Vectra は最近、ガートナー社の2018年マジック・クアドラントで、侵入検知防御システム(IDPS)の唯一のビジョナリーとして位置づけられました。これにはかなり有頂天になっている。
長年にわたり、侵入検知システム(IDS)は侵入防御システム(IPS)と融合し、現在ではこの2つはIDPSと総称されている。この収束は、セキュリティ業界が外部からの脅威を防ぐことに重点を置くようになったことで起こった。
しかし、ガートナー社は、「アクセスや保護に対する初期の1回限りのブロック/許可セキュリティ評価には欠陥があり、企業はゼロデイ攻撃や標的型攻撃、クレデンシャルの盗難、インサイダーの脅威にさらされる可能性がある」と指摘している[i]。
今こそ検知を第一に
著名な情報漏えいが頻繁に報道される今日の脅威の状況において、予防技術が不十分であることは明らかであり、内部検知を第一に考える必要がある。
Vectra は当初から、サイバー脅威を検知するには、攻撃が実際にどのように機能し、攻撃者が成功するためにどのような行動を取るのかを理解する必要があると認識していました。私たちは、今日の高度な攻撃者はシステム管理者が使用するのと同じツールで武装しており、malware やエクスプロイトを使用する必要がないことを知っていました。
検知システムは、攻撃対象が拡大し続ける今日の企業の複雑な環境に適応しなければならない。デバイスはモバイル化し、IoTは指数関数的に増大し、サーバーは仮想データセンターとクラウドの間を流動的に移動するワークロードとなり、セキュリティアナリストは資産管理とデータの所在を把握することがますます困難になっている。
最も重要なことは、検知システムは従来のIDSのような複雑なものであってはならないということである。効果的であるためには、検知システムは導入、管理、使用が容易でなければならない。運用を続けるために専任の専門家を必要とすべきではない。
さらに、検知を境界だけに追いやってはならない。内部偵察や横の動きなど、サイバー攻撃のあらゆる重要な局面を特定するためには、ネットワーク内部の奥深くまで検知する必要がある。
実際の攻撃のシグナルが、検知システムが作り出す大量のノイズの中に紛れ込まないようにするためには、最大のリスクをもたらす脅威にセキュリティアナリストの注意を素早く向けるための、ノイズの削減とリスクの優先順位付けの方法が必要である。
Vectra のCognito自動脅威検知とレスポンスプラットフォームは、ネットワーク・トラフィックの直接分析に基づいており、サイバー攻撃の中核となる基本的な行動を明らかにする。
データサイエンス、機械学習、振る舞い 分析を組み合わせることで、Cognito は従来のmalware シグネチャーやレピュテーションリストに頼ることなく、攻撃者の行動を特定します。分析により、アプリケーションに依存せず、トラフィックが暗号化されている場合でも、悪意のある行動が明らかになります。このアプローチは、攻撃者が成功するために実行しなければならない主要な行動を明らかにします。
ガートナーがIDPSマジック・クアドラントで述べているように、「機械学習のような高度なアナリティクスを使用するIDSの進化は、これらのテクノロジーが生成するテレメトリのタイプに適しており、環境内の悪意のあるまたは不要な動作を検知する別の方法を追加することを証明している」[ii]。
Cognitoは、ネットワーク・トラフィックに直接アルゴリズム・モデルを適用して根本的な攻撃行動を明らかにし、そのデータをログや脅威インテリジェンス・データなどのセカンダリ・ソースでエンリッチすることで、セキュリティアナリストの検知とレスポンスプロセスを自動的に加速します。
ガートナー社が2018年のガートナーIDPSマジック・クアドラントにおいて、Vectra をビジョナリーとして位置づけてくださったことを光栄に思います。詳細はこちらをご覧ください。