今日の脅威環境では、攻撃者は彼らを阻止するために設計されたツール自体をますます標的にしています。その結果、組織はエンドポイントセキュリティを根本から再検討する必要があります。最近の調査では、多くの組織が異なるポイントセキュリティソリューションに依存しており、新しい脆弱性を導入することで攻撃対象を意図的に拡大していることが強調されています。また、信頼度の成長に関するギャップの拡大も明らかになっています。セキュリティ専門家の半数以上がエンドポイント防御に不満を報告している一方で、過去12ヶ月間に61%の組織がサードパーティのデータ侵害を経験しています。
この乖離により、より一貫性があり弾力性のあるアプローチへの需要が高まっています。セキュリティリーダーは、複雑さを増すのではなく軽減する統合ソリューションを求めています。LenovoはSentinelOneとAbsolute Securityと提携し、AI駆動の脅威防御とファームウェア埋め込み永続性を組み合わせた統一モデルでこのシフトに対応しており、セキュリティエージェントが攻撃を受けたり無効化されたりしても、保護が自動的に復元され継続的に強制されることを確保しています。
防御者が標的になった
長年にわたり、エンドポイントセキュリティ戦略は主に検出に焦点を当ててきました。アンチウイルスの展開、エンドポイント検出と応答(EDR)の進化、そしてそれらの防御がインストールされると運用可能のままであると仮定していました。その仮定はもはや成り立ちません。
今日の敵は単に検出を回避しようとしているだけではなく、セキュリティインフラストラクチャそのものを意図的に標的にしています。最新の攻撃キャンペーンでは、エージェントの停止、構成の脆弱性の悪用、正規のシステムツールの悪用など、エンドポイント保護プラットフォーム(EPP)を無効化またはバイパスするために設計された技術が増加しています。
この進化は、単純だが強力な認識を反映しています。それは、セキュリティツールを回避するよりも中立化する方が簡単であることがしばしばあるということです。エンドポイントエージェントが無効化されると、可視性が失われ、アラートが停止し、攻撃者は自由に活動できます。
これがエンドポイントエージェント改ざんの本質です。脅威の検出と対応を担当するソフトウェアを無効化、破損、または削除するための意図的な努力です。そしてそれは、最新のサイバー攻撃の最も効果的なエントリーポイントの1つになっています。
エンドポイントエージェントがどのように侵害されるのか
エンドポイントエージェントを改ざんするために使用される技術は異なりますが、共通の目的を共有しています。主な攻撃を実行する前にシステムをブラインドにすることです。ハイブリッドなAI加速の世界では、エンドポイントが攻撃対象です。エンドポイントが侵害されれば、AIガバナンス、ゼロトラスト、クラウド制御が損なわれます。
ほとんどの攻撃は権限昇格で始まり、多くの場合フィッシング、認証情報窃取、または未パッチの脆弱性の悪用を通じて達成されます。管理者アクセスを持つと、攻撃者はITオペレーターと同じようにセキュリティツールと相互作用でき、サービスの停止、エージェントのアンインストール、または構成の変更ができます。
別の一般的な戦術は「境地で生きる」です。敵対者がPowerShell、WMI、またはネイティブシステムユーティリティなどの正規のツールを活用してセキュリティ制御を無効化します。これらのツールは信頼できて広く使用されているため、悪意のある活動は日常的に見え、検出を複雑にします。
より高度な技術にはセーフモード悪用が含まれます。セキュリティエージェントの読み込みを防ぐ状態にシステムを再起動し、脆弱なドライバの持ち込み(BYOVD)攻撃は署名されているが脆弱なドライバを悪用してカーネルレベルのアクセスを獲得し、保護を終了します。
「構成と仮定」セキュリティの失敗
防御システムのターゲティングは、従来のセキュリティモデルのより深い欠陥を露出させます。保護がデプロイされると、それが有効なままであると仮定することです。
リモートワーク、分散されたエンドポイント、継続的な変更によって定義される環境では、その仮定は崩壊します。デバイスはネットワーク間をローミングし、オフラインになり、再イメージングされ、またはコンプライアンスから外れます。エージェントはドリフト、失敗、または完全に消えます。
これにより、「構成と仮定された」セキュリティと最新の環境が必要とするもののギャップが拡大します。継続的に検証され、積極的に強制される保護です。
課題は、もはや脅威を停止することだけではなく、それらを停止するために設計されたツールが常に存在し、常に機能し、攻撃からの回復が可能であることを確保することです。
Lenovoの答え:統合エンドポイントセキュリティと弾力性
