2023年6月27日(火)、フォレスターはネットワーク分析と可視化(NAV)に関する最初のForrester Waveを発表した。最初の NAV Wave はアナリストの入れ替わりとそれに伴う専門知識の不足により中止されたため、これは NAV ベンダーの状況を評価するための Forrester の 2 回目の試みです。調査の評価によると、最新の脅威検知に関する専門知識は依然として不足している。
フォレスターは、顧客や市場全体から完全に切り離された、象牙の塔のようなゼロトラストの理想主義とレガシー・テクノロジーの理解という魅力的なブレンドに基づく、硬直した技術要件によって定義されたベンダー主導の考え方にはまり込んだままである。フォレスターは、評価のどこにも、ネットワーク、アイデンティティ、クラウドにまたがる最新の脅威検知とレスポンスに関する顧客の定義を考慮していない。
最も顕著な欠陥は、Forresterの方法論が他のどの基準よりも統合された復号化に重きを置いている一方で、ML/AIの使用や実際の脅威カバレッジの関連する側面を完全に無視しているという事実である。その結果、復号化機能を備えた純粋なシグネチャベースのIDSは、統合された復号化機能を持たない最先端のAIシステムを大幅に凌駕することになる。(もしかしたら、NAVはネットワーク・アンチウイルスの略かもしれない。)
NAVは欠陥のある考え方であり、Forrester Waveが現代の脅威検知を定義し、提供するテクノロジーを評価する際の手法にも欠陥があるため、顧客を大きく迷わせる可能性がある。その一例として、Forresterは、評価の事実誤認を指摘する際、ベンダーの反論を5つに限定しており、5つを超えるベンダーの虚偽の説明は議論されず、アナリストによって修正されることもない。私たちは、購入を検討している方には、レッドチームを使ってベンダーをテストすることを強くお勧めする。
彼らの手法の欠陥は枚挙にいとまがないが、ここでは現代の脅威検知に関して最も目に余る3つに焦点を当てる:
- 欠陥その1:Forrester社は、企業内のトラフィックはすべて暗号化されていると考えている。
- 欠陥その2:フォレスターは、NAVが脅威を発見するためには暗号化を解除する必要があると主張している。
- 欠陥その3:フォレスターは、ML/AIでは脅威のカバレッジよりもベースラインまでの時間の方が重要だと考えている。
これらの欠点が重なると、顧客に大きな運用負担を強いる一方で、その価値はほとんどない。
欠陥その1:Forrester社は、企業内のトラフィックはすべて暗号化されていると考えている。
フォレスター社が復号化に重点を置いているのは、すべての企業がゼロトラストの調整のためにすべてのトラフィックを暗号化している、あるいは近いうちに暗号化するようになるだろうという見解に基づいている。
Vectra AI 、世界で最もセキュリティ意識の高い企業を含む当社のインストールベース全体の暗号化率を長年にわたって監視してきました。最新の脅威技術(DCERPC、Kerberos、SMB、DNS)を検知 、ペイロードの可視化が必要なプロトコルのうち、暗号化されているのはわずか1%に過ぎず、その割合は増加していません。そう、1%だ!SMBv3が採用されても、この状況に大きな変化はありません。
なぜか?顧客は、内部トラフィックに暗号化を使用するメリットとデメリットを比較検討し、暗号化しないことを選択している。これは理にかなった選択である。復号化を管理するのは、統合された機能を使っても難しい。トラフィックを復号化したいすべての内部サーバーからすべてのキーをロードし、キーがローテーションするたびに更新しなければならない。
Forrester社のインタビューに答えたある企業顧客は、「現実問題として、現代の企業ですべてのプロトコルや通信を復号化しようとするのは、よくてもナイーブだ」と述べている。また、同じくForrester社のインタビューに答えた別の顧客は、統合された機能があっても、復号化は「時間、労力、追加的なオーバーヘッドに見合わない」と述べています。
フォレスター社にとっては、顧客視点よりもゼロトラストのドグマが重要なようだ。
欠陥その2:フォレスターは、NAVが脅威を発見するためには暗号化を解除する必要があると主張している。
つまり、価値の高いプロトコルは暗号化されない。暗号化されているのは、内部(約60%)と外部(90%以上)のウェブ・トラフィックである。フォレスターは、検知 の脅威に対して、これを解読することが重要だと主張している。繰り返すが、全くの誤りだ。
現代の脅威検知技術は、ML/AIとヒューリスティックをミックスし、脅威情報によって補強することで、攻撃手法とデータの動きを理解することで機能する。その際、復号化は必要ではないし、役に立ちさえしない。トラフィックが復号化されても、攻撃者のペイロードは企業が復号化できない形で暗号化されたままだからだ。
復号化によって得られるのは、IDSシグネチャを実行する能力だけだ。これには高い運用コストがかかる。PFS付きTLS 1.3のため、パッシブ復号化には、セッション・キーを転送するために、すべてのシステムがエージェントを実行する必要がある。IDSシグネチャを実行するために、さらに別のエージェントとそれに伴う頭痛の種が発生する!
