NDRソリューションが提供すべき5つの機能
NDRが提供すべき機能として、前回「クラウド規模の機械学習(ML)」について紹介した。ここではまず、残りの4つの機能について紹介する。残りの4つとは、「連続およびオンデマンドのパケットキャプチャ(PCAP)」「内部トラフィックの戦略的復号」「調査ワークフロー」「資産検出」である。
継続的およびオンデマンドのパケットキャプチャ(PCAP)
ネットワークデータは、ハイブリッドやマルチクラウドにおけるセキュリティと監視のための究極の“真実のソース”といえる。このため、ネットワークパケットをキャプチャするPCAP機能は、セキュリティおよびITチームがネットワークで何が起こっているかを正確に把握することに役立つ。
PCAPは、高度なサイバー攻撃に対して、侵入方法や影響範囲を特定するためのフォレンジック分析と調査に活用できる。また、Executive Order 14028やOMB M-21-31といった米国連邦政府のサイバー近代化指令に準拠するため、コンプライアンス面でも有効となる。ただし、PCAP機能には「継続的PCAP」と「精密(手動・オンデマンド)PCAP」の大きく2種類あることに注意が必要。
継続的PCAPは、平常時からネットワークを通過するすべてのパケットを収集し保存する。このため、セキュリティイベントやパフォーマンス問題の発生前、発生中、発生後のパケットを分析が可能になる。また、脅威を未然に防ぎ、新しい脅威情報を入手したときにデータを遡って調査することにも役立つ。ただし、大容量のストレージが必要となる。
精密なPCAPは、手動またはトリガーによって「オン」にしたときのみ情報を収集する。このため、必要とされるストレージスペースは継続的なPCAPよりはるかに少ない。しかし、トリガーされる前の情報は入手できず、侵害を検出できなかった場合もキャプチャは行われない。
企業においては、常時稼働する継続的PCAPと、イベントまたは手動によってトリガーされる精密PCAPの双方を活用できるNDRソリューションが理想といえる。
内部トラフィックの戦略的復号
サイバー攻撃者は、侵入した企業に気づかれないように機密情報を入手するために、高度な技術を駆使する。例えば、C&C(コマンド&コントロール)サーバーへの通信にHTTPSなど一般的なプロトコルを使用する。また、すでに暗号化されている組織内のトラフィックを利用することもある。
コンプライアンス要件などにより、今後より多くのネットワークトラフィックが暗号化されると考えられる。そうなると、サイバー攻撃者は独自の特別なツールを導入することなく、を検知することも難しくなる。
しかし、企業が暗号化キーを作成したトラフィックのみを復号する(戦略的復号)場合は、キーを持たないトラフィック(例えば、従業員がオンラインバンキングや個人の電子メールアカウントにアクセスする)を復号しない。このため、プライバシーを損なわずにトラフィックを確認する能力を得ることができる。
戦略的復号では、SSL/TLSだけでなくMS-RPC、WinRM、SMBv3にも対応できることが重要だ。これらのプロトコルを通過するトラフィックを復号することで、サイバー攻撃者によるラテラルムーブメントを非常に早い段階で検知できる。NDRソリューションを選ぶ際には、最新の脅威に対応できる戦略的復号が可能なものを選ぶべきといえる。
調査ワークフロー
NDRソリューションを選ぶ際には、機能とユーザーインタフェース(UI)も重要な評価ポイントとなる。ガートナーも、"NDR技術のメリットの一つは、その管理・監視コンソールがインシデント対応のワークフローを促進する機能である"とコメントしている。
しかし、一部のNDRワークフローのUIは、不便で操作しにくい場合がある。また、オンプレミスやクラウドなど、異なる環境のUIを行き来する必要がある場合もある。優れたUIはデータの理解に役立つ。サイバー攻撃が増加し、高度化する中で、複雑すぎる調査ワークフローに煩わされることなく、インシデントに対応できる必要がある。
アナリストが高度な脅威をより理解し、封じ込めることができるよう、明確で直感的な調査ワークフローを提供するNDRソリューションを選ぶ必要がある。クラウドスケールのMLでデータを収集し、事前に分析を行うことで、NDRはセキュリティ調査に関連する多くのステップを自動化でき、前例のない可視性、決定的な洞察、迅速で確信に満ちた対応のための回答をすぐに提供できる。
資産検出
レガシーシステムへの依存度が高い業界や、管理されていないデバイスが多数存在する業界では、企業のネットワーク上のすべての資産を発見し、その攻撃対象領域を内側から調査する能力が不可欠となる。
シャドーITやIoTデバイス、BYOD、サードパーティの請負業者やサービスプロバイダーなど、従来よりもアタックサーフェスは拡大しており、自社やサードパーティのセキュリティを完全に監査できない傾向がある。しかし、こうした課題も適切なNDRソリューションによって軽減できる。
ネットワーク上に存在しているものを正確に把握するためには、自動化された資産発見が不可欠となる。適切なNDRソリューションは、新しいデバイスが通信するとすぐに自動的に検出できる。さらに、継続的な監視によりデバイスを自動分類し、依存関係をマッピングし、デバイスが環境内の他の類似したデバイスと比較して異常な動作を示すたびに、MLにより正確なアラートを作成する。
