Oligo Securityは、アプリケーション層で脆弱性の悪用を試みられたときにそれをリアルタイムで阻止する新しい機能「Runtime Exploit Blocking」を発表しました。アプリケーションがどのように実行され振る舞うかについての可視化を提供することで、Oligoは実行ポイントで悪意のある活動を特定し、コンテナやプロセスを停止したり、アプリケーションに影響を与えたりすることなくブロックします。
攻撃者は組織への侵入に再現可能な悪用技法を利用しており、Mandiant社のレポートでは6年連続で脆弱性悪用が主要な初期アクセス方法であると報告されています。同時に、Anthropicの最近のProject Glasswing発表は、AI対応の攻撃者がゼロデイをこれまで以上に速度と精度をもって発見・悪用できることを示しています。それにもかかわらず、ほとんどのセキュリティプログラムはCVEの優先順位付けに依存してアプリケーションを保護し続けており、攻撃の発生時に阻止するのではなく、増え続ける理論的リスクのバックログを管理するよう強制しています。
「業界は依然として脆弱性管理の問題として悪用対策を解決しようとしていますが、AI対応の攻撃者はすでに先に進んでいます」と、Oligo SecurityのCEOであるNadav Czerninskiは述べています。「現代の攻撃は実行時に実行される再現可能な技法で構築されているため、それらを効果的に阻止する唯一の方法は実行時のコード実行を観察することです。この機能により、当社は顧客が高度な悪用を初めてのレベルの精度で、また稼働時間を中断することなく阻止できるようにしています。」
アプリケーション層での悪用の阻止
このリリースにより、Oligoはアプリケーション実行時を攻撃を阻止するための焦点として確立し、理論的脆弱性と実世界での悪用のギャップを埋めます。
アプリケーション動作をシステムレベルの活動と関連付けることで、Oligoは攻撃者の技法を特定し、稼働時間に影響を与えることなくそれらを阻止するために必要なコンテキストを提供します。
仕組み:
- 実行時実行可視化: 脆弱性が積極的に悪用可能かどうかを判断するためのコールスタック、関数呼び出し、およびデータフローを提供します。
- 実行時悪用検出: アプリケーション層の関数呼び出しとシステムレベルの活動を関連付けることで、悪用の試みを識別します。個別のアクションは正常に見えるかもしれませんが、特定の振る舞いシーケンスは悪用が実行を試みているときを明らかにします。
- 非破壊的ブロッキング: 基盤となるシステムコールをブロックすることで実行時点での悪用の試みを停止し、攻撃を防ぎながらアプリケーションが正常に実行し続けられるようにします。
- 技法ベースの保護: 個別のCVEではなく、攻撃のクラスに対して防御し、単一の保護ルールでゼロデイを含む脆弱性の全カテゴリーを軽減できます。
「Oligoのプラットフォームで最も印象的なのは、実行時のアプリケーション動作を理解し、実行レベルで何かが逸脱したときにそれを検出できる能力です」と、Salesforceの前チーフトラストオフィサーであり、サイバーセキュリティアドバイザーであるBrad Arkinは述べています。
「コンポーネントが突然しないはずのシステムコールを開始した場合、それは悪用の強い指標です。アプリケーションの他の部分が実行し続けている間にその特定の動作をブロックできることは、現代のセキュリティプログラムの要件となるべきゲーム変更的な機能です」とArkinは結論づけました。
