ネットワークにおける検知と対応(NDR)とは、ネットワークトラフィックにルールやシグネチャを適用して、悪質なアクティビティと疑われるものを自動検知してアラートを上げる手法を指します。
NDRソリューションのカテゴリーは、かつてネットワークトラフィック分析(NTA)と呼ばれた分野から派生したものですが、NTAもネットワークトラフィックの監視を目的としていました。NDRは、標準的なソリューションで自動対応アクションを含めたカテゴリーに対するニーズに応え、範囲を拡大させたものです。
したがって、最新のソリューションのほとんどは、脅威となり得るアクティビティを監視、検知、対応する機能を備えているということになります。このため、脅威が検知された後、セキュリティ担当者は即座に封じ込めや対応のための措置を講じ、不正な行為を迅速に強制終了したり、感染したエンドポイントを隔離できます。
Gartner®によると、組織はランサムウェア、内部関係者の脅威、水平展開などの侵害後のアクティビティを検知し、封じ込めるためにNDRを利用しています。NDRの主な機能には以下が含まれます。
NDRは、セキュリティ専門家のチームを結集してプロセスを入力し、ネットワークとビジネスの完全性に悪影響を与える可能性のある警告を監視、検出、対応することによって機能します。これらのプロセスを詳しく見てみましょう。
このプロセスで最も重要な側面に、ユーザーアクティビティ、アプリケーションアクティビティ、ウェブアクティビティに関するリアルタイム情報にアクセスできることが挙げられます。加えて、アナリストが不審なアクティビティに基づくアラートの調査を迅速に行えるよう、ネットワークデータは簡単に検索できなくてはなりません。過去の不審なアクティビティに関する豊富な情報から調査を開始できるよう、カスタム警告を構築できるだけでなく、攻撃者行動分析(ABA)ライブラリにアクセスできることも重要です。
自動システムが正常なアクティビティと不審なアクティビティを認識できるよう、通常のネットワーク上の行動とアクションのベースラインを確立することが非常に重要です。例えば、ユーザー行動分析(UBA)は、脅威の疑いがあるアクティビティが従業員になりすました外部の攻撃者によるものなのか、過失や悪意によって何らかのリスクを発生させている従業員によるものなのかを、チームが迅速に判断できるようにする上で役立ちます。UBAは、ネットワーク上の行動をIPアドレスやアセットではなく特定のユーザーと紐付け、そのユーザーの通常のイベントアクティビティのベースラインと比較します。
NDRソリューションには、インシデントの検知時にアクションを自動実行する機能が必要です。隔離に始まり、接続の切断、セキュリティ オペレーションセンター(SOC)のアナリストが開発した一連の事前定義されたアクションの実行に至るまで、最近のソリューションでは、オンプレミスでもクラウドでも、ネットワーク境界の侵害時に攻撃者を迅速に排除することが一般に可能となっています。この検知中に実行されるアクションには、インシデントの詳細な分析、マルウェアなどの攻撃方法のリバースエンジニアリング、侵入レポートの作成などがあります。
脅威インテリジェンス(TI)フィードは、自動化された脅威の優先順位付けと修正作業に必要な情報を継続的に提供する必要があります。TIフィードは、セキュリティ組織が特定の脅威に関する情報を十分に持っていない場合に、それを補う上で役立ちます。脅威情報フィードには、オープンソースのコミュニティに基づくリストから有料の非公開フィードまで、さまざまな形式がありますが、これらのフィードの有効性は、次のようなさまざまな要因により大きく異なります。
コンテキストインテリジェンスフィードでは、アナリストに侵害の兆候(IOC)を知らせるだけでなく、攻撃者によるインフラストラクチャとツールの使用について詳細に記載された情報も提供します。脅威の検知を成功させるには、コンテキスト情報を含むフィードの方がはるかに効果的です。
NDRの利点は非常に多数存在します。ネットワークの悪意のあるアクティビティを徹底的に監視し、迅速に対応することで得られる保護、検知、さらに全体的な利点には限りがありません。これらの利点のいくつかを以下で紹介します。
NDRは必須ですが、最新の攻撃者の手口はネットワークにとどまらず広がっており、セキュリティにも同様に対応する必要があります。NDRはネットワークログの調査には優れていますが、エンドポイントの警告やイベントは対象外で、クラウドにも拡張できません。
このため、NDR製品は通常、単独のソリューションとしては使われず、真のExtended Detection and Response(XDR)を包括的にカバーする一連のソリューションに含まれています。このソリューションには以下が含まれます。
エンドポイント上のユーザーテレメトリは、ファイルやネットワークへのアクセス、レジストリに対するアクセスや操作、メモリ管理、開始と停止に関する分析情報を提供します。また、コマンドシェルを生成するプロセスや、メモリインジェクションの試行、通常とは異なる不審なファイルへのアクセスなどを、異常な動作として検知します。
サーバーテレメトリは、高度に細分化されたデータに関する情報を提供します。サーバーは組織にとって非常に重要な情報を処理する役目を持つため、XDRが扱うテレメトリは、よりマクロなレベルでインシデント調査や修復の優先順位を付ける上で役立ちます。
ネットワーク テレメトリは、トラフィック、特にボリュームの急激な増加、新しいネットワーク プロトコル、または異常な特権の昇格に関する分析情報を提供します。 高度な暗号化方式 は、多くの場合、脅威アクターを阻止する可能性のあるより深いネットワーク分析を妨げる可能性があります。 ただし、エンドポイントテレメトリと組み合わせると、ネットワークトラフィック分析がXDR分析の基礎となる可能性があります。
クラウドテレメトリは、インフラストラクチャに関する分析情報を提供します。クラウドテレメトリには、クラウドワークロードやデプロイされたコンポーネントのセキュリティ異常の検知などの情報が含まれます。特定の組織のクラウドを狙う攻撃者は、何らかの手法で入手した正規のアカウント情報さえあれば簡単にクラウドにアクセスできるため、XDRの検出技術を活用して脅威を迅速に捉え、クラウド環境を強化することが重要です。
攻撃者の行動分析を脅威検知の方法論として組み込むことで、チームは新たな攻撃者の行動に対するルールを迅速に開発し、新たな手法や動向を発見してから数分以内に検知を開始できます。UBAは、攻撃の「水平展開」の段階で侵害を特定することに長けています。ABAにより、攻撃ライフサイクルの他のすべての段階で攻撃者のアクティビティを検知できます。
Gartner社、『2020 Market Guide for Network Detection and Response (NDR)(ネットワーク検知と対応(NDR)のマーケットガイド2020年版)』Jeremy D’Hoinne、Nat Smith、Thomas Lintemuth(2022年12月14日)