コラムCOLUMN
ストリーミングプリベンションとは

概要
Carbon Black 社により開発されたサイバー脅威の阻止を目的として開発された技術です。
「いつ」、「だれが」、「どこで」、「何をした」を追跡する「イベントストリーミング技術」を活用した阻止手法が「ストリーミングプリベンション」です。
解説
「いつ」、「だれが」、「どこで」、「何をした」を追跡し各行動に対しポイントを付与し、一定ポイントに達した行動を悪意のある行動として阻止する手法です。
これをサイバー攻撃に置き換えてみます。
- 「いつ」:タイムスタンプ(時間)→ポイント付与
- 「誰が」:プロセス(攻撃者の開発した悪意のあるプログラム)→ポイント付与
- 「どこで」: PC 空間(利用者の PC のアクセスできる範囲)→ポイント付与
- 「何をした」:データ(改竄、破壊、持出、増殖)→ポイント付与
上記情報をもとに集計したポイント数で元プロセスから派生したプロセス等をすべて脅威とみなし、プロセスを遮断します。
実際の攻撃例を参考に見ていきましょう。
- Web からダウンロードしたマクロ付ファイル
ポイントはまだついていない。 - PC の利用者は、ファイルを開く操作を行う
- PC のエクスプローラプロセスより起動する
この時:ポイントは 1 加算 合計ポイント: 1
記録開始 - 目的のファイルが起動した
- 裏で複数のプロセスが起動した
この時:ポイントは 2 加算 合計ポイント: 3
記録を続行 - 裏で動いているプロセスが、通信を始めた
この時:ポイントは3加算 合計ポイント: 6
記録を続行、監視を開始 - 裏で動いているプロセスが、PC内のファイルの検索を始める
この時:ポイントは2加算 合計ポイント: 8
記録を続行、監視を続行 - 裏で動いているプロセスが、PC内のファイルの送信を始める
この時:ポイントは3加算 合計ポイント: 11
指定ポイント合計を超えたので対象プロセスを停止
記録を続行、監視を続行、プロセスの遮断と記録の保存
- 裏で複数のプロセスが起動した
- 目的のファイルがシステムにより閉じられ、セキュリティソフトから警告が表示される
本ページは、情報セキュリティ分野で利用される範囲における用語解説を目的としている為、表現に正確性に欠ける場合がございます。あらかじめご了承ください。