侵入検知システム(IDS)は、悪意のある活動やポリシー違反がないか、ネットワークやシステムの活動を監視するように設計されたセキュリティ技術である。IDSはトラフィックを分析し、異常、既知の攻撃パターン、不正アクセスの試みを検知 、潜在的なセキュリティ侵害のアラートを管理者に提供する。
侵入検知システムにはさまざまな分類がある。最も一般的な分類は以下の通りである:
IDSとIDPSソリューションは、シグネチャ・ベースとアノマリー・ベースの検知技術を組み合わせて、ネットワーク・トラフィックとシステム・アクティビティを分析します。その仕組みは次のとおりです:
侵入検知システム(IDS)と侵入検知防御システム(IDPS)は、いくつかの理由から、組織のサイバーセキュリティ戦略に不可欠なコンポーネントである:
現代の攻撃者は、境界防御や マルウェア 検出技術を容易に回避・回避できます。検出回避には、以下の5つの特徴のいずれか、またはその組み合わせがみられます:
シグネチャベースのIDPSを回避する最も単純な手法は、既知のシグネチャに一致しないトラフィックを使用することである。これは単純なものから高度に複雑なものまで存在する。例えば、シグネチャ検出はしばしば「既知の」侵害されたIPアドレスやボットネットが使用するURLに基づいており マルウェアが使用する「既知の」侵害されたIPアドレスやURLに基づいています。攻撃者にとって回避策は、新しいドメインを登録するだけで十分です。
一方、高度に洗練された攻撃者は、未知の脆弱性を発見し、それを悪用することができる。そのような「未知の」脆弱性に対する攻撃は、当然ながらIDPSが見つけようとするシグネチャの種類を欠いている。
シグネチャを回避するもう一つの方法は、トラフィックを不明瞭にすることだ。これは、悪意のあるネットワーク・トラフィックを暗号化するという単純なものである。境界でのSSL復号化も選択肢の1つではあるが、パフォーマンス・ペナルティが発生するためコストがかかり、運用も複雑になっている。
今日の洗練された攻撃者は、最善の状況下でも復号化できないカスタマイズされた暗号化を使用しています。このため、セキュリティ・チームは、境界で未知のトラフィックをブロックするか許可するかを決定しなければならない。
攻撃者は、境界とその保護を完全に回避することを学んでいる。自宅や境界の外にいるユーザーのデバイスを感染させることで、脅威は玄関から侵入することができる。
特筆すべきは、モバイル・デバイスが境界周辺の論理的・物理的な経路を提供していることだ。LTEや5Gのデータ接続を持つモバイル・デバイスは、インターネットへの容易な経路を持ち、攻撃者がネットワーク内部に侵入するために好んで使用する目に見えない導管として機能する。
IDPSがほぼ境界のみに焦点を絞っていることを考えると、いったん初期防御を回避すれば、攻撃者はもっと自由に動けるようになる。これには、内部偵察、横方向への移動、重要資産へのアクセスや窃取といった継続的なプロセスが含まれる。各分野で攻撃者は多種多様なテクニックを駆使し、いずれも一般的に可視性の低いネットワーク内部で行われる。
これをさらに一歩進めると、ハイブリッドクラウドやマルチクラウドの導入が始まったことで、ネットワークの可視性のギャップは、しばしばコンピュートインスタンスとストレージインスタンス間の接続にまで及んでいる。サイバー攻撃者はこの可視性のギャップを好んで利用する。
ネットワーク内部に侵入した巧妙な攻撃者は、エクスプロイトや マルウェア を必要とせずに侵入範囲を拡大できる。代わりに、侵害されたホストからユーザー認証情報を収集し、ネットワーク全体に拡散する。典型的には、認証プロセス中にユーザー名とログイン情報を取得するか、メモリから認証情報やハッシュを窃取する。いずれの場合も、攻撃者は有効な認証情報を使用してネットワーク全体に拡散でき、エクスプロイトや マルウェアを使用せずにネットワーク全体へ拡散できる。
