.png)
安全なコード実行の未来:コラボレーティブeBPFアプローチの採用
サイバーセキュリティでは、コードを実行するための堅牢で信頼性の高い方法を常に模索しています。eBPF(拡張バークレーパケットフィルター)などのツールや特殊なサンドボックステクノロジーが重要なソリューションになっています。
しかし、2024年の夏に開催された2つのイベントでは、これらのツールの長所と短所の両方が浮き彫りになりました。
- 2024年6月: 強化された Berkely Packet Filter (eBPF) コード検証ツールのバグにより、主要な EDR (エンドポイント検出と応答) ベンダーの Linux ドライバーが Linux カーネルをクラッシュさせ、Linux ユーザーの間で大規模な機能停止を引き起こしました。
- 2024年7月: 同じベンダーの自社開発の安全なコード実行環境のバグにより、更新によってカーネルがクラッシュし、システムが起動できなくなっていました。これにより、Windows のお客様にとって、システム停止の被害はさらに大きくなり、広く知られるようになりました。
この 2 つのインシデントは、ライブシステムに低レベルのシステム更新を行うための 2 つの異なる方法と、コードの実行を安全に保つために統一されたオープンなアプローチが望ましい理由を示しています。
迅速なコード更新とシステムの安定性のバランス
今日の急速に変化する脅威環境では、問題が発生する前に脅威を阻止するために、セキュリティツールに更新情報を迅速に送信することが重要です。これらのアップデートは、数分または数時間以内にすべてのセキュリティシステムに届く必要があります。脅威によって大量のEDRの「センサー」が必要になった場合は、ベンダーが1日に複数回、リモートでパッチを適用することがあります。
しかし、バランスは取れています:
- オペレーティングシステムに密接に統合されているセキュリティツールに更新を送信すると、重大な停止が発生することがあります。
- ただし、更新に時間がかかりすぎると、マルウェアが拡散する可能性があります。
解決策は、コードの脆弱性を迅速に軽減する安全で確実な方法を見つけ、オペレーティングシステムコードがセキュリティツールとインターフェイスする場所を定義することです。
安全なコード実行ソリューション:高度なサンドボックスと eBPF
実行前にコードが安全で正しいことを確認するのに役立つ 2 つのテクノロジーが登場しました。
特殊なサンドボックステクノロジー
サンドボックスでは、小規模で焦点を絞った仮想マシン (VM) と検証ツールを使用して、安全で承認されたコードのみが実行されるようにします。
これらの VM は、完全なオペレーティングシステムを実行する従来のハイパーバイザーベースのシステムとは異なります。その代わり、特定の仮想命令 (VMware ではなく Java や JavaScript VM の仕組みなど) を使用してプログラムを安全に実行するように構築されています。
検証ツールは重要です。実行前にコードをチェックして、安全で正しいことを確認します。このアプローチにより、潜在的に危険なアクションが分離され、コードを実行するための安全なスペースが確保されます。
サンドボックスで実行されるプログラムは、アセンブリ言語プログラムのようなものです。ほとんどのプロセッサで動作する、小さくて基本的な命令セットを使用します。このシンプルな設計により、コードが効率的になり、サンドボックス環境またはカーネル環境で安全に実行できるようになります。
eBPF
拡張バークレー・パケット・フィルタは、特にLinuxシステムにおいて、より統合されたアプローチを採用しています。これにより、コードをカーネル内で安全に実行できるため、システムの安定性を損なうことなく可視性と制御が向上します。
eBPFには、コードが安全であることを確認する強力な検証機能が組み込まれています。これにより、安全でない命令を含むコードの実行が防止され、コードをより合理的かつ効率的に実行できるようになります。
2024年7月のIT停止:安全なコード実行について彼らが教えてくれたこと
保護対策が講じられているにもかかわらず、最近の出来事により、サンドボックスツールとeBPFテクノロジーに弱点があることが明らかになりました。
Linuxの停止は、eBPF検証ツールのバグが原因でオペレーティングシステムが失敗したために発生したのは事実です。これは、eBPFのような高度なツールでも問題が発生する可能性があることを示しています。そのため、常に注意を払い、改善し続けることが重要になります。しかし、eBPF検証ツールはコミュニティソリューションの一部であるため、修正の結果は将来に異なる影響を及ぼします。
