ゼロトラストモデルとは

• 可用性を損なわないセキュアなネットワークの構築と管理を実現するためのデザインパターンや考慮事項

  • 内外問わず、すべてのアクセスリクエストに対してチェックと権限の確認が実施される
  • すべてのホストがインターネット（安全でないネットワーク）に存在しているかのように扱われる

• 境界モデルが信頼されるリソースと信頼されないリソースを区別するのに対して、ゼロトラストはすべてのネットワークが完全に危険にさらされていることを前提とする

• ゼロトラストは、脅威モデルで言う、「信頼されたインサイダー」以下のレベルの脅威に対して有効

• ゼロトラストでは、権限は従来のネットワークと比べて動的となる

  • ネットワーク上のアクティビティの属性に基づいて、現在要求されるアクセスの危険度が評価される
    • 活動時間、アクセス場所などの地理的要因、普段と異なる行動など

• 現状、ゼロトラストネットワークの標準化は実現していない

ゼロトラストネットワークの5つの原則

1. ネットワークは常に安全ではないとみなされる
2. ネットワーク上には、外部および内部の脅威が常に存在する
3. ネットワークを信頼できると判断するには、ローカルネットワークでは不十分
4. デバイス、ユーザー、ネットワークフローは1つ残らず、認証および認可される
5. ポリシーは動的で、できるだけ多くの情報源に基づいて作成される必要がある

Notice
この記事はまだ編集中です。
十分な事実検証を実施しておりませんので利用の際はご注意ください。

マルウェア解析の流れ

• 検体が既知のマルウエアかどうかを判別する
  • データベース化された既知のマルウエアと検体の比較を高速に実行するため、マルウエア検体のハッシュ値が利用されるが、従来のハッシュ関数では、類似の検体は全く異なる検体として扱われる
  • そのため、fuzzy hash関数(ssdeep)や、PE(portable executable)のインポートテーブルから値を算出するimphash(import hash)が利用される
    関連：impfuzy