ソフォス、Braintrace社を買収、NDR（Network Detection and Response）テクノロジーで 適応型サイバーセキュリティのエコシステムを強化へ

※本資料は2021年7月22日（現地時間）に英国オックスフォードにて発表されたプレスリリースの抄訳です。

次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス（日本法人：ソフォス株式会社　東京都港区 代表取締役 中西 智行）は本日、Braintrace社を買収したことを発表しました。Braintrace社が独自に開発したNDR（Network Detection and Response）テクノロジーにより、ソフォスの適応型サイバーセキュリティ・エコシステム(Sophos ACE: Sophos Adaptive Cybersecurity Ecosystem)がさらに強化されます。Braintrace社のNDRを使用すると、暗号化されたトラフィックを含むネットワークトラフィックのパターンを、手動で復号化することなく、詳細に可視化することが可能です。Braintrace社は、米ユタ州ソルトレイクシティにある2016年に設立された株式非公開企業です。

今回の買収に伴い、Braintrace社の開発者、データサイエンティスト、セキュリティアナリストは、ソフォスのグローバルなMTR（Managed Threat Response）およびRapid Responseチームに参加します。ソフォスのMTRおよびRapid Responseサービス事業は急速に拡大しています。ソフォスは5,000社以上の顧客に現在サービスを提供しており、世界最大級で最も迅速に成長を続けているMDRプロバイダーとしての地位を確立しています。

Braintrace社のNDRテクノロジーは、ソフォスの全製品とサービスを支える適応型サイバーセキュリティ・エコシステムに統合され、ソフォスのMTR、Rapid Responseのアナリスト、XDR（Extended Detection and Response）の顧客を支援するために利用されます。また、Braintrace社のテクノロジーは、ファイアウォール、プロキシ、VPN（仮想プライベートネットワーク）などからサードパーティーのイベントデータを収集し、転送するためにも利用できます。これらの可視化とイベント読み込み機能のレイヤーが追加されることで、脅威の検出、脅威ハンティング、攻撃が疑われる挙動への対応が大幅に強化されます。

ソフォスの最高テクノロジー責任者（CTO）であるJoe Levyは、次のように述べています。「何があるのかを把握していない状態では、何も保護することはできません。企業はその規模を問わず、オンプレミスそしてクラウドにある資産や攻撃対象領域を正しく認識していないことが多くあります。攻撃者はこの状況を悪用し、攻撃の足掛かりを最初に築くために適切に保護されていない資産を標的とすることが多くあります。防御側の組織は、Braintrace社のテクノロジーによって“ネットワーク管制システム”を構築でき、侵入防御システム（IPS）よりも信頼性の高い方法で、すべてのネットワークアクティビティを把握し、特定および保護されていない資産を明確にし、回避型のマルウェアを捕捉することが可能になります。MDR（Managed Detection and Response）のお客様がセキュリティ保護で優れた成果を実現できるようにBraintrace社がこのテクノロジーを構築してきたことは特筆に値します。実環境におけるサイバーセキュリティの問題を解決する上で、熟達したセキュリティ担当者や開発者から構成されるチームが構築したソリューションは極めて優れた効果を発揮します」

ソフォスは、Braintrace社のNDRテクノロジーを仮想マシンとして展開し、SPAN（Switched Port Analyzer）ポートやネットワークTAP（Test Access Point）などの従来のオブザーバビリティ（可観測性）ポイントから利用できるようにし、ネットワーク境界での南北トラフィックやネットワーク内での東西トラフィックを検査します。NDRは、暗号化されているネットワークトラフィックも含め、あらゆるタイプのネットワークの脅威を検出でき、Sophos Firewallの復号機能を補完する役割を果たします。このテクノロジーのパケットおよびフローエンジンは、コマンドアンドコントロール（C2）サーバーへの接続、水平方向への移動、疑わしいドメインとの通信など、攻撃が疑われるあるいは悪意のあるネットワークパターンを検出するように訓練されるさまざまな機械学習モデルに供給されます。Braintrace社のNDRテクノロジーは、予測型のパッシブ監視を主な目的として構築されています。そのエンジンはインテリジェントなネットワークパケットキャプチャも提供しており、ITセキュリティ管理者や脅威ハンターが脅威を調査するときに攻撃を裏付けるために利用することが可能です。この新しいNDR分析と予測手法は現在特許出願中です。

ガートナー社は次のような見解を述べています。「NDRは、シグネチャという形式で悪意のあるアクティビティを事前に定義し、トラフィックを検査し、一致する挙動を特定する検知エンジンを利用する従来のアプローチとは異なるアプローチを採用しています。NDRは、既知の悪意のあるペイロードやアクティビティリストと照合しながらトラフィックを検査するだけでなく、ネットワークトラフィックの未知のパターンを探し、特異なパターンが検出された場合にそれが悪意のあるものであるかどうかの確率を計算することにも重点を置いています」¹ また、ガートナー社は次のような見解も示しています。「多くのNDR製品の中核的な機能を担っているこの機械学習アルゴリズムは、他の検出手法では捕捉できないことのある異常なトラフィックを検出するためにも役立ちます。オプションの自動応答機能を使用すれば、インシデント対応の担当者の作業負荷を軽減できます。また、インシデント対応の担当者は、脅威ハンティング機能を効果的に活用することが可能です」²

Braintrace社のCEOであり共同設立者でもあるBret Laughlin氏は次のように述べています。「NDRは脅威ハンティングを成功させるために不可欠です。Braintraceの差別化要素には、当社のMDRアナリストがサイバー攻撃の特定、防止、修復に活用してきた独自のNDRテクノロジーがあります。「独自のNDRテクノロジーにより、暗号化されたトラフィックをリアルタイムで自動的に可視化し、脅威を検証できるため、チームは迅速かつ正確に脅威に対応することが可能になります。Braintrace社のNDRテクノロジーは脅威を検出する目的で一から構築された製品ですが、今回の買収により、包括的なシステムに組み込まれ、マルチベンダーのエコシステムで製品横断的な検出と応答を実現できるようになります」

Braintrace社のNDRテクノロジーは、現在および今後のサイバー攻撃を防御するうえで重要な要素です。ソフォスの調査から、攻撃者がいかに積極的に、そして絶えず戦術を変えて、検知を回避しながら攻撃を実行しているかが明らかになっています。Braintrace社のテクノロジーは、ColbaltStrike、BazaLoader、TrickBotなどのマルウェアや、ランサムウェア攻撃などにつながる恐れのあるゼロデイの脆弱性を攻撃する悪意のあるC2トラフィックを検出するために役立ちます。この可視化機能により、脅威ハンターやアナリストは、REvilやDarkSideによる最近の攻撃など、あらゆるランサムウェア攻撃の可能性を事前に検知することができます。 

ソフォスは、2022年の上半期にMTRとXDRにBraintraceのNDRテクノロジーを導入する予定です。

¹ Gartner、Emerging Technologies: Adoption Growth Insights for Network Detection and Response（先進テクノロジー：ネットワーク検出と応答テクノロジーを採用するためのインサイト）、2021年3月24日、Nat Smith、Christian Canales、Josh Chessman

² Gartner、Hype Cycle for Network Security（ネットワークセキュリティのハイプサイクル）、2021年7月14日、Shilpi Handa、Pere Shoard