公開日: 2021年12月20日
寄稿者 グレッグ リンデマルダー、アンバー フォレスト
次世代アンチウイルス(NGAV)はクラウドベースのテクノロジーで、人工知能、機械学習、行動分析を使って、マルウェアやその他の種類のサイバー脅威からエンドポイントを保護します。
シグネチャベースの検知に依存して既知の脅威を特定する従来のウイルス対策ソフトウェアとは異なり、NGAV は未知のマルウェアの脅威や悪意のある動作を発生時にほぼリアルタイムで検知できます。 このようにして、ランサムウェア、スクリプト攻撃、ファイルレス マルウェア、ゼロデイ脆弱性などの現代の脅威に対して、より効果的な方法を提供します。
IBMセキュリティ トピックの最新情報を購読する
従来の AV ソリューションは、マルウェア シグネチャとヒューリスティックのデータベースを利用して、デスクトップ コンピューター、ラップトップ、タブレット、スマートフォンなどのエンドポイント デバイス内のウイルスを検知します。 これらのシグネチャは、実際にはウイルスが存在する可能性を示すファイル内の文字列です。
このアプローチでは、シグネチャ・データベースにまだ識別も分類もされていない潜在的な脅威に対して、エンドポイントが脆弱なままになってしまいます。 これではシグネチャを頻繁に更新しても、新しいまたは未知の悪意のあるファイルが検知されない可能性があります。
対照的に、次世代アンチウイルスソリューションは、行動検知を使用してサイバー攻撃に関連する戦術、技術、手順(TTP)を特定します。 機械学習アルゴリズムは、イベント、プロセス、ファイル、アプリケーションの悪意のある動作を継続的に監視します。
未知の脆弱性がゼロデイ攻撃で初めて標的にされた場合、NGAVはその試みを検知してブロックすることができます。 NGAVはまた、Windows PowerShellやドキュメントマクロを悪用したファイルレス攻撃や、ファイルレスマルウェアを実行するリンクをクリックさせるフィッシングメールなども防ぐことができます。
クラウドベースのテクノロジーである NGAV は、従来のウイルス対策ソリューションよりもデプロイと管理が高速かつ簡単で、コスト効率が高くなります。 エンドポイントのアクティビティを監視し、即時インシデント対応を行う機能により、ハッカーがシステムに侵入するためにハッカーが使用する攻撃ベクトルの多くをブロックできます。
クラウドベースのNGAVは、従来のAVよりもはるかに迅速かつ簡単に、より少ないリソースでデプロイ、更新、管理ができます。 追加のハードウェアやソフトウェアをインストールする必要はなく、シグネチャの更新を継続的に管理する必要もなく、エンドポイントのパフォーマンスにほとんどまたはまったく影響しません。
従来のウイルス対策ソフトウェアは、以前に識別されデータベースに入力された既知のマルウェア シグネチャのみを検知できます。 NGAVは、エンドポイントの動作をほぼリアルタイムで監視および分析し、ゼロデイ攻撃を含む既知と未知の両方の脅威を検知してブロックします。
NGAVは、セキュリティ チームに、急速に進化する高度な脅威に対してプロアクティブに防御する機能を提供します。 時間の経過とともに、機械学習アルゴリズムは、どのエンドポイントの動作が正常で、どの動作がサイバー攻撃の可能性を示しているかを特定する上でより効果的になります。
機能はベンダーによって異なりますが、ほとんどの NGAV ソリューションは次の機能を提供します。
NGAV は従来のウイルス対策ソフトウェアよりも効果的ですが、絶対確実というわけではありません。 場合によっては、誤検知が返されることがあります。 またはウイルスの検知に失敗します。 サイバー犯罪者やハッカーは、最新のウイルス対策保護テクノロジーを回避する新しい方法を継続的に作成およびテストしています。
エンドポイント デバイスでNGAVの防御が破られた場合、組織は多くの場合、エンドポイント検知、対応(EDR)、統合エンドポイント管理(UEM)、セキュリティ情報、イベント管理(SIEM)などの他のテクノロジーに頼ることになります。これらのセキュリティ ソリューションは、多くの異なるエンドポイントにわたるサイバー脅威の防止と軽減に対する、より広範なシステム全体のアプローチを提供します。
高度なモバイル脅威防御 (MTD) ソリューションを滞りなくデプロイして、モバイル環境全体をサイバー脅威やユーザーベースのリスクから保護します。
企業や個人、オンサイトやリモートなど、すべてのデバイスを単一のコンソールで管理・保護します。
ほぼリアルタイムで脅威を検知します。事前に構築された数千のユースケース、ユーザーとネットワークの動作分析、アプリケーションの脆弱性データ、およびnbsp X-Force® Threat Intelligence を使用して、数百万のイベントを分析します。
統合エンドポイント管理(UEM)を使用すると、ITチームとセキュリティ チームが 1 つのツールを使用して、ネットワーク上のすべてのエンドユーザー デバイスを一貫した方法で監視、管理、保護できるようになります。
SIEMは、セキュリティ チームがユーザーの行動の異常を検知し、AI を使用して脅威の検出とインシデント対応に関連する手動プロセスを自動化するのに役立ちます。
ネットワークのサイバーセキュリティ防御の最前線であるエンドポイント セキュリティは、ユーザーとデバイス (デスクトップ、ノートPC、モバイル デバイス、サーバー) をサイバー攻撃から保護します。