NDRは、ネットワーク・トラフィック・モデルを生のネットワーク・トラフィック・データから抽出するために開発されたテクノロジーであるネットワーク・トラフィック分析(NTA)から発展したものです。NTAソリューションに動作分析と脅威対応機能が追加されたため、Gartnerの業界アナリストが2020年にカテゴリ名を「ネットワークの検出と対応」に変更しました。
ネットワークは今日の接続された世界の基盤であり、脅威アクターにとっては主な標的となるものです。
従来、組織はネットワーク・セキュリティを確保するために、ウイルス対策ソフトウェア、侵入検知システム(IDS)、ファイアウォールなどの脅威検知ツールに依存していました。
これらのツールの多くは、シグネチャベースの検知アプローチを採用しており、サイバー脅威のシグネチャ・データベースと侵害の兆候(IOC)を照合することで脅威を特定します。
シグネチャとは、既知のサイバー攻撃に関連するあらゆる特徴を指します。たとえば、特定の種類のマルウェアのコードや特定のフィッシング・メールの件名などが挙げられます。シグネチャベースのツールはネットワークを監視し、このような以前に検出されたシグネチャを検知した場合にアラートを発生させます。
シグネチャベースのツールは、既知のサイバー脅威をブロックするには有効ですが、新しい、未知の、または新たな脅威の検知は困難です。また、以下のような、固有のシグネチャを持たない脅威や、正規の動作に似た脅威を検知することも困難です。
ランサムウェア集団やその他の高度標的型攻撃(APT)は、可視性のギャップを悪用してネットワークに侵入し、監視を行い、特権を昇格させ、適切なタイミングで攻撃を仕掛ける可能性があります。
NDRは、組織がシグネチャベースのソリューションで生じたギャップを埋め、ますます複雑化する最新のネットワークのセキュリティーを確保する際の支援を行います。
NDRは、高度な分析、機械学習、行動分析を用いて、既知のシグネチャがない潜在的な脅威も検知できます。このように、NDRはリアルタイムのセキュリティー・レイヤーを提供し、他のセキュリティー・ツールが見逃してしまうような脆弱性や攻撃を組織が発見する手助けをします。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
ネットワークの検知と対応ソリューションは、ネットワーク上の脅威を管理するために、プロアクティブかつ動的に対応するアプローチを採用しています。NDRツールは、ネットワークのアクティビティーとトラフィックのパターンをリアルタイムで継続的に監視・分析して、サイバー脅威を示す可能性のある疑わしいアクティビティーを特定します。
NDRソリューションによる脅威の検知には通常、以下にある5つの手順で構成されます。
NDRソリューションは、遠隔地にあるデータの収集と送信に自動化を用いるテレメトリという手法により、生のネットワーク・トラフィック・データとメタデータを取得します。
NDRツールは、多くの場合、エンドポイント、ネットワーク・インフラストラクチャー、ファイアウォール、その他のソースからデータを収集し、ネットワークの包括的なビューを提供します。収集されたデータには、ネットワークのパケット・データ、フロー・データ、ログ・データなどがあります。
NDRツールは、行動分析、AI、機械学習を使用してデータを評価し、正常なネットワークの動作とアクティビティーのベースライン・モデルを確立します。
ベースラインを設定した後、システムはネットワーク・トラフィックをリアルタイムで継続監視します。NDRは、その時点におけるネットワーク・アクティビティーをそのベースラインと比較して、データ窃盗やその他の潜在的な脅威を示す可能性のある逸脱を検知します。
このような逸脱には、不正アクセスの試み、異常なデータ転送、異常なログイン・パターン(通常時間外でのデータへのアクセスなど)、または未知のWebサーバーとの通信などが含まれる可能性があります。
NDRソリューションは、不審なアクティビティを検知すると、セキュリティ・チームに警告を発して対応を促します。一部のNDRツールは、脅威を軽減する自動アクションも実行できます。これらの自動対応には、悪意のあるIPアドレスのブロック、侵害されたデバイスの隔離、不審なトラフィックを制限してさらなる被害を防ぐことなどが含まれます。
NDRシステムは、検知された脅威や対応からのフィードバックを組み込むことで、ネットワーク・アクティビティーのモデルを継続的に適応させます。また、セキュリティ・アナリストや脅威インテリジェンスフィードからのインプットも統合します。この継続的な改良により、新たな脅威や進化する脅威を検知して、それに対応する際のNDRツールの精度と有効性が向上します。
NDRソリューションは、従来のシグネチャベースの脅威検知ツールよりも優れたさまざまな機能を提供します。これらの機能やメリットには、以下のものが含まれます。