この課題に対応するため、Lenovoは2つの補完的な機能を組み合わせた統合エンドポイントアプローチを開発しました。SentinelOneとAbsolute Securityを活用したThinkShield XDRです。
それらは一緒に、継続的な検出–保護–回復ループを形成し、攻撃を停止し、保護自体が永続的に無効化されないことを確保するために設計されています。
SentinelOneによるAI駆動の防御
Lenovoのソリューションの中核は、SentinelOneを活用したThinkShield XDRです。このプラットフォームは、予防、検出、対応、回復を、エンドポイント上で直接動作する単一のAI駆動エージェントに統一します。
クラウド接続または人的介入に依存する従来のツールと異なり、SentinelOneのエージェントはマシン速度でローカルに決定を下します。悪意のある動作を検出し、ランサムウェアをリアルタイムでブロックし、攻撃後に既知の良い状態にシステムを自動的にロールバックできます。
この自律モデルは対応時間を削減し、過度に拡張されたセキュリティチームの圧力を緩和します。また、デバイスがオフラインであるか制約条件または敵対的な環境で動作している場合でも、保護が有効なままであることを確保します。
ただし、この機能がいかに強力であっても、それはオペレーティングシステムレイヤーで動作しています。改ざんの潜在的なターゲットとなっています。
Absolute Security:OSより下の弾力性
ここはAbsolute Securityが弾力性の重要な層を追加するところです。従来のソフトウェアエージェントと異なり、AbsoluteはデバイスファームウェアにOSより下のレベルで製造時に直接埋め込まれています。これにより、オペレーティングシステムがワイプされたり、デバイスが再イメージングされたりしても永続するハードウェアアンカー制御プレーンが作成されます。
攻撃者がSentinelOneエージェントを無効化または削除した場合、Absoluteは変更を検出し、人間の介入なしに自動的にそれを再インストールします。この自己修復機能により、セキュリティ制御が継続的に復元され、暴露のウィンドウが閉じられます。そうすることで、EPPバイパスが壊滅的な失敗から非永続的で自己修正するイベントに変わります。
自己修復セキュリティアーキテクチャ
SentinelOneとAbsolute、そしてLenovoのThinkShieldポートフォリオを通じて提供されるこれらは、各コンポーネントが互いを強化する階層化されたアーキテクチャを作成します。
- SentinelOneはリアルタイムの脅威検出、対応、自動化された回復を提供します。
- Absoluteは、直接的な攻撃の下でさえ、これらの機能が存在し、運用可能であることを確保します。
組み合わせると、次のものが提供されます:
- ファームウェアからクラウドまでの保護。OSより下のセキュリティをアンカーしながら、エンドポイントとクラウド環境全体の可視性を拡張します
- 自己修復制御。重要なセキュリティアプリケーションを自動的に修復または再インストールします
- 継続的検証。保護が常に存在し、機能していることを確保します
- より速い回復。デバイスを最小限の中断で信頼できる状態に復元します
その結果は、より強力なエンドポイント弾力性、セキュリティギャップの削減、常時有効な保護です。
検出から耐久性へ
より広い意味は、組織がセキュリティについて考え方を根本的に変える必要があるということです。
検出だけはもはや十分ではありません。セキュリティ制御は耐久性がなければなりません。攻撃に耐える、自動的に回復し、継続的に有効性を証明できることです。
LenovoのThinkShieldフレームワークはこの進化を反映し、サプライチェーンの完全性からファームウェアレベルの永続性、AI駆動のエンドポイント保護まで、デバイスライフサイクル全体にセキュリティを埋め込みます。
エンドポイントセキュリティの未来
攻撃者がシステムと防御の両方を標的にしながら進化し続ける中で、弾力性は最新のエンドポイントセキュリティの決定的な要件になっています。
質問はもはやエンドポイントエージェントが攻撃されるかどうかではなくなっています。それは彼らが生き残るかどうかです。
SentinelOneの自律的でAI駆動の防御とAbsoluteのファームウェア埋め込み永続性を組み合わせることで、Lenovoは新しいモデルのための説得力のあるケースを作成しています。セキュリティがデプロイされ、継続的に検証され、自己修復し、根本的に破壊するのが難しい場所です。
防御者が標的になった環境では、そのシフトは可視性と沈黙、抑制と危険の間の違いになるかもしれません。
