エンドポイント保護は、長い間、サイバーセキュリティの基本となってきました。ですが、今日の進化し拡大するデジタル環境では、多種多様なデバイスがエンドポイントにつながっており、従来のエンドポイントセキュリティでは十分とは言えなくなってきています。
この状況に、クラウドの普及、リモートワーク、システムアクセスの拡大という要素が加わると、状況はさらに困難になります。こういった環境の中で、ユーザーがデバイスを安全に保ってくれると本当に信頼できるでしょうか?また、セキュリティ情報イベント管理 (SIEM) システムなどの追加ツールでエンドポイントセキュリティを強化することで、脅威を確実に検出できるでしょうか?攻撃データの分析と経験から言えることは、サイバーセキュリティスタックに別の何かが必要だということです。
そして、その「何か」がネットワーク検出と対応 (NDR) です。
#1 - NDR は EDR と SIEM が対応できない部分を補完
エンドポイント検出と対応 (Endpoint Detection Response、EDR) と SIEM は、サイバーセキュリティに不可欠なツールですが、どちらにも限界があります。EDR は、個々のエンドポイントで疑わしいアクティビティを監視するのに優れていますが、個々のエンドポイントにインストールされたエージェントに依存することが多いので、最新のエージェントが展開されていないデバイスには盲点が存在する可能性があります。さらに、攻撃者がすでにネットワークにアクセスし、システム間を横方向に移動している場合、EDR はこのアクティビティを検出しません。ただし、横方向の移動によって感染した場合は、EDR はエンドポイントのアクティビティを検出します。
SIEM は、ログデータの収集と分析に優れています。それでも、ログを生成しない脅威や、過剰な量のログデータの中に隠れてしまう脅威、またはデータ内の誤検知などが存在するため、脅威の検出において万全ではありません。
NDR は、ネットワークトラフィックパターンを直接分析して異常を検出することで、EDR と SIEM の限界で生じるセキュリティのギャップを埋めます。高度な分析と脅威インテリジェンスを使用して SIEM データのノイズを排除し、セキュリティ上の懸念事項を強調表示して警告し、すぐに調査できるようにします。よく使われる譬えを使うと、EDR は建物の各入り口の警備員として機能し、SIEM は建物全体を監視する CCTV システムとして機能します。NDR は、建物内を巡回して侵入者が部屋に侵入して危害を加えたり何かを盗んだりする前に捕まえるインテリジェントなパトロールとして機能します。
プログレスの Flowmon のような NDR ソリューションは、攻撃者が暗号化やその他の手法を使用してアクティビティを隠そうとしている場合でも、機械学習や振る舞い分析などの技法を使用して異常や疑わしいアクティビティを特定します。
NDR は、EDR、SIEM とともに、ガートナーが提唱する SOC 可視化トライアドを構成します。トライアドの三本柱は互いに補完し合い、これらを組み合わせることで、ネットワーク、サーバー、エンドポイントの全体的なセキュリティが向上します。
#2 - NDR はクラウド環境とハイブリッド環境の保護を支援
クラウドに移行したり、ハイブリッドインフラストラクチャが採用されたりするようになり、従来のセキュリティソリューションは複雑な環境への対応が難しくなっています。EDR と SIEM はクラウドに盲点がある場合があり、ログファイルやエージェントベースのアプローチでは管理が複雑になります。これに対し、NDR はエージェントなしで動作するため、オンプレミス、クラウド、またはハイブリッド環境であっても、ネットワーク全体をより詳細に把握できます。統一されたビューにより、脅威の発生源に関係なく、脅威をより適切に検出して対応でき、セキュリティを損なうことなく、クラウドの俊敏性とスケーラビリティを活用することができます。
Flowmon NDR は、クラウドおよびデータセンター環境全体で異常または疑わしいネットワークトラフィックを監視できます。
クラウドプラットフォームプロバイダーが提供するネイティブ監視ツールの多くは、ネットワーク帯域幅とデータストレージのコストが原因で、高額になる可能性があり、複数の異なるクラウド環境を監視するコストは問題となりがちです。Flowmon を使用すると、クラウドプロバイダーにわたる監視を最適化し、必要な可視性を失うことなくコストを大幅に削減できます。
