[11/30/23 更新 - 2020年マーケットガイドは廃止され、ダウンロードできなくなりました。]
待望のGartner Market Guide for Network Detection and Response (NDR) が発表されましたが、この文書と再定義されたカテゴリーに入る前に、いくつか決定的に重要なことがあります。市場が単純な分析から実用的な分析 (レスポンス )へと移行していく中で、NDR の「R」 は、自動および手動 (レスポンス) のための明確な戦略を組織として持つ機会であると認識する必要があります。以前は、このカテゴリーはネットワーク・トラフィック解析 (NTA)として知られていましたが、この定義を超えて進化し、これらのソリューションの機能をより正確に反映するために改名されました。
この再定義されたカテゴリの中で、市場は現在、NDRソリューションの一般的な要素として自動レスポンスと手動レスポンスの活用を認識しており、これには、疑わしいトラフィックを遮断するようにファイアウォールにコマンドを送信することや、脅威ハンティングおよびインシデントレスポンス機能を提供することなどが含まれます。しかし、真のNDRソリューションと、単にボルトオン機能でチェックしようとしているソリューションとを見分けることは、将来の攻撃に対してセキュリティチームを強化する上で非常に重要です。
ガートナーのマーケットガイドは、市場を定義 し、顧客が短期的にその市場に何を期待できるかを説明するものです。 初期の、より混沌とした市場に焦点を当て、マーケットガイドは市場内のベンダーの格付けや位置づけを行うのではなく、むしろ一般的に、市場でオファリングを提供している代表的なベンダーの属性を概説し、市場そのものに対するさらなる洞察を与えます。
私は "混沌 "という言葉が好きだ。NDRであると主張するベンダーのリストは長く、多様である。多くのベンダーは、NDRを主張するためにボルトオンセキュリティやチェックボックスセキュリティを使用している。ガートナー社はリストを18社に絞ることができたが、そのうちの何社かにさえ、私は頭を悩ませている。ガートナー社がこのリストを作成し始めたとき、このリストがどれほど長かったかは想像に難くない。
Vectra 社では、レスポンス が、侵害の削減、セキュリティオペレーションセンター (SOC) の効率向上、コンプライアンスの確保、クラウドにおけるセキュリティの提供に不可欠であることを認識しています。しかし、セキュリティ施行の基盤である技術と手順は、組織が表面化したセキュリティ異常の質と量に基づいています。そのため、誤検知を避けることが極めて重要である。誤検知は、アラートに対する疲労や、優先順位付けに苦慮するアナリストの作業効率の低下にすぐにつながるレスポンス 。自動化された対応が適切に実行されない場合、このような誤検知の影響はさらに悪化し、混乱や停止につながる。
質の高い、忠実度の高いアラートが出れば、レスポンス 。
- 異常の量ではなく、行動に基づいて対応する:異常ベースのシステムによるノイズや偽陽性をスキップする。MITRE ATT&CK フレームワークで業界をリードする数のネットワーク・振る舞いをカバーするアプローチにレスポンス を固定します。
- 権限とリスクに基づいて、レスポンス に優先順位をつける:攻撃者の立場で考える。攻撃者が標的とするレスポンス 資産に焦点を当てます。特権、リスク、脅威の可能性のレベルが高いものを優先する。
- IDレベルで実施する:IDレベルでの施行より正確なものはあるだろうか?何もありません。組織にとって重要なリソースへの悪意のあるアクセスを即座に排除する。
お気に入りのレスポンス 機能は、Vectra アカウントロックダウンです。ActiveDirectoryとの統合により、即座にカスタマイズ可能なアカウント強制が可能です。ネットワークではなくアカウントを無効にすることで、アカウントへのアクセスを凍結し、サービスの中断を回避することができます。攻撃者のアカウントを無効にすることで、キルチェーンに沿った攻撃者の進行を制限することができます。