NDRソリューションは、リアルタイムの監視と分析を提供し、潜在的な脅威をより迅速に特定して対応できるようにします。一部のNDRツールでは、潜在的な脅威の重大度に基づいて優先順位を決定し、セキュリティー・チームやセキュリティー・オペレーション・センター(SOC)にアラートを送信することもできます。
NDRは、オンプレミスおよびハイブリッドクラウド環境におけるすべてのネットワーク・アクティビティの可視性を提供します。この包括的な可視性により、組織はより多くのセキュリティー・インシデントを未然に防ぐことができます。
NDRソリューションは、ネットワーク・トラフィックの南北方向(出口と入口)と東西方向(内部)の両方を監視するため、ネットワーク境界における侵入とネットワーク内部での横移動の両方を検知できます。ネットワーク内の異常を特定できる機能は、NDRが待ち構えている高度な脅威を捕まえるのに役立ちます。一部のNDRツールは、暗号化されたトラフィックに潜む脅威も検知できます。
NDRは、AIと高度な機械学習アルゴリズムを活用して、ネットワーク・データを分析してパターンを特定し、潜在的な脅威(従来のツールでは見過ごされがちな未知の脅威も含む)を特定します。
一部のNDRソリューションには、疑わしいネットワーク接続を切断するなど、攻撃が発生している最中にその攻撃を阻止できる自動対応機能があります。NDRツールは他のセキュリティー・ツールとも統合でき、より複雑なインシデント対応計画を実行することができます。たとえば、脅威を検知した後、NDRはセキュリティー・オーケストレーション、自動化、対応(SOAR)プラットフォームに、事前に定義された対応プレイブックを実行するよう指示します。
多くのNDRツールは、MITRE ATT&CKフレームワークなどの脅威インテリジェンス・フィードやデータベースと統合できます。これらの統合により、動作モデルを強化し、脅威検知の精度を向上させることができます。その結果、NDRツールは誤検知が少なくなります。
NDRソリューションは、セキュリティー・チームがこれまで検知されていなかった脅威を積極的に検索する脅威ハンティング活動に使用できるコンテキスト・データと機能を提供します。
NDRソリューションにはメリットがあるにもかかわらず、限界がないわけではありません。現行のNDRツールの一般的なデメリットには次のようなものがあります。
NDRツールには、ハードウェア、ソフトウェア、サイバーセキュリティー担当者への多額の投資が必要となる場合があります。たとえば、初期設定には、ネットワーク・セグメント全体にセンサーを導入することや、大量のネットワーク・トラフィック・データを保存するための大容量データ・ストレージに投資することなどが含まれます。
成長を続けるネットワークに合わせてNDRソリューションを拡張することは、容易ではありません。データ・フローの増加でリソースに負担がかかり、ボトルネックが生じる可能性があり、大企業では脅威の検知と対応ソリューションの効果が低下する可能性があります。
NDRツールは多くの誤検知を発生させ、セキュリティー・チームをアラート疲労に陥れる可能性があります。正常パターンから少しでも逸脱すると、疑わしいものとしてフラグが立てられ、時間の無駄につながり、本当の脅威を見逃す可能性があります。
暗号化通信を含むネットワーク・トラフィックを継続的に監視すると、プライバシーの問題が生じる可能性があります。一般データ保護規則(GDPR)やPCI-DSS(Payment Card Industry Data Security Standard)などの規制を遵守しない場合、多額の罰金や罰則が科せられる可能性があります。
今日の企業ネットワークは分散化が進み、データセンター、ハードウェア、ソフトウェア、IoT(モノのインターネット)デバイス、オンプレミスとクラウド環境のワークロードを接続する大規模なネットワークとなっています。
組織とそのセキュリティー・オペレーション・センター(SOC)は、これらの複雑なネットワークを完全に可視化する堅牢なツールセットを必要としています。NDRと他のセキュリティー・ソリューションと組み合わせたソリューションへの依存度が高まっています。
たとえば、NDRはGartner社が提唱した概念「SOC Visibility Triad(SOC可視化トライアド)」の1つであり、EDR(エンドポイントの検知と対応)およびセキュリティー情報とイベント管理(SIEM)と並んで位置付けられています。
最近では、SOCは拡張検知と対応(XDR)ソリューションも採用しています。XDRは、エンドポイント、ネットワーク、クラウド・ワークロードなど、組織のハイブリッドITインフラストラクチャー全体にサイバーセキュリティー・ツールを統合します。多くのXDRプロバイダーはNDR機能を備えており、オープンXDRソリューションは組織における既存のNDR機能を活用して、既存のセキュリティー・ワークフローに組み込むことができます。