NDR – Network Detection & Response は現在、IT セキュリティにおけるセキュリティ テクノロジとして考えられており、企業ネットワークに欠かすことはできません。 しかし、すべてのデータを評価し、対応を主導するのは誰でしょうか? ここでの魔法の言葉は、MDR (マネージド検出および対応サービス) です。 ソフォスのセキュリティ専門家、Michael Veit 氏へのインタビュー。
効果的なセキュリティ ソリューションには、ネットワーク化されたエンドポイント保護、次世代ファイアウォールなどの技術コンポーネントが含まれており、これらはセキュリティ サービスの形で人工知能と人間の専門知識と組み合わせられています。
従来のセキュリティ ソリューションは多数の攻撃や悪意のある異常を検出して防御しますが、ネットワークの直接的な保護は長い間無視されてきました。 ただし、攻撃者がネットワークへのアクセスを発見すると、追跡するのは困難です。 エンドポイント保護もファイアウォールも、すでにネットワーク内にいる攻撃者を確実に検出することはできません。 このようにして、攻撃者は、実際の攻撃やデータ盗難の準備をするために、妨げられることなく、秘密裏にネットワークを長期間横方向に移動 (横方向移動) することができます。
NDR は優れています – MDR が優れています
Sophos のセキュリティ エキスパート、Michael Veit (画像: Sophos)。
NDR (Network Detection and Response) は、今や強力なネットワーク セキュリティに不可欠です。 NDR 検出テクノロジは、ネットワークのステータスと保護について非常に優れた概要を提供しますが、無害なメッセージと危険なメッセージも理解する必要があります。 最後に、NDR での「対応」ポイント、つまり攻撃やインシデントの兆候に応じて適切な措置を講じることも重要です。
ソフォスは、ソリューションでまさにこの点に対処し、24 時間 7 日、サイバーセキュリティとしての管理された検出と対応をサービスとして企業に提供します。 ソフォスのセキュリティ専門家である Michael Veit 氏がインタビューで、MDR がソフォスとどのように連携するのか、何ができるのか、そして重要な点は何かについてインタビューに答えています。
MDR と組み合わせた NDR の強み – Cybersecurity as a Service
B2B サイバー セキュリティ: NDR は企業にとってどのような強みを持っていますか?
マイケル・ベイト、ソフォス: 「最新の NDR ソリューションは、ネットワークの奥深くにある攻撃も検出します。 トラフィックを監視し、管理されていないシステム、IoT デバイス、未承認のユーザーや資産、その他のネットワーク トラフィック ソースからのアクティビティも検出します。 個人データを危険にさらすことなく、暗号化されたパケットデータを検査することもできます。」
ソフォスなどの新世代の NDR は、複雑で絶えず進化する脅威の状況に対処するために設計された高度なネットワーク監視ソリューションです。 330 つの独自の検出エンジンとディープラーニング分析を組み合わせて、幅広いネットワークの脅威に関する実用的なインテリジェンスをリアルタイムで提供します。 検出エンジンは、50 を超えるプロトコル、XNUMX のフロー リスク、および数千の IOC に基づいてネットワーク トラフィックを分類します。 これらのエンジンには、誤検知を最小限に抑えながら脅威検出の新たなレベルの精度を提供する複数の深層学習モデルも含まれています。」
B2B サイバー セキュリティ: なぜ企業は MDR を NDR と組み合わせて利用する必要があるのでしょうか?
マイケル・ベイト、ソフォス: 「ネットワーク内の異常または攻撃パターンを検出することは、最初のステップにすぎません。 NDR システムは企業に警告するとともに、問題や攻撃に関する関連情報も提供します。 これらは正しく解釈され、「応答」部分が完全に満たされる必要があります。 そして、多くの企業にとって問題はまさにここにあります。なぜなら、対応できる専門家がいないからです。 MDR では動作が異なります。攻撃者が検出されたら、ネットワークから攻撃者を排除し、抜け穴を塞ぐ必要があります。 これは、セキュリティ エコシステムのもう XNUMX つの重要なコンポーネントである MDR (マネージド検出および応答サービス) を介して自動的に行われます。 MDR サービスは、NDR ソリューションによって、これまで検出されていなかった攻撃者が企業ネットワーク内に存在する可能性があることを自動的に通知されます。
この情報をもとに、ソフォスの MDR セキュリティ オペレーション センター チームは直ちに行動を起こし、NDR レポートを調査して攻撃者を排除します。 同時に、フォレンジックの専門家は、残留マルウェアを発見したり、ネットワーク内の権利の操作や変更を検出して修正したりするために、攻撃経路を調査しています。 このような一連のインシデントを正確に処理することだけが、攻撃に対する完璧な対応となります。」
B2B サイバー セキュリティ: NDR の特別な機能は何ですか?
マイケル・ベイト、ソフォス: 「NDR テクノロジーは、企業に暗いネットワークに多くの光をもたらします。 これは、エンドポイント センサーで完全に管理できない正規の IoT デバイスや OT デバイスなど、未知のネットワーク デバイスや保護されていないネットワーク デバイスを識別するのに役立ちます。 これらには、ネットワーク上の IoT デバイス、プリンター、または古いシステムなどが含まれます。 忘れ去られ、IT セキュリティによって考慮されず保護されていないネットワーク デバイスも、ハッカーに人気があります。 NDR は、攻撃を示す可能性のある不審な動作や悪意のある動作がないか、そのようなデバイスを識別して監視します。
さらに、ネットワークに導入された未承認の資産は、すでに侵害されているか、攻撃の開始に使用されている可能性があり、Sophos NDR によって簡単に検出および監視できます。」
B2B サイバー セキュリティ: ソフォス NDR は最新の攻撃も検出しますか?
マイケル・ベイト、ソフォス: 「それは非常に興味深い点です。 このソリューションは、これまでに見たことのないコマンド アンド コントロール (C2) アクティビティも検出します。 なぜなら、多くの攻撃やセキュリティ侵害はリモートで制御されているからです。 一見すると、攻撃者とネットワーク内のリモート プロセス間の通信の一部は正当なもののように見えます。 NDR は、新しいゼロデイ C2 アクティビティを検出できるため、標的を絞った高度に特殊な攻撃を初期段階で検出できます。
このソリューションのもう XNUMX つの特別な機能は、不審なネットワーク トラフィック フローを早期に検出することです。 ソフォスは異常なトラフィック パターンを識別することもできるため、既知のマルウェアによって生成された有害なトラフィックを検出できます。 例: ソフォスは、QBot または Qakbot のトラフィック パターンを分析し、不審なネットワーク トラフィック フローと比較しました。 これは、QBot による攻撃が特定された方法でもあります。 その背後にあるテクノロジー: ソフォスの NDR EPA (暗号化ペイロード分析) モデルは、パケット ストリームを画像に変換します そしてニューラル ネットワークを使用して、画像が Qakbot データ ストリームまたは別のマルウェア ファミリ (例: Bumblebee、Cobalt Strike、Emotet、Dridex) から期待されるものと一致するかどうかを判断します。」
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。