現代のネットワーク

現代のネットワークはサイバー攻撃の進化をどう変えたか

モダン・ネットワーク」という概念は、組織が固定された物理的なインフラを越えて拡大するにつれて生まれた。かつては、企業のキャンパス、オンプレミスのデータセンター、社内ディレクトリによって境界が明確に定義されていたが、今日のネットワークは複数の環境にまたがって広がっている。

この変化は場所に関するものだけではない。規模の変化、多様性、絶え間ない移動を反映している。クラウドワークロード、SaaSの採用、ハイブリッドワークにより、ID、ワークロード、デバイスが流動的な状態で存在する相互接続システムが構築されている。各接続は複雑さを増し、それに伴い攻撃者の機会も増える。

Vectra AI社の製品マーケティング担当副社長であるマーク・ヴォイタシアック氏が、現代のネットワークを定義し、それがなぜセキュリティ・チームにとって重要なのかを説明する。

ネットワークの運用方法が急速に変化したことで、サイバー攻撃の展開方法も急速に進化している。脅威の主体は現在、スピードとスケールを中核的な利点として利用し、相互接続されたシステムの最も弱いリンクを標的としている。

従来のネットワークから最新のネットワークへの移行

かつては、企業ネットワークは封じ込められ、観察することが容易だった。防御者は予測可能なエンドポイント間のトラフィックを監視することができた。しかし、その予測可能性は失われた。

パンデミックは、リモートワーク、クラウドファーストの導入、SaaSへの依存といった、すでに始まっていた動きを加速させた。数週間のうちにリモートワークは6%から35%に急増し、現在では81%のワーカーがハイブリッドな役割を担っている。企業は何年もかけて計画していたデジタル変革を数ヶ月に凝縮し、ワークロードをクラウドに移行し、コラボレーション・ツールを拡大し、オペレーション・テクノロジーをITネットワークに統合した。

このような環境では、これまでとは異なる防御が求められる。従来のネットワークから最新のネットワークへの移行は、単なる技術的な移行ではなく、構造的な移行である。コラボレーションと俊敏性を向上させたのと同じ変革は、攻撃者が悪用できる攻撃対象領域を広げた。

現代のネットワーク攻撃サーフェス

現代のネットワークはもはや単一のエントリー・ポイントを持たず、オンプレミス、クラウド、SaaS、IoT/OT、IDサービス、サードパーティの統合にまたがって広がっている。

統計的に見れば、拡大は事実である：

• 企業のセキュリティチームの62％が、クラウドや外部との統合により、過去2年間で攻撃対象領域が拡大したと回答している。
  
• 組織の75％が、昨年SaaS関連の侵害やインシデントに見舞われている。
  
• SaaSの侵害は300%急増し、その大部分は個人情報の漏洩によるもので、85%が盗まれた認証情報を介して始まり、一部の攻撃はわずか9分でデータの流出につながった。
  
• IoT侵害の試みは2025年に84％急増し、管理されていないエンドポイントがいかにリスクを増大させるかが明らかになった。
  
• 93％の組織が今年、ID関連の侵害を複数回経験している。マシンIDは急速に普及しており、組織の50%はIDフットプリントが間もなく3倍になると予想している。

要するに、新しいSaaSアプリ、IoTデバイス、アンマネージド・エンドポイント、クラウド・アイデンティティが登場するたびに、攻撃者が悪用しようと躍起になる盲点となる攻撃対象領域が外側に広がっていくのだ。

現代のネットワークを Vectra最新NDR

最新のネットワークに必要な検出機能

攻撃者は複雑さの中で成長する。彼らは、ツール間のギャップ、検知ワークフローにおける遅延、統一された可視性の欠如を利用する。

彼らはより速く移動し、より速く適応し、ネットワークに侵入するあらゆる可能なルートを使用している。従来の検知は、それぞれの攻撃対象領域を個別に扱うため、しばしば失敗する。対照的に、攻撃者は相互接続されたネットワーク全体を1つの攻撃対象として見ている。