IDS/IDPSソリューションはネットワークセキュリティにおいて重要な役割を果たしますが、それだけでは高度化・進化するサイバー脅威に対する包括的な保護を提供できない場合があります。Vectra AI 。
Vectra AI 、従来のIDS/IDPSの機能を凌駕する高度な脅威検知・対応プラットフォームVectra AI 。
人工知能と機械学習アルゴリズムを活用することで、Vectra AI ネットワークトラフィックとユーザー行動をリアルタイムでVectra AI 、IDS/IDPSシステムを迂回する可能性のある高度な攻撃を検知します。
Vectra AI、隠れた脅威、zero-day 、内部脅威を特定する能力により、IDS/IDPSソリューションがカバーしきれなかったセキュリティの隙間を埋めます。これにより組織はネットワークを積極的に防御し、新たな脅威に迅速に対応することが可能になります。Vectra AIを活用することで、企業はセキュリティ態勢全体を強化し、サイバー犯罪者よりも一歩先を行くことができます。
> セキュリティ・チームが老朽化したIDPSをNDRに置き換える理由を読む
貴社の防御を強化し、より強靭なサイバーセキュリティポスチャを実現するために、私たちがどのようなお手伝いができるか、お問い合わせください。
侵入検知システム(IDS)は、不正アクセス、攻撃、ネットワーク・トラフィックやシステム動作の異常を検知 し、セキュリティ担当者に潜在的な脅威を警告するように設計された監視ソリューションである。
IDSが主に潜在的な脅威の検出と警告に重点を置いているのに対し、侵入防御システム(IDPS)は、事前に定義されたセキュリティ・ポリシーに基づいて、検出された脅威が危害を加える前にブロックまたは軽減するためのアクションを自動的に実行することで、さらに一歩進んでいます。
IDSの主な種類には、ネットワーク・トラフィックに不審な動きがないか監視するネットワーク・ベースの侵入検知システム(NIDS)と、悪意のある活動の兆候がないか個々のデバイスやホストを監視するホスト・ベースの侵入検知システム(HIDS)がある。
IDSとIDPSのどちらを選択するかは、組織固有のセキュリティニーズ、リスク許容度、既存のサイバーセキュリティインフラによって決まる。IDSは、脅威検出後に手動で介入することが望ましい環境に適している一方、IDPSは、脅威に対する即時の自動応答を必要とするシナリオに適している。
課題には、生成される大量のアラートの管理、誤検知と本物の脅威の区別、これらのシステムを既存のセキュリティ・インフラと統合すること、進化するサイバー脅威に対応するための継続的な更新と設定の必要性などがある。
効果的な管理には、検出アルゴリズムの継続的なチューニング、脅威シグネチャの定期的な更新、精度を向上させるための機械学習やAI技術の活用、アラートの確認と解釈を行う熟練したセキュリティアナリストの採用などが含まれる。
IDS/IDPSは、継続的な監視、脅威の検出、および予防のメカニズムを提供することにより、コンプライアンスや規制の要件を満たす上で重要な役割を果たし、それによって、さまざまな標準や規制で義務付けられている機密データやシステムの保護を保証します。
IDSやIDPSを、セキュリティ情報イベント管理(SIEM)システム、ファイアウォール、エンドポイント保護プラットフォームなどの他のセキュリティ・ソリューションと統合することで、脅威の状況をより包括的に把握し、インシデントへの協調的な対応を促進することで、セキュリティ全体を強化することができます。
今後の展開としては、検知能力を強化し誤検知を減らすための人工知能や機械学習の利用拡大、クラウドベースやas-a-serviceモデルの重視、より適応的でコンテキストを意識した防止メカニズムの統合などが考えられる。
組織は、最新のサイバー脅威、IDS/IDPS の機能、および脅威の検知とレスポンスに関するベストプラクティスについて、継続的なトレーニングを提供すべきである。これには、ハンズオントレーニング、シミュレーション演習、最新機能や脅威インテリジェンスに関する最新情報が含まれる。