.png)
安全なコード実行の未来: 共同 eBPF アプローチの採用
サイバーセキュリティでは、コードを実行するための堅牢で信頼性の高い方法を常に模索しています。eBPF (拡張バークレー パケット フィルター) や特殊なサンドボックス テクノロジーなどのツールが重要なソリューションとなっています。
ただし、2024 年の夏に開催された 2 つのイベントでは、これらのツールの長所と短所の両方が浮き彫りになりました。
- 2024年6月: 拡張されたバークリーパケットフィルター(eBPF)コード検証ツールのバグにより、主要なEDR(エンドポイント検出と応答)ベンダーのLinuxドライバーがLinuxカーネルをクラッシュさせ、Linuxの顧客の間で大規模な停止を引き起こしました。
- 2024年7月: 同じベンダーの自社開発の安全なコード実行環境のバグにより、アップデートによりカーネルがクラッシュし、システムが起動不能になりました。これにより、Windows の顧客にとってさらに大きな損害が大きく、広く知られる停止が発生しました。
これら 2 つのインシデントは、ライブ システムに低レベルのシステム更新を行う 2 つの異なる方法と、コード実行を安全に保つために統一されたオープンなアプローチを好む理由を示しています。
迅速なコード更新とシステムの安定性のバランス
今日の急速に変化する脅威の状況では、脅威が問題を引き起こす前に阻止するために、セキュリティ ツールにアップデートを迅速に送信することが重要です。これらのアップデートは、数分または数時間以内にすべてのセキュリティシステムに届く必要があります。EDRの「センサー」は、脅威がそのような量を必要とする場合、ベンダーによって1日に複数回リモートでライブパッチを適用する場合があります。
しかし、バランスがあります。
- オペレーティングシステムと密接に統合されているセキュリティツールに更新を送信すると、大規模な停止が発生することがあります。
- しかし、更新を待ちすぎると、マルウェアが拡散する可能性があります。
解決策は、コードの脆弱性を迅速に軽減するための安全でセキュアな方法を見つけ、オペレーティングシステムコードがセキュリティツールとインターフェースする場所を定義することです。
安全なコード実行ソリューション:高度なサンドボックスとeBPF
実行前にコードが安全で正しいことを確認するのに役立つ 2 つのテクノロジーが登場しました。
特殊なサンドボックス技術
サンドボックスでは、小規模で焦点を絞った仮想マシン (VM) と検証ツールを使用して、安全で承認されたコードのみが実行されるようにします。
これらの VM は、完全なオペレーティング システムを実行する従来のハイパーバイザー ベースのシステムとは異なります。代わりに、特定の仮想命令セット (VMware ではなく Java や JavaScript VM の動作など) を使用してプログラムを安全に実行するように構築されています。
検証者は鍵であり、実行前にコードをチェックして、安全で正しいことを確認します。このアプローチにより、潜在的に危険なアクションが分離され、コードを実行するための安全なスペースが作成されます。
サンドボックスで実行されるプログラムは、アセンブリ言語プログラムのようなものです。ほとんどのプロセッサで動作する小さな基本的な命令セットを使用します。このシンプルな設計により、コードが効率的になり、サンドボックスまたはカーネル環境で安全に実行できるようになります。
eBPF
拡張バークレーパケットフィルターは、特にLinuxシステムにおいて、より統合されたアプローチを採用しています。これにより、コードをカーネル内で安全に実行できるため、システムの安定性を損なうことなく、可視性と制御が向上します。
eBPF には、コードが安全であることを確認する強力な検証ツールが組み込まれています。これにより、安全でない命令を含むコードが実行されるのを防ぎ、コードを実行するためのより合理化された効率的な方法を提供します。
2024 年 7 月の IT 停止: 安全なコード実行について教えてくれたこと
保護が実施されていても、最近の出来事では、サンドボックス ツールと eBPF テクノロジーの弱点が明らかになりました。
Linuxの停止は、オペレーティングシステムの障害を引き起こしたeBPF検証ツールのバグが原因で発生したのは事実です。これは、eBPF のような高度なツールでも問題が発生する可能性があることを示しており、常に注意を払い、改善し続けることが重要です。しかし、eBPF 検証ツールを修正した結果は、コミュニティ ソリューションの一部であるため、将来に異なる影響を及ぼします。
検証ツールのバグが見つかったとき、コミュニティは迅速に協力して修正しました。この集団的な取り組みは、すべての人のeBPFを改善するのに役立ち、同様の問題が再び発生する可能性を低くします。
Windows 環境でのブルー スクリーン オブ デス (BSOD) インシデントは、メモリ エラーが原因で発生しました。これらのエラーは、特別なサンドボックス ツールとその検証システムの配列サイズが一致していないことが原因でした。インシデントを分析して軽減するための取り組みは、強力な検証プロセスを持つことがいかに重要であるかを示しました。これにより、脆弱性がシステムの安定性を損なうのを防ぐことができます。
eBPF とは異なり、独自のサンドボックス VM および検証システムは、クローズド エコシステムで動作します。特定されたバグを修正することはできますが、これらの改善は単一のベンダーのユーザーにのみ役立ちます。このサイロ化された作業方法により、セキュリティ改善の共有が遅くなり、同様の問題が他の場所で発生する可能性が高まります。
統一されたアプローチに向けて: eBPF の事例
これらの対照的なインシデントは、安全なコードを実行するために共有されたオープンシステムを使用することの重要性を示しています。
eBPF の協力的なアプローチは、さまざまなプラットフォーム上のセキュリティ ツールを改善するための強力な基盤を構築します。オペレーティングシステムに組み込まれた単一のVMと検証ツールを使用することで、組織は、一貫性がなく、安全でない可能性のある複数の日曜大工システムを作成することを回避できます。
このアイデアの良い例は、eBPF を Windows に導入するために行われている作業です。オペレーティング システムに eBPF を追加することで、組織は低レベルのセキュリティ ツールを実行するための安全で標準化された環境を構築できます。この変更により、オペレーティング システムの安全性が向上するだけでなく、業界全体で eBPF の実証済みのアプローチの使用が促進されます。
安全なカーネル統合により、複数のオペレーティングシステムにわたるセキュリティ基盤を変革する取り組みは、このアイデアの可能性を示しています。これらのプロジェクトは、eBPF の機能を使用することで、セキュリティ ツールがさまざまなオペレーティング システム間で動作するための、より安全で接続されたシステムを構築することを目指しています。
eBPFがサイバーセキュリティの未来にとって何を意味するか
セキュリティツールに関する最近の問題は、eBPFの採用がサイバー業界にどのようなメリットをもたらすかを示しています。オープンで協力的なモデルにより、組織は eBPF をソリューションに統合することの潜在的な利点を検討する可能性があります。
eBPF を使用すると、カーネル パニックなどのシステム クラッシュの責任はオペレーティング システム プロバイダーに移ります。これらの問題に対処し、システムを安全かつ安定に保つための設備が整っています。
また、信頼できるオペレーティングシステムプロバイダーに頼ってeBPFを安全に保つことで、組織はより高速で信頼性の高いアップデートを顧客に提供することに集中できます。この方法は、セキュリティを犠牲にすることなく迅速な改善を可能にするという目標をサポートします。
アップデートを起動する前に慎重にテストすることは依然として重要ですが、eBPF の組み込みの安全機能を使用すると、システムの実行中に問題が発生する可能性を大幅に減らすことができます。
コラボレーションの受け入れは、安全なコード実行の未来です
コード実行の問題に起因する最近のインシデントは、堅牢で信頼性の高い環境を維持することの複雑さを示しています。
独自のサンドボックス VM と検証ツールは、組織により多くの制御とカスタマイズを与える可能性がありますが、より広範なセキュリティ改善からも遮断されます。一方、eBPF のオープンで協力的なアプローチにより、継続的な改善とセキュリティ上の利点の共有を可能にする、より強力なシステムが作成されます。
業界が進化するにつれて、コラボレーションや標準化を促進する eBPF などのモデルを使用すると、より強力で安全なシステムを構築することができます。組織は、コミュニティの共有知識を使用してセキュリティを向上させるために、ツールにeBPFを追加することで多くのメリットを得ることができます。
このコラボレーションの精神により、サイバーセキュリティの未来はすべての人にとってより明るく、より安全に見えます。
今すぐご連絡ください イルミオゼロトラストセグメンテーションプラットフォームの詳細をご覧ください。
.webp)
.webp)
.webp)