侵入検知システム(IDS)は、悪意のある活動やポリシー違反がないか、ネットワークやシステムの活動を監視するように設計されたセキュリティ技術である。IDSはトラフィックを分析し、異常、既知の攻撃パターン、不正アクセスの試みを検知 、潜在的なセキュリティ侵害のアラートを管理者に提供する。
侵入検知システムにはさまざまな分類がある。最も一般的な分類は以下の通りである:
IDSとIDPSソリューションは、シグネチャ・ベースとアノマリー・ベースの検知技術を組み合わせて、ネットワーク・トラフィックとシステム・アクティビティを分析します。その仕組みは次のとおりです:
侵入検知システム(IDS)と侵入検知防御システム(IDPS)は、いくつかの理由から、組織のサイバーセキュリティ戦略に不可欠なコンポーネントである:
今日の攻撃者は、境界やmalware 検知技術を容易に回避することができます。検知の回避には、以下の5つの特徴のいずれか、またはその組み合わせがあります:
シグネチャベースのIDPSを回避する最も簡単なアプローチは、既知のシグネチャに一致しないトラフィックを使用することである。これは些細な場合もあれば、非常に複雑な場合もある。例えば、シグネチャの検知は、ボットネットやmalware使用する「既知の」危険なIPアドレスやURLに基づいて行われることが多い。攻撃者にとって、回避は新しいドメインを登録するのと同じくらい簡単である。
一方、高度に洗練された攻撃者は、未知の脆弱性を発見し、それを悪用することができる。そのような「未知の」脆弱性に対する攻撃は、当然ながらIDPSが見つけようとするシグネチャの種類を欠いている。
シグネチャを回避するもう一つの方法は、トラフィックを不明瞭にすることだ。これは、悪意のあるネットワーク・トラフィックを暗号化するという単純なものである。境界でのSSL復号化も選択肢の1つではあるが、パフォーマンス・ペナルティが発生するためコストがかかり、運用も複雑になっている。
今日の洗練された攻撃者は、最善の状況下でも復号化できないカスタマイズされた暗号化を使用しています。このため、セキュリティ・チームは、境界で未知のトラフィックをブロックするか許可するかを決定しなければならない。
攻撃者は、境界とその保護を完全に回避することを学んでいる。自宅や境界の外にいるユーザーのデバイスを感染させることで、脅威は玄関から侵入することができる。
特筆すべきは、モバイル・デバイスが境界周辺の論理的・物理的な経路を提供していることだ。LTEや5Gのデータ接続を持つモバイル・デバイスは、インターネットへの容易な経路を持ち、攻撃者がネットワーク内部に侵入するために好んで使用する目に見えない導管として機能する。
IDPSがほぼ境界のみに焦点を絞っていることを考えると、いったん初期防御を回避すれば、攻撃者はもっと自由に動けるようになる。これには、内部偵察、横方向への移動、重要資産へのアクセスや窃取といった継続的なプロセスが含まれる。各分野で攻撃者は多種多様なテクニックを駆使し、いずれも一般的に可視性の低いネットワーク内部で行われる。
これをさらに一歩進めると、ハイブリッドクラウドやマルチクラウドの導入が始まったことで、ネットワークの可視性のギャップは、しばしばコンピュートインスタンスとストレージインスタンス間の接続にまで及んでいる。サイバー攻撃者はこの可視性のギャップを好んで利用する。
ネットワーク内に侵入すると、巧妙な攻撃者は侵入を拡大するためにエクスプロイトやmalware 必要としない。その代わりに、ネットワークに侵入したホストからユーザー認証情報を取得し、ネットワークに拡散します。通常、攻撃者は認証プロセス中にユーザー名とログインをキャプチャするか、メモリーから認証情報やハッシュを盗み出します。いずれの場合も、攻撃者はエクスプロイトやmalwareウェアを使用することなく、有効な認証情報を使用してネットワーク全体に拡散することができます。
