大規模な組織で何年も使用されてきた高度なサイバー犯罪対策テクノロジは、現在、小規模な企業でも利用できるようになりました: Network Detection and Response.
現在のサイバー犯罪の嵐の中で身を守ることは、多くの場合、予算とリソースが限られている中小企業にとっての課題です。 脅威は既存のサイバー セキュリティ ソリューションよりも急速に進化しており、小規模な IT 部門では対応できません。
誰にでも襲いかかるランサムウェア
ランサムウェア攻撃はどこにでもありますが、脅威の状況はそれだけにとどまりません。高度で持続的な脅威、内部関係者による脅威、およびサプライ チェーン攻撃は、多くの日常的な脅威の XNUMX つです。 攻撃者は、人工知能 (AI)、暗号化、脆弱性スキャンなど、サイバーセキュリティ ベンダーと同じ最先端技術を使用しています。 サービスとしてのマルウェアとランサムウェアの成熟したブラック マーケットの恩恵を受けます。 彼らは、クラウド ソリューション、IoT、および ID フェデレーションの急速な採用により拡大し続ける攻撃対象領域の恩恵を受けています。 たとえば、Solarwinds や Kaseya に対する最近のサプライ チェーン攻撃は、従来のセキュリティ ツールにとって完全に正当なもののように見えます。 IoT デバイス、管理されていないデバイスまたは個人のデバイス、忘れられた仮想マシンまたはコンテナーは、セキュリティの盲点を生み出します。
XNUMX つのダッシュボードにまとめられたリソース
幸運にも中小企業にセキュリティ アナリストがいる場合、それらのリソースは複数のダッシュボードを調べて、複雑な脅威や攻撃を検出して理解する必要があります。 これらは、中小企業の IT セキュリティの責任者から耳にする典型的な文です。 ネットワークとデバイスの一部しか見えません。」 非常に多くのセキュリティ ツールが存在する中で、彼らはアラートの優先順位を付ける方法を知りません。「最初に何をすべきか、何を無視すべきか?」 また、脅威に対応するときは、意味のある結果を得るために、さまざまなシステムとログを手動で掘り下げる必要があります。 「セキュリティ インシデントの根本原因を調査するには、非常に非効率的で時間がかかりすぎます。」
ネットワーク内の脅威の検出
何年にもわたって変わっていないことが XNUMX つあります。それは、すべての主要なセキュリティ侵害にはネットワーク トラフィックが関与していることです。 たとえば、ハッカーがデータを盗もうとする場合、特定の場所に戦利品を持ち込む必要があります。 サプライ チェーンに対する「サンバースト」攻撃などの最近の攻撃は、(a) ネットワーク トラフィックに問題があることを認識し、(b) そのアクティビティに即座に反応して停止できるようにすることによってのみ検出できます。
これには、ネットワーク層での検出と自動応答が必要ですが、今日ではほとんどの組織 (通常は大企業) がこれを実装していません。 Gartner は、Network Detection and Response (NDR) を「主に非署名ベースの手法を使用して...エンタープライズ ネットワーク上の疑わしいトラフィックを検出する」ソリューションと定義しています。 アナリストによると、NDR ツールは「生のトラフィックやストリームの記録を継続的に分析し、通常のネットワーク動作を反映するモデルを構築し」、システムは「疑わしいトラフィック パターンを検出すると」アラートを発行します。 NDR ソリューションのその他の重要な機能は、自動応答または手動応答です (11 年 2020 月 XNUMX 日に発行された Gartner の「ネットワーク検出と応答のマーケット ガイド」を参照してください)。
NDR ソリューションは、ネットワーク上の資産を識別します
つまり、NDR ソリューションは、IoT デバイスや管理対象外のデバイスを含む、ネットワーク上のすべての資産を識別します。 これは、完全なネットワーク メタデータとネットワーク トラフィック (東西および南北両方のトラフィック (つまり、内部トラフィックとネットワーク境界を通過するトラフィック)) を分析します。 ネットワークに配置されたセンサーを使用して、トラフィックを監視し、すべてのネットワーク メタデータを追跡し、このデータをエンドポイント セキュリティ、EDR、ファイアウォール、SIEM、SOAR ソリューションなどの他の既存のセキュリティ ソリューションからのログと統合します。 NDR はこのデータのコピーを処理するため、ネットワークでエージェントやその他の変更を行う必要はありません。
ネットワークの 360 度ビュー
その結果、組織は外部または内部の脅威を理解するための 360 度ビューを取得します。 彼らは、データがネットワークから海外の疑わしい場所に送信されたときに確認します。 PC が悪意のあるドメインや URL にアクセスすると、彼らは気づきます。 マルウェアがデータの暗号化されたコピーをネットワーク上に置くと、あなたは気づきます。 IP cam の Web サーバーに脆弱性があることが判明すると、セキュリティ アナリストに通知します。 また、自動化された対応機能により、これらの脅威の多くを即座に阻止して軽減することができます。
ForeNova Technologies の DACH-NL リージョナル ディレクターである Thomas Krause 氏 (画像: ForeNova)。
NDR は新しいものではなく、すでにいくつかの変更が行われています。 以前は NTA (ネットワーク トラフィック分析) または NTSA (ネットワーク トラフィック セキュリティ分析) と呼ばれていました。 このアプローチは現在成熟しており、より洗練された応答要素を備えています。 とはいえ、現在では大企業でほぼ独占的に使用されている非常にまれなツールです。 何故ですか?
大量のデータによって誤検知が発生する可能性があります
重要な点は、これらの大企業が何が危機に瀕しているかを正確に知っているということです。 彼らのビジネスが直面する存続に関わるリスクと果てしなく続く攻撃面を認識している彼らは、本当に役立つソリューションに代償を払う気はありません。 また、専門家がそれらを実行するために必要な人材も提供します。 主な課題は、NDR ツールが調査する大量のデータが原因で、多くの誤検知を返す傾向があることです。 そのため、これまで、大量の誤検知に対処するチームに資金を提供するために、NDR から利益を得たい場合は、かなりのサイバーセキュリティ予算が必要でした。 さらに、大企業だけが、この大量の偽陽性に対処する意思と能力を備えていました。
NDR を中小企業向けに管理しやすく手頃な価格にする
最近の進歩により、NDR は小規模な企業にとってより管理しやすくなっています。 一言で言えば、次の XNUMX つの NDR イノベーションはゲームを変えるものです。
- 人工知能: 従来の NDR ツールは、モデル化されたネットワーク動作からの多くの逸脱を検出しました。 しかし、これらすべてが真の脅威をもたらしたわけではなく、実際、それらのほとんどは誤報でした。 これらの誤検知に対処するには、多くの専門家が必要でした。 人工知能を使用して、最新の NDR ツールは、自動的に対処する必要があるイベント、または人間の専門家による調査が必要なイベントにアラートを絞り込むことで、中小企業向けに機能するようになりました。
- 機械学習: 今日の機械学習は、ネットワーク トラフィックの通常の動作を以前の世代よりもはるかに正確にモデル化できます。 さまざまな学習アルゴリズムが、ネットワーク データ内の何百もの要素を識別して関連付け、より詳細なモデルを導きます。
- 高度に視覚化されたユーザー インターフェース: クリーンで視覚化されたユーザー インターフェースほど、セキュリティ アナリストの時間を節約できるものはありません。 何が重要で、何をする必要があるかを簡単に把握できます。 また、明確で視覚化されたレポートを取得すると、経営陣に何が起こったのかを説明するのがはるかに簡単になります。
- ネットワーク内のすべての資産の自動検出: ネットワーク内の死角は、ハッカーやマルウェアにとって完璧なエントリ ポイントです。 見えないものは守れない。 自動検出の助けを借りて、最新の NDR ツールは早い段階で盲点を排除し、セキュリティ アナリストにネットワークへのリアルタイムの洞察を提供します。
- エンドポイント保護、ファイアウォール、SIEM、EDR、およびその他のツールとの統合: 統合は XNUMX つの方法で機能します。 一方で、既存のセキュリティ テクノロジからのログ ファイルの集約は、通常の状態のモデル化に役立ちます。 一方で、反応を早めることもできます。 たとえば、定義済みのプレイブックを使用すると、感染したエンドポイントの即時隔離や、ファイアウォールでのアウトバウンド トラフィックの中断を自動化できます。 ハッキングされた場合、その影響を軽減するには時間が重要です。 また、他のセキュリティ システムとの統合により、時間を節約できます。
- インシデントの自動調査とイベントの関連付け: 高度な攻撃は、常に複雑な攻撃チェーンで構成されています。 システムが侵害された場合、または何か疑わしいと思われる場合、セキュリティ アナリストは時間の経過とともに脅威がどこから来ているのかを把握する必要があります。 最新の相関エンジンを使用すると、あらゆるイベントをその根本原因まで簡単に追跡し、脆弱性やギャップを埋めることができます。
- 標準的な対応策: ほとんどすべての中小企業がそうであるように、IT セキュリティ リソースは限られているため、企業は脅威への対応を可能な限り自動化する必要があります。 感染したネットワーク リソースを隔離するなど、事前定義されたデフォルトの応答を使用すると、ほぼリアルタイムで攻撃を軽減できます。 NDR ツールは、電子メールや SMS、チーム メンバー、パスワードのリセット、ファイアウォール ルールの更新など、複数のアクションを一度にトリガーするプレイブックを定義できます。
最近の NDR の開発のおかげで、より多くの中小企業が、増大する攻撃面でますます高度化する脅威を検出できるようになりました。 NDR ソリューションは、実際の脅威と誤検知を区別し、アクションに優先順位を付け、脅威の修復を自動化するため、必要なリソースが少なくて済みます。 それはまだ完全な嵐ですが、NDR の助けを借りて、中小企業は自分自身を保持するためのより良い準備ができています.
詳しくは ForeNova.com をご覧ください
ForeNova について ForeNova は、サイバー脅威による被害を効率的に軽減し、ビジネス リスクを最小限に抑えるために、手頃な価格で包括的なネットワーク検出および対応 (NDR) を中規模企業に提供する、米国を拠点とするサイバーセキュリティ スペシャリストです。 ForeNova は、フランクフルトでヨーロッパの顧客向けのデータセンターを運営しています。 M. は、GDPR に準拠したすべてのソリューションを設計します。 ヨーロッパの本部はアムステルダムにあります。