このスピードは測定可能だ：

• 侵入から横移動までの平均時間：48分（CrowdStrike）。

防衛側が環境全体を一度に見渡すことができなければ、封じ込めようとしている脅威よりも常に遅くなってしまう。

最新の攻撃テクニックを探る

セキュリティ・オペレーション・チームはどのように進化しているのだろうか。

セキュリティ・オペレーション・チームは、インシデントごとに対応するリアクティブなものから、インテリジェンス主導のプロアクティブなものへとシフトしている。この転換が必要なのは、次の理由による。 現代の攻撃はあまりに速く、調査サイクルを長くとることができないからである。

ディフェンダーが何よりも求めているのは、より質の高いシグナルとレスポンスタイムの短縮です。正確でコンテキストに富んだアラートがなければ、セキュリティ・オペレーション・チームはノイズの選別に貴重な時間を費やすことになる。スピードがなければ、最高のシグナルであっても攻撃を阻止するには遅すぎる。

検知の遅延をなくし、トリアージを自動化し、最もリスクの高い脅威に優先順位をつけることで、セキュリティ運用チームは進行中の実際の攻撃を阻止することに集中できる。

現代のNDRの役割と影響

ネットワーク・ディテクション・アンド・レスポンスは、従来のエンドポイント・ツールや境界ツールが見逃しがちな攻撃者の活動を、防御者が確認できるようにします。オンプレミスのデータセンター、クラウド、SaaS、IoT/OTシステム、分散型アイデンティティにまたがる最新のネットワークでは、攻撃者が横方向に移動したり、特権をエスカレートさせたり、環境間を移動したりする際のトラフィックや挙動を観察します。

最新のNDRが最も効果的なのは、これらのドメインにまたがるシグナルを1つの首尾一貫したビューに相関させるときです。そうすることで、調査ノイズをカットし、最も重要な行動を浮き彫りにし、侵入がさらに広がる前に防御者が行動できるようにします。

攻撃者はすでに、現代のネットワークを1つの巨大な攻撃対象として考えている。この視点により、攻撃者は防御側が対応するよりも早くキャンペーンを拡大することができる。同じレンズを通してネットワークを見ることが、最新のNDRを不可欠なものにしている。

「攻撃者は、巨大なネットワーク攻撃対象領域があると考えるだけであり、そのような考え方によって、プログラムやキャンペーンの規模を我々よりもはるかに速く拡大することができる。

 Vectra AI、プロダクト・マーケティング担当副社長、マーク・ヴォイタシアック氏

最新ネットワークのアーキテクチャ・パターン

現代のネットワークは、グローバルなコラボレーションと迅速なイノベーションを可能にする構造パターンを共有しているが、放置すれば攻撃者の優位性も拡大する。各パターンは、検知とレスポンスにおいて待ち時間が発生する場所を変える。 現代の攻撃者が悪用する。

• ハイブリッドおよびマルチクラウドの採用：ワークロードは環境間で移行し、複数のプロバイダーをまたぐことも多い。そのため、監視やアクセス制御の複雑さが増す。
  
• 新しい境界としてのアイデンティティ：ユーザーとマシンのアイデンティティが、固定されたネットワーク・エッジに取って代わる。危殆化した認証情報は、重要なシステムへの直接的な経路を提供する可能性がある。
  
• ITとOTの融合：運用技術システムは今やITネットワークに接続されている。これにより、攻撃者が横方向に移動する新たな機会が生まれる。
  
• 管理されていないデバイスとマシン・アイデンティティの増加：IoTデバイス、BYOD機器、サービス・アカウントは、従来のセキュリティ管理対象外で運用されることが多い。
  

これらのパターンが交錯する場合、防御側が調査の遅れに手間取れば、攻撃者は複数の方法で迅速に侵入し、エスカレートすることができます。下図はこの現実を表しています。侵入から横の動きまでの平均時間はわずか48分ですが、防御側は未検出の侵害の余波に対処するために平均292日を費やす可能性があります。この不均衡は、遅延の