得やスクリプト実行が可能な製品もあります。さらには、脆弱性のチェックを行い、パッチを当てたりできる製品もあるようです。

個人的にはこのレスポンス機能を重視するかどうかによって導入する製品が変わってくると思います。

検知はシステムが行いますが、その対処はあくまで人が行います。豊富なレスポンス機能も使う人がいなければ宝の持ち腐れとなってしまいます。

自組織の熟練度に合わせて、「できるだけ手間をかけたくない」or「詳細な調査を自分の手で行いたい。」などコンセプトを決め、そのコンセプトに必要な機能を整理することが重要だと思います。

えもんブログ