下一代反病毒(NGAV)

NGAV是如何工作的??

NGAVは、恶意软件とファイルレス攻撃を検出して防止することで機能します。実行前の手法を活用し、悪意のある行為者が意図的に使用する、あるいは適切な認証を得た人物が無意識に使用する戦術、技術、手順（TTP）や悪意のある行動から保護します。NGAV解决方案が検知と防止の目標をどのように達成するかを詳しく見てみましょう。

• 存储器注入对策は、ファイルレスの脅威による試行をブロックし、ファイルシステムからのコードの実行を回避します。存储器注入对策は、正当なプロセス中に発生する可能性のある悪意のあるコードのインジェクションを停止し、非表示にします。
• 防止恶意文档は、スクリプトや組み込みツールなどの機能を悪用しようとする悪意のあるドキュメントを破壊または無効化します。これにより、ユーザーは最新のアプリケーションの全機能を活用できるようになり、感染の心配が軽減されます。
• 环境寄生对策は、従来型の恶意软件を導入することなく、損害を引き起こす可能性のあるシステムネイティブツールの悪用を阻止します。脅威がこれらのネイティブツールを踏み台にして端点に感染できなくなります。
• オペレーティングシステムの認証情報ダンピング保護试图盗取资格信息，传感技术屏蔽掉。。 

GAV解决方案と服务のプロバイダーは、通常、ネットワークシステムや端点のパフォーマンスを妨げないように、技術を迅速に立ち上げ、運用できるように設計しています。

NGAV与传统AV的比较

NGAVについて議論するとき、依然として焦点となるのが最後の2文字「AV」です。「ウイルス対策」という用語が何十年にもわたってコンピューターを使用する社会の一部として使われてきたことから、現代のNGAVと従来のAVとの認識で異なる点について疑問を抱くのは当然と言えます。

AVは主に、端点の保護、時に大規模な重要インフラストラクチャの一部である影響を受けるデバイスの迅速な除去に重点を置いているため、影響を受けないデバイスに大きな混乱を引き起こす場合があります。これにより、企業は重大な財務的および評判上の損害を被る可能性があるのです。

NGAVは、こうした従来のAVプロセスを超えて、端点エコシステム全体にわたってファイルレス恶意软件を含む多様な攻撃屏蔽掉。。NGAVの主な目標は、ネットワーク全体の重要な端点に到達する攻撃を検知し、阻止することであり、加えて、MLとAIの学習を通じて回避行為を阻止する上でも役立ちます。即使增加检测技术，恶意软件以及其他威胁的问题。。むしろ重要なのは、攻撃者を防戦一方にする防止に重点を置いたよりスマートな検知です。

最後の重要な違いは、前述の「学習」の概念にあります。従来のAVは端点に負荷がかかる可能性があり、システム固有の動作に適応する機能はありません。今后也不会改变。。他方、NGAVは、インストールされている端点、システム、ネットワークの過去の動作から学習します。このため、従来よりもはるかにキルチェーンの早い段階で回避行為を検出し、非常に効率的に脅威をブロックすることができます。

NGAV的优点？

従来のAVと比較したNGAVの利点は数多くあり、組織のネットワーク検知および対応 （NDR）プログラムを加速させることに役立ちます。

及早防止威胁

企業やセキュリティ組織が現代の脅威に立ち向かうためには、NGAVの検知を回避するテクノロジーを悪用する、悪質な攻撃者に打ち勝つ必要があります。 これには、キルチェーンで既知および未知の脅威を早期にブロックしたり、端点やディープシステムへのアクセスを遮断したり、 网络接入 完全阻止。。 従来のAVは通常、シグネチャベースの検出方法を使用しますが、NGAVはシグネチャベースの検出、AI、MLを組み合わせて、今日の攻撃者が使用するTTPを明らかにします。

端点可视化

前述したように、MLとAIは、保護対象のシステム内の特定の動作に適応する機能をNGAV解决方案に与えます。これにより、分析师は端点とネットワークシステムをより深く理解し、差し迫った攻撃の兆候となるテレメトリに基づいて脅威から防御し、より優れた保護を設計できるようになります。

迅速感受到成果

NGAV解决方案は通常、システムの動作を低下させず、セキュリティ担当者の生産性も低下させない軽量のアドオンテクノロジーとなるよう設計されています。通常、設置面積が小さいため、迅速に導入でき、重要な洞察を促進し、資産やプロセスの封じ込めの自動化などのアクションにより平均对应时间(MTTR)的缩短。。

传统AV的进化

NGAV解决方案は、運用コストが低く、より効率的な威胁情报と検知機能、包括的な対応範囲を備えるため、通常、技術スタック全体のさらなる統合を目指すセキュリティ専門家にとって理想的です。NGAVは、組織がすでに導入している既存の検知対応（D&R） 解决方案の付加価値として、セキュリティ慣行間のサイロの打破を加速することができます。这是因为资源不足セキュリティオペレーションセンター （SOC）にとって、生産性や効率性向上、成長の原動力となる可能性があります。

NGAV解决方案:需要考虑的问题

他の解决方案と同様、とりわけ名前に「次世代」という語が含まれる流行の解决方案を購入する場合には、さまざまな選択肢とベンダー候補があります。したがって、独自の環境に合わせてNGAV解决方案を調整できる解决方案を見つける方法を知っておくことが最善です。

• 現在のAV解决方案をどのように使用していますか？この問いで重要となるのは戦略で、AVがどのように配備され、何を守るために構築されているのか、システムや計画はあるのかが焦点となります。標準のエンタープライズAVが実行中のシステムを保護するよう適切に設計されていない場合、再調整が必要となります。
• 各端点のAVのメンテナンスはどのくらいかかりますか？このページで詳説しているように、最新のNGAV解决方案は端点を超え、攻撃が個々のシステムに到達する前に未然に防ぎます。数百、数千もの複数の端点で実行されるAVを維持するようでは、AIとMLの実現するNGAVの予測効率は活用できません。
• 現在の端点活动をどの程度把握していますか？ 有能なチームであれば、ネットワークとその上の端点を十分に把握できますが、問題は、より多くのメリットを享受し、可視化でもたらされる洞察を活用して、より適切な計画を立て、積極的に防御できるかどうかです。
• CISOにとって運用コストの削減はどの程度重要ですか？この答えは明白に思えるかもしれませんが、サイロを打破し、機能を統合する総合的な解决方案が、マルチプロバイダ製品の維持と比較して、生産性の向上と全体的なコストの削減に寄与する例が増えています。個別の製品自体は効果的かもしれませんが、組織内の他のオーダーメイドの解决方案と併せて検討すると、従業員の側で遅延が生じる可能性があります。
• クラウドの運用/セキュリティの現状はどうですか？NGAV解决方案を導入するのに理想的な状態は、堅牢なクラウド運用がすでに行われている状態です。これにより、解决方案をほぼリアルタイムで稼働させ、すぐにメリットを実感できるようになります。

读下文

ウイルス対策： 最新のRapid7ブログ記事

Rapid7调查:metasploitフレームワークでのウイルス対策 （AV）回避技術のカプセル化