検証ツールのバグが見つかると、コミュニティは迅速に協力して修正しました。この共同の取り組みは、すべての人のeBPFを改善するのに役立ち、同様の問題が再発する可能性を低くします。
Windows環境でのブルースクリーンオブデス(BSOD)インシデントは、メモリエラーが原因でした。これらのエラーは、特別なサンドボックスツールとその検証システムの配列サイズの不一致が原因で発生しました。インシデントを分析して軽減するための取り組みは、強力な検証プロセスを持つことがいかに重要であるかを示しました。これにより、脆弱性がシステムの安定性を損なうのを防ぐことができます。
eBPFとは異なり、独自のサンドボックス型VMと検証システムはクローズドエコシステムで動作します。特定されたバグを修正することはできますが、それらの改善が役立つのは単一ベンダーのユーザーに限られます。このようにサイロ化された作業方法では、セキュリティ改善の共有が遅くなり、他の場所で同様の問題が発生する可能性が高まります。
統一的アプローチに向けて:eBPFの事例
これらの対照的な事例は、安全なコードを実行するために共有のオープンシステムを使用することの重要性を示しています。
eBPFの協調的アプローチは、さまざまなプラットフォーム上のセキュリティツールを改善するための強固な基盤となります。オペレーティングシステムに組み込まれた単一のVMと検証ツールを使用することで、組織は一貫性がなく、潜在的に安全でない可能性のあるDIYシステムを複数作成することを回避できます。
このアイデアの好例は、eBPFをWindowsに導入するために行われている作業です。eBPFをオペレーティングシステムに追加することで、組織は低レベルのセキュリティツールを実行するための安全で標準化された環境を構築できます。この変更により、オペレーティングシステムがより安全になるだけでなく、eBPFの実証済みのアプローチが業界全体で採用されるようになります。
安全なカーネル統合によって複数のオペレーティングシステムのセキュリティ基盤を変革しようとする取り組みは、このアイデアの可能性を示しています。これらのプロジェクトは、eBPFの機能を使用することにより、セキュリティツールがさまざまなオペレーティングシステムで動作するためのより安全で接続性の高いシステムを構築することを目的としています。
サイバーセキュリティの未来にとってeBPFが意味するもの
セキュリティツールに関する最近の問題は、eBPFの採用がサイバー業界にどのように役立つかを示しています。そのオープンで協調的なモデルにより、組織はeBPFをソリューションに統合することの潜在的な利点を検討するかもしれません。
eBPFを使用すると、カーネルパニックなどのシステムクラッシュの責任は、オペレーティングシステムプロバイダーに移ります。これらの問題に対処し、システムを安全で安定した状態に保つための準備が整っています。
また、信頼できるオペレーティングシステムプロバイダーにeBPFのセキュリティを確保してもらうことで、組織はより迅速で信頼性の高いアップデートを顧客に提供することに集中できます。この方法は、セキュリティを犠牲にすることなく迅速な改善を可能にするという目標をサポートします。
アップデートを開始する前に慎重にテストすることは依然として重要ですが、eBPFに組み込まれている安全機能を使用すると、システムの稼働中に問題が発生する可能性を大幅に減らすことができます。
コラボレーションを受け入れることが安全なコード実行の未来
コード実行の問題に起因する最近のインシデントは、堅牢で信頼性の高い環境を維持することの複雑さを示しています。
独自のサンドボックス型仮想マシンと検証ツールを使用すると、組織はより多くの制御とカスタマイズを行うことができますが、より広範なセキュリティ向上の妨げにもなります。一方、eBPFのオープンで協調的なアプローチは、絶え間ない改善とセキュリティ上のメリットの共有を可能にするより強力なシステムを構築します。
業界が進化するにつれて、コラボレーションと標準化を促進するeBPFのようなモデルを使用することで、より強力で安全なシステムを構築することができます。組織は、eBPFをツールに追加し、コミュニティの共有知識を利用してセキュリティを強化することで多くのメリットを得ることができます。
このようなコラボレーションの精神があれば、サイバーセキュリティの未来はすべての人にとってより明るく、より安全に見えます。
今日私たちと連絡を取ってください イルミオゼロトラストセグメンテーションプラットフォームの詳細については、こちらをご覧ください。
_(1).webp)
.webp)
.webp)