NDR (Network Detection and Response) とは?
企業は、NDR (Network Detection and Response) ソリューションを使用してネットワークトラフィックを監視することができます。NDR ソリューションは、ネットワーク全体でサイバー脅威や異常な動作を識別し、ネットワーク攻撃を通知し、企業に代わって対応します。さらに、NDR ソリューションは、ネットワークセキュリティに関する洞察を提供するので、企業はその情報に基づいてネットワーク保護とセキュリティポスチャ全般をさらに強化することも可能です。
NDR について
NDR (Network Detection and Response) とは、ネットワークトラフィックデータにネットワーク動作分析を適用して異常な動作を特定する製品を指す、と Gartner は定義しています。これらの製品は、内部ネットワーク (東西) とパブリックネットワーク (南北) 間のネットワークパケットやトラフィックメタデータを分析します。提供はハードウェアおよびソフトウェアアプライアンス、オンプレミスソフトウェア、または SaaS を通じて行われます。
NDR ソリューションは、人工知能 (AI)、機械学習 (ML)、データ分析を使用してネットワークの動作を評価し、それに基づいてモデルを構築します。ネットワークの脅威を検知し、直ちにユーザーに通知し、適切な対応をします。
NDR (Network Detection and Response) はなぜ重要なのか?
サイバー犯罪者は、EDR (Endpoint Detection and Response) ソリューションやその他の多くのセキュリティツールやテクノロジーを回避することができます。また、システムログの無効化や削除も可能です。しかし、ネットワークに潜むことはできません。これが、NDR (Network Detection and Response) が重要である理由です。
NDR ソリューションを使用すれば、他のセキュリティツールやテクノロジーでは必ずしも検出できないネットワーク上の悪意のある活動を監視ができます。NDR ソリューションは、ネットワーク内の異常なネットワークトラフィックフローを検出することができます。これにより、ネットワーク境界のセキュリティの確保と、ネットワークを出入りするトラフィックの制御が可能になります。
NDR (Network Detection and Response) の仕組みとは?
NDR (Network Detection and Response) ソリューションは、機械学習 (ML) やその他のシグネチャベースではない分析手法を使用して、疑わしいネットワーク活動を特定します。ネットワークトラフィックを監視して分析し、その情報に基づいて通常のネットワーク動作のベースラインを確立します。このベースラインから逸脱があった場合、NDR ソリューションはネットワークの潜在的脅威についてユーザーに通知します。
さらに、NDR ソリューションは、ファイアウォールソリューションでは提供されない高度な洞察を提供します。また、ファイアウォールやエンドポイントセキュリティソリューションでは検出できない、ネットワーク全体を移動する疑わしいアクティビティも特定します。
NDR ソリューションが特定する脅威
- 管理されていない IoT (モノのインターネット) デバイス、および OT (オペレーショナルテクノロジー) デバイス
- 不明または未確認のネットワークシステム
- インサイダーの脅威
- ラテラルムーブメント
- コマンドアンドコントロール (C2) の活動
- 悪意のあるネットワークトラフィックのフローとパターン
- マルウェア
- ランサムウェア
- ブルートフォース攻撃
- ソーシャルエンジニアリング
- データ窃取と操作
- リスクのある動作 (エンドポイントへのリモートアクセスの提供、ユーザーアカウントの共有など)
NDR の主な機能
- インシデントの検出:ネットワークトラフィックの異常やパターンを識別し、セキュリティインシデントが拡大する前に検出します。
- 脅威の調査:ネットワークトラフィックとパターンを追跡し、セキュリティアナリストと情報を共有します。セキュリティアナリストは、この情報を使用して、インシデントを調査します。
- 脅威インテリジェンス:組織内外からの脅威データを収集して分析します。組織はこの脅威インテリジェンスを他のセキュリティ製品と共有することで、それらの製品から最大限の価値を引き出すことができます。
- セキュリティアラート:セキュリティアラートにより、組織のセキュリティポスチャ、および組織が直面する脅威に関する洞察が得られます。
- 脅威の防止:ファイアウォールやその他のセキュリティツールおよびテクノロジーと連携して、データ侵害につながる不審なネットワークトラフィックをブロックします。
NDR (Network Detection and Response) のメリット
ネットワークの包括的な可視化
NDR ソリューションにより、ネットワーク上のすべてのアクティビティを把握できます。ネットワークがサイバー犯罪者の攻撃を受けた場合、何が起きたのかを正確に把握できます。これにより、サイバー犯罪者の戦術、技術、手順 (TTP) を理解し、それらに対する防御策を講じることができます。
迅速な脅威への対応と修復
NDR ソリューションを使用すると、ネットワーク攻撃を初期段階で検出できます。NDR ソリューションは、攻撃が開始されると同時にその攻撃に関する情報を提供します。これにより、組織、従業員、顧客に被害を与える前に攻撃を阻止することができます。
確実な分析
一般的に、NDR ソリューションはネットワークパケットを分析して、ユーザーとデバイスの動作を評価し、攻撃を特定します。このソリューションは、すべてのエンティティでのネットワークの動作をプロファイリングし、この情報に基づいてベースラインを確立し、異常な攻撃を検出します。このソリューションは、改ざんや削除が不可能なネットワークデータを使用するため、ネットワークの動作に関する SSoT (Single Source of Truth:信頼できる唯一の情報源) となります。
コスト削減と時間短縮
NDR ソリューションのログの設定やログ形式の標準化に多くの時間や費用をかける必要がなくなります。ほとんどの NDR ソリューションは、ネットワークパケットにアクセスし、ネットワークデータを解析して保存することができます。また、ネットワーク動作の正確なプロファイリングと攻撃の検出に必要な動作のメタデータを抽出して保存することも可能です。
クラウドのシームレスな導入
多くのNDR ソリューションはクラウドから提供されます。つまり、ネットワークデータを収集・分析するためにログサーバーを展開する必要がないということです。ファイアウォールやその他のネットワークセキュリティ製品からネットワークログを収集することもでき、ネットワークセンサーへの投資や設定も不要です。
NDR (Network Detection and Response) の課題
- 進化するサイバー脅威の状況:サイバー犯罪者は、ネットワークに侵入するための新たな TTP を常に開発しています。
- 攻撃対象領域の拡大:デジタル環境が急速に拡張していることで、サイバー犯罪者にとっての攻撃対象領域は拡大し、ネットワークを攻撃する機会もかつてないほど増大しています。
- サイバーセキュリティスキルのギャップ:スキルのあるサイバーセキュリティ専門家が不足しているため、NDR ソリューションの導入と管理が困難になる場合があります。
- 予算の制限:多くの組織では、NDR ソリューションを日常業務に統合するために必要な時間とリソースが不足しています。
NDR と EDR の比較
NDR ソリューションはネットワークトラフィックを監視します。一方、EDR (Endpoint Detection and Response) ソリューションは、コンピュータ、モバイルデバイス、サーバーなどのエンドポイント全体で不審な活動を検出します。EDR ソリューション は、エンドポイントの不審な活動を特定すると、ユーザーに通知します。また、EDR ソリューションはエンドポイント攻撃に対処し、エンドポイント保護の最適化に役立つ分析を提供することもできます。
NDR と MDR の比較
NDR (Network Detection and Response) は MDR (Managed Detection and Response) の一部であり、MDR では、脅威の検出・対応機能をマネージドセキュリティサービスプロバイダー (MSSP) にアウトソーシングすることができます。MDR ソリューションでは、MSSP が組織の IT インフラストラクチャ全体にわたってサイバー脅威を追跡、監視、および対応します。MSSP は単独で脅威に対処することも、問題発生時に顧客企業と連携して解決することもできます。
NDR と XDR の比較
XDR (Extended Detection and Response) ソリューションは、ネットワーク、エンドポイント、クラウドデータを可視化します。同時に、IT インフラストラクチャ全体にわたって攻撃を自動的に検出し、修復します。また、現在の脅威と新たに発生する脅威に迅速に対応するための分析機能も搭載しています。
NDR (Network Detection and Response) ソリューションに求めるべき機能
コンテキストに沿った可視化
コンテキストに沿って可視化する NDR ソリューションであれば、ネットワークの活動をすべて 1 か所で確認できます。ネットワークを使用しているユーザー、そのユーザーが使用しているデバイス、どこからネットワークにアクセスしているか、共有されているデータなどを確認できます。これにより、脅威の検出、発生源の特定、侵害されたユーザーの特定などが可能になります。
シグネチャ非依存型の脅威検出
NDR ソリューションは、機械学習や動作モデリングなど、シグネチャベースではない分析手法を使用して、正常なネットワーク活動のベースラインを作成できるものでなければなりません。そのようなソリューションであれば、ネットワークトラフィックが正常な範囲から逸脱した際に、脅威を特定し、アラートを発行することができます。これにより、盗まれた従業員の認証情報がネットワークへのアクセスに使用された場合や、ネットワークデータの外部流出などのセキュリティ問題を迅速に検出することができます。
脅威の特定とアラートの送信
ネットワークへの通常とは異なるリモートアクセス、制限されているポートやプロトコルの使用、およびその他の潜在的な脅威を特定する NDR ソリューションを選択してください。そのようなソリューションは、精度の高いアラートを提供し、その深刻度に基づいて優先順位付けを行います。また、お客様の代わりに脅威に自動的に対応することも可能です。
脅威検出エンジン
最高クラスの NDR ソリューションは、クエリエンジンとディープラーニング予測モデルを使用して、暗号化されたトラフィックを分析し、関連付けられていないネットワークフロー全体でパターンを識別します。このようなソリューションは、既知のセキュリティ侵害の痕跡 (IOC) を使用して、暗号化されたネットワークトラフィックと暗号化されていないネットワークトラフィック全体で、攻撃者と悪意のある TTP (戦術、技術、手順) を特定します。また、ゼロデイの C2 サーバーやマルウェアファミリの新しい亜種を検出し、セッションベースのリスク要因に基づくアラートを送信することも可能です。
容易な管理とレポーティング
理想的な NDR ソリューションは、管理とレポート作成のための単一のダッシュボードを提供するソリューションです。このダッシュボードでは、複数のセキュリティ製品を同時に表示することができます。これにより、セキュリティ製品間で情報を共有し、セキュリティインシデントに自動対応することが可能になります。
より詳しい情報については、Sophos NDR エキスパートにお気軽にお問い合わせください。
関連するセキュリティトピック: MSSP (managed security service provider) とは?