IDS/IDPSソリューションは、ネットワーク・セキュリティにおいて重要な役割を果たしますが、それだけでは高度で進化するサイバー脅威から包括的に保護することはできません。そこでVectra AIの登場です。
Vectra AIは、従来のIDS/IDPSの機能を超えた、高度な脅威検知・対応プラットフォームを提供します。
人工知能と機械学習アルゴリズムを活用することで、Vectra AIはネットワーク・トラフィックとユーザー行動をリアルタイムで分析し、IDS/IDPSシステムを回避する可能性のある高度な攻撃を検出します。
Vectra AIの隠れた脅威、zero-day 攻撃、内部脅威を識別する能力は、IDS/IDPSソリューションが残したセキュリティギャップを埋め、企業がネットワークをプロアクティブに防御し、新たな脅威に迅速に対応することを可能にします。Vectra AIにより、企業は全体的なセキュリティ体制を強化し、サイバー犯罪者の一歩先を行くことができます。
> セキュリティ・チームが老朽化したIDPSをNDRに置き換える理由を読む
貴社の防御を強化し、より強靭なサイバーセキュリティ態勢を実現するために、私たちがどのようなお手伝いができるか、お問い合わせください。
侵入検知システム(IDS)は、不正アクセス、攻撃、ネットワーク・トラフィックやシステム動作の異常を検知 し、セキュリティ担当者に潜在的な脅威を警告するように設計された監視ソリューションである。
IDSが主に潜在的な脅威の検出と警告に重点を置いているのに対し、侵入防御システム(IDPS)は、事前に定義されたセキュリティ・ポリシーに基づいて、検出された脅威が危害を加える前にブロックまたは軽減するためのアクションを自動的に実行することで、さらに一歩進んでいます。
IDSの主な種類には、ネットワーク・トラフィックに不審な動きがないか監視するネットワーク・ベースの侵入検知システム(NIDS)と、悪意のある活動の兆候がないか個々のデバイスやホストを監視するホスト・ベースの侵入検知システム(HIDS)がある。
IDSとIDPSのどちらを選択するかは、組織固有のセキュリティニーズ、リスク許容度、既存のサイバーセキュリティインフラによって決まる。IDSは、脅威検出後に手動で介入することが望ましい環境に適している一方、IDPSは、脅威に対する即時の自動応答を必要とするシナリオに適している。
課題には、生成される大量のアラートの管理、誤検知と本物の脅威の区別、これらのシステムを既存のセキュリティ・インフラと統合すること、進化するサイバー脅威に対応するための継続的な更新と設定の必要性などがある。
効果的な管理には、検出アルゴリズムの継続的なチューニング、脅威シグネチャの定期的な更新、精度を向上させるための機械学習やAI技術の活用、アラートの確認と解釈を行う熟練したセキュリティアナリストの採用などが含まれる。
IDS/IDPSは、継続的な監視、脅威の検出、および予防のメカニズムを提供することにより、コンプライアンスや規制の要件を満たす上で重要な役割を果たし、それによって、さまざまな標準や規制で義務付けられている機密データやシステムの保護を保証します。
IDSやIDPSを、セキュリティ情報・イベント管理(SIEM)システム、ファイアウォール、エンドポイント保護プラットフォームなどの他のセキュリティ・ソリューションと統合することで、脅威の状況をより包括的に把握し、インシデントへの協調的な対応を促進することで、セキュリティ全体を強化することができます。
今後の展開としては、検知能力を強化し誤検知を減らすための人工知能や機械学習の利用拡大、クラウドベースやas-a-serviceモデルの重視、より適応的でコンテキストを意識した防止メカニズムの統合などが考えられる。
組織は、最新のサイバー脅威、IDS/IDPS の機能、および脅威の検知と対応に関するベストプラクティスについて、継続的なトレーニングを提供すべきである。これには、ハンズオントレーニング、シミュレーション演習、最新機能や脅威インテリジェンスに関する最新情報が含まれる。