トピック概要
ネットワークトラフィック分析(NTA)とは、ネットワークの可用性とアクティビティを監視して、セキュリティや運用上の問題などの異常を特定する方法です。NTAは一般的に次に挙げる用途で使用します。
ネットワークトラフィックを継続的に監視できるソリューションを実装すると、ネットワークパフォーマンスを最適化し、攻撃対象を最小限に抑え、セキュリティを強化し、リソースの管理を改善するために必要な洞察が得られます。ただし、ネットワークトラフィックを監視する方法を知るだけでは不十分です。ネットワーク監視ツールのデータソースも考慮することが重要です。最も一般的なのは、フローデータ(ルーターなどのデバイスから取得)とパケットデータ(SPAN、ミラーポート、ネットワークTAPから)の2つです。
昨今では、サイバー攻撃が「発生したらどうするかではなく、いつ発生してもよいようにする」という考え方が求められるため、できるだけ多くの組織の環境を確実に網羅することは、セキュリティ専門家にとって非常に困難に思われることでしょう。ネットワークは攻撃対象の重要な要素です。ネットワークデータを可視化することで、攻撃を検知して早期に阻止できる領域が1つ増えます。
NTAをセットアップする際、適切なソースからデータを確実に収集することが重要となるステップとなります。フローデータは、トラフィック量を突き止めて、ネットワークパケットの始点から終点まで経路をマッピングするのに最適です。このレベルの情報は、許可されていないWANトラフィックを検出し、ネットワークリソースとパフォーマンスを利用するのに役立ちます。しかし、サイバーセキュリティの問題を掘り下げるには、詳細情報とコンテキストが不足している可能性があります。
ネットワークパケットから抽出されたパケットデータは、ネットワーク管理者がユーザーによるアプリケーションの実装/操作方法を理解し、WANリンクの使用状況を追跡し、疑わしいマルウェアやその他のセキュリティインシデントを監視するのに役立ちます。ディープパケットインスペクション(DPI)ツールは、RAWデータのメタデータを読み取り可能な形式に変換し、ネットワークとセキュリティの管理者が詳細情報に、深堀調査できるようにすることで、ネットワーク全体を100%可視化します。
ネットワーク境界を注意深く監視することは、非常に良いことです。強力なファイアウォールが設置されていても、ミスが発生し、不正なトラフィックが通過する可能性があります。 ユーザーは、トンネリング、外部アノニマイザー、VPNなどの方法を利用してファイアウォールルールを回避することもできます。
さらに、 最近では 、ランサムウェア が一般的な攻撃タイプ として台頭しているため、ネットワークトラフィックの監視がさらに重要になっています。ネットワーク監視ソリューションは、安全ではないプロトコルを介したランサムウェア攻撃の兆候を示すアクティビティを検出できる必要があります。例として、WannaCryでは、攻撃者がTCPポート445が開いているネットワークを積極的にスキャンし、SMBv1の脆弱性を使用してネットワークファイル共有にアクセスしているアクティビティです。
リモートデスクトッププロトコル(RDP)も、一般的にターゲットとなっているアプリケーションです。ファイアウォールで確実に受信接続をすべてブロックしてください。ファイアウォール内のトラフィックを監視すると、ルールを検証したり、貴重な洞察を得たりすることができますし、ネットワークトラフィックベースのアラートのソースとして使用することも可能です。
Telnetなどの管理プロトコルに関連する不審なアクティビティには注意が必要です。Telnetは暗号化されていないプロトコルであるため、セッショントラフィックにより、デバイスのメーカーとモデルに適したコマンドラインインターフェース(CLI)コマンドシーケンスが外から丸見えになってしまいます。 CLI文字列で、ログイン手順、ユーザー資格情報の提示、ブートまたは実行構成を表示するコマンド、ファイルのコピーなどが外から丸見えになります。次のような暗号化されていない管理プロトコルを実行しているデバイスのネットワークデータを必ず確認してください。
ネットワークエッジとネットワークコアの両方にネットワークトラフィック分析を実装することにより、運用上、セキュリティ上の多くの問題を調査できます。トラフィック分析ツールを使用すると、大量のダウンロード、ストリーミング、疑わしいインバウンド/アウトバウンドトラフィックなどを見つけることができます。 ファイアウォールの内部インターフェースを監視することから始めてください。これにより、特定のクライアントまたはユーザーへのアクティビティを追跡できます。
さらに、NTAにより、エンドポイントだけでなく、ネットワーク上の脅威に対する可視化が可能になります。モバイルデバイス、IoTデバイス、スマートTVなどの台頭により、ファイアウォールからのログだけでなく、より多くのインテリジェンスが必要になっています。 ファイアウォールログは、ネットワークが攻撃を受けている場合でも問題となります。ファイアウォールのリソース負荷が原因でアクセスできなくなったり、上書きされたり(場合によってはハッカーによって変更されたり)、科学的に調査するために重要となる情報が失われることがあります。
ネットワークトラフィックの分析、監視には、次のような用途が挙げられます。
ネットワークトラフィックを監視するすべてのツールが同じという訳ではありません。一般に、フローベースのツールとディープパケットインスペクション(DPI)ツールの2つのタイプに分類できます。これらのツールには、ソフトウェアエージェント、履歴データの保存、侵入検知システムのオプションがあります。ソリューションの組織への適性を評価する際は、次の5つのことを考慮してください。
フロー対応デバイス:フローのみに対応したCisco NetflowのようなNTAツールに対してフローを生成可能なフロー対応デバイスがネットワーク上にあるでしょうか。管理下にあるスイッチを介して通信されているすべてのネットワークのRAWデータのトラフィックに対応しているのでデバイスベンダーに依存していません。ネットワークスイッチとルーターは、特別なモジュールやサポートを必要としません。管理対象のスイッチからのSPANまたはポートミラーからのトラフィックのみが必要です。
ネットワークトラフィック分析は、ネットワークの可用性とアクティビティを監視して異常を特定し、パフォーマンスを最大化し、攻撃を監視するための重要な方法です。ログ集約、UEBA、、エンドポイントデータに加えて、ネットワークトラフィックは、脅威を早期に発見して迅速に消滅させるための包括的な可視性とセキュリティ分析の中核を担っています。NTAソリューションを選択する際は、ネットワーク上の現在の盲点、情報が必要なデータソース、効率的な監視のために収束するネットワーク上の重要なポイントを考慮してください。NTAをセキュリティ情報/イベント管理(SIEM)ソリューションの1つのレイヤーとして追加することで、 より多くの環境とユーザーの可視化が可能となるのです。