従来の多くの脅威検知ツール、例えばアンチウイルス・ソフトウェア、初期の侵入検知防止システム(IDPS)、一部のファイアウォールは、侵害の特有な指標(IOC)やシグネチャーを探すことで脅威を特定して防御します。
シグネチャーとは、既知のサイバー攻撃に関連する特性のことです。例えば、特定のマルウェア・バリアントのコード行やファイル・ハッシュおよびファイル・サイズ、特定のパケット・ヘッダー、フィッシング・メールやソーシャル・エンジニアリング・メールの件名などがあります。シグネチャー・ベースのツールは、既知のシグネチャーのデータベースを定期的に更新し、ネットワーク・トラフィックでこれらのシグネチャーを走査して脅威を検知します。
その結果、シグネチャー・ベースのツールは、既知の脅威がネットワークに侵入または潜伏するのを防ぐのに効果的です。しかし、これらのツールは新規や未知、または出現中のマルウェアや脅威を検知することはできません。また、次のようなシグネチャーを持たない脅威を特定することは困難です。
- 盗み出した認証情報を使ってネットワークにアクセスするハッカー
- ハッカーが役員のメール・アカウントになりすまし、乗っ取るビジネス・メール詐欺(BEC)攻撃
- 会社のデータを個人のUSBドライブに保存する、悪意のあるWebサイトへのメール・リンクをクリックするなど、従業員が意図せずに行うリスクのある行動
ランサムウェアやその他の高度な持続的脅威は、これらの死角を利用してネットワークに忍び込み、偵察を行い、権限を昇格させ、攻撃の機会をうかがいます。
シグネチャー・ベースのツールは主に予防的であるのに対し、NDRはネットワーク脅威に対して動的に対応するアプローチを採用します。NDRソリューションは、特定の既知のシグネチャーを走査するのではなく、リアルタイムでネットワーク・トラフィックとアクティビティーを監視し、分析して、ネットワークの内部または外部で発生する既知または未知のサイバー脅威を示す疑わしいアクティビティーをすべて特定します。
NDRソリューションは次のような方法でこれを行います。
ネットワークのベースライン動作のモデル化:NDRソリューションは、ネットワーク全体の専用センサーやアプリケーション・エージェント、ファイアウォールやルーターなどのネットワーク・インフラストラクチャーから、生のネットワーク・アクティビティー・データとメタデータを取得します。NDRツールは、行動分析、AI、機械学習をデータに適用して、通常のネットワーク動作とアクティビティーのベースライン・モデルを作成します。
疑わしい、潜在的に悪意のあるアクティビティーの検知:NDRはネットワークを継続的に監視し、同じ分析とAI機能を使用して、ベースライン動作からの逸脱をリアルタイムで特定します。例えば、勤務時間外に機密データにアクセスするユーザーや、未知の外部サーバーと通信するエンドポイント・デバイス、異常なデータ・パケットを受信するポートなどがあります。
NDRソリューションは南北(出入口)と東西(内部)の両方のネットワーク・トラフィックを監視するため、悪意のある内部の人間や高度な脅威に共通する行動である脅威の横移動を検知し、追跡できます。NDRソリューションの中には、暗号化されたトラフィックに潜む脅威を検知する機能を持つものもあります。
NDRはまた、脅威インテリジェンス・フィード、MITRE ATT&CKフレームワーク、サイバー犯罪者の戦術、技術、手順(TTP)に関する他のデータ・ソースからのデータを関連付けることで、脅威の行動モデルを生成します。これらのモデルは、NDRソリューションがノイズから重要な信号を選別するのに役立ちます。つまり、実際のサイバー攻撃と異常ではあるが無害な活動、いわゆる「偽陽性」を区別します。
インシデント対応の自動化とツールの提供:NDRソリューションがサイバー攻撃またはサイバー攻撃の兆候となる行動を検知した場合、次のような対応が可能です。
- セキュリティー・チームやセキュリティー・オペレーション・センター(SOC)にリアルタイムで警告を優先順位付けして通知します。
- インシデント対応を自動化します。NDRソリューションは、不審なネットワーク接続を切断するなど、攻撃が発生している最中に攻撃を中断または停止するためのアクションを自動的に実行できます。NDRはまた、他のセキュリティー・ツールとの統合を利用してインシデント対応をトリガーすることができます。例えば、組織のSOAR(セキュリティー・オーケストレーション、自動化、対応)システムに対して、事前に定義されたレスポンス・プレイブックの実行を促すことができます。
- 脅威の調査を最適化します。NDRソリューションは、セキュリティー・チームやSOCが進行中の脅威の調査や、未知の脅威や未検知の脅威(脅威ハンティング)の予防的調査を加速するために使用できるコンテキスト・データと機能を提供します。
今日の企業ネットワークは高度に分散化され、オンプレミスとクラウドのデータセンター、ハードウェア、ソフトウェア、IoTデバイス、ワークロードを接続して拡大しています。このような分散して相互接続されたネットワークを完全に可視化するために、SOCはクラウド・セキュリティー戦略の一環として他のセキュリティー・ソリューションとNDRを併用することが多くあります。
例えば、NDRはガートナー社のSOC可視化三本柱の1つであり、エンドポイントの検知と対応(EDR)およびセキュリティー情報とイベント管理(SIEM)と並んで位置づけられています。EDRは、アンチウイルス・ソフトウェアや他の従来のエンドポイント・セキュリティー・ツールを突破するサイバー脅威から組織のエンドユーザー、エンドポイント・デバイス、IT資産を自動的に保護するソフトウェアです。EDRは、NDRが提供するネットワーク・トラフィックの「空中ビュー」を補完する、個々のエンドポイントで発生するアクティビティーの「地上レベル」のビューを提供します。SIEMは、異なるセキュリティー・ツールやネットワーク上の他のソース(サーバー、アプリケーション、デバイス)からのセキュリティー関連のログやイベント・データを統合して関連付けます。NDRツールは、ネットワーク・トラフィック・データと分析をSIEMにストリームすることで、セキュリティーと規制コンプライアンスのワークフローにおけるSIEMの価値をさらに高めます。
最近では、SOCは拡張検知と対応(XDR)ソリューションを採用しています。XDRは、組織の全ハイブリッドITインフラストラクチャー(エンドポイント、ネットワーク、クラウド・ワークロードなど)のサイバーセキュリティー・ツールを統合し、サイバー脅威の予防、検知、対応についての相互運用と連携を可能にします。多くのXDRソリューションはNDR機能を組み込んでおり、オープンなXDRソリューションは組織が既に導入しているNDR機能を活用できます。
IBM Security QRadar Network Detection and Response(NDR)は、ネットワーク・アクティビティーをリアルタイムで分析することで、セキュリティー・チームを支援します。
エンドポイント、ネットワーク、システム、アプリケーション全体で脅威の防御を迅速化するには、24時間265日体制で運用されるAI搭載の管理された予防、検知、対応が必要です。
最も重要な資産が漏えいする可能性のある欠陥を特定し、優先順位を付け、修復を管理する脆弱性管理プログラムを採用します。