SASE/プロキシでアウトバウンドトラフィックの復号化を行い、コンテンツ検査とポリシー施行を行い、インラインNGFWでインバウンドDMZトラフィックを行い、IDPSで既知のエクスプロイトをカバーするのはこのためです。NAVは、振る舞い 、最新の脅威や未知の脅威を発見するための脅威イン テルを提供することで、これらを補完している。
Vectra AI 暗号化されたトラフィックにおける攻撃(C2、エクスフィル、データステージング、ブルートフォース、スキャン/スイープ、管理プロトコルの不審な使用など)を正確に検知します。私たちの顧客の一人が言うように、"車が不安定な運転をしていることを知るために、中を見る必要はない"。
欠陥その3:フォレスターは、ML/AIでは脅威のカバレッジよりもベースラインまでの時間の方が重要だと考えている。
フォレスターがゼロトラストのために復号化にこだわるのは、この市場で最も重要な現実から完全に目を逸らしている。つまり、SOCが理解できる明確な脅威シグナルを、迅速なTime-to-Valueと低い運用オーバーヘッドで得ることだ。MLやAIの周辺には、頭がクラクラするようなマーケティング文句がたくさんあるが、シグネチャだけで最新の脅威検知システムが構築できると信じているまともな人間はいない。進化する新たな攻撃者の手法に対応するためには、優れたML/AIが必須なのだ。
ML/AIが考慮される範囲において、Forresterはベースラインにかかる時間で採点している。ベースラインが短いほどスコアは高くなる。繰り返すが、これはML/AIを評価する方法としては完全に破綻しており、見当違いである。管理者アカウントとサービスアカウントの使用について考えてみよう。これらは管理者業務の性質上、正確なベースラインを得るためには、少なくとも30日間の時間軸で学習する必要がある。もし2、3日しか覚えられないのであれば(通常はシステムの制限のため)、その結果はノイズとなり、ユーザーに手間をかけることになる。
一方、フォレスター社の手法は、AI/MLモデルが現代の攻撃の核心であるさまざまな攻撃手法をどの程度カバーしているかを完全に考慮していない。彼らの方法論には、AI/ML攻撃検知に関連する質問や採点基準は文字通り一つもない。唖然とする!Vectra AI 、この分野で35件の特許を取得している。これはMITRE D3FEND 、このWaveに参加したクラウドストライク、マイクロソフト、その他のベンダーを合わせたよりも多く、この対策で言及されている特許の中では最多である。
アドバイスレッドチームVectra AI。
フォレスター社の言葉を鵜呑みにしないでください。このフォレスターNAVの「強力なパフォーマー」は、私たちの主張を証明するために、どの「リーダー」にも対抗します。
5人に4人の顧客が競合他社(The Forrester Waveに選ばれた競合他社を含む)よりもVectra AI を選ぶ理由については、vectra.ai/products/ndrをご覧ください。