#3 - NDR は暗号化されたトラフィックに隠された脅威を検出
脅威を検出するためにディープパケットインスペクションに依存する従来のセキュリティソリューションでは、暗号化の広範な使用が問題となる可能性があります。NDR テクノロジーは、暗号化されたトラフィックを分析し、他の方法では隠されたままになる悪意のあるアクティビティを検出するのに役立ちます。
現代の攻撃者は、トラフィックを暗号化することでアクティビティをカモフラージュできることを知っています。従来のセキュリティソリューションでは、暗号化されたデータに何が隠されているかを確認できないからです。NDR にはこの制限がなく、振る舞い分析と異常検出を使用して暗号化されたトラフィックでも疑わしいパターンを特定します。上述の建物の比喩を拡張すると、NDR は建物内を巡回するだけでなく、ネットワークエンティティの内部をチェックできるエックス線的ビジョンを備えているとも言えます。
#4 - NDR は脅威の検出に機械学習を活用
シグネチャに依存する従来のセキュリティソリューションは、入場を禁止された特定人物の顔のリストを持った警備員のように機能します。既知の脅威は特定できますが、新しい脅威や巧妙に偽装された脅威を検出することはできません。Flowmon などの NDR ソリューションは、高度な機械学習 (ML) とヒューリスティックスなどを使用して、進化する脅威を継続的に学習し、適応します。
NDR は、プロアクティブなアプローチを採用し、シグネチャが利用可能になる前でも新たな脅威を特定できます。そのため、ゼロデイ攻撃や新しいマルウェアにも対応が可能になり、サイバー脅威への脆弱性を減らすことができます。
プログレスのホワイトペーパー、「ネットワーク脅威の検出と対応によるサイバーセキュリティ」では、NDR によるサイバーセキュリティ防御の強化と、使用される検出アルゴリズムについて説明しています。
優れた選択肢としての Flowmon NDR ソリューション
Flowmon NDR は、高度なネットワーク可視性、AI を活用した脅威検出、迅速な対応機能を提供します。Flowmon ソリューションは、既存のセキュリティインフラストラクチャとスムーズに統合され、ネットワークアクティビティをより詳細に把握できるので、ネットワークとデータをより適切に保護できます。
Flowmon NDR の主なメリットは次の通りです。
- ネットワーク可観測性の向上: 複数のデバイス、アプリケーション、クラウド環境にわたるネットワークトラフィックについて、より深い洞察を得ることができます。
- AI を活用した脅威検出: 攻撃者が検出を回避しようとしても、機械学習などを使用して異常や疑わしい振る舞いを検出します。
- 迅速な対応機能: 脅威を迅速に特定して隔離し、ビジネスオペレーションへの影響を最小限に抑えます。
- 既存のセキュリティインフラストラクチャとの統合: EDR、SIEM、その他のセキュリティソリューションとシームレスに統合して、ネットワークセキュリティへの統一されたビューが得られます。
Flowmon NDR ソリューションを導入することで、プロアクティブに脅威を特定して対応し、全体的なサイバーセキュリティ体制を大幅に強化できます。Flowmon ソリューションは、今日のデジタル環境における進化する脅威に対する防御を支援するために、より優れた保護と可視性を提供します。
Flowmon の詳細については Flowmon プラットフォームのページを参照してください。ネットワーク異常検出システムの詳細については Flowmon ADS のページをご参照ください。 Flowmon は、無料でお試しいただけます。また、ご質問があれば、お問い合わせください。
このブログは、Filip Cerny が個人的な立場で作成しました。表明された意見は著者自身のものであり、必ずしも Progress Software Corporation またはその関連会社または子会社の見解を反映するものではありません。このブログの内容に基づいて行われた、または取られなかった行動に関するすべての責任は、ここに明示的に否認されます。 この投稿のコンテンツは「現状のまま」提供され、コンテンツにエラーがないことを表明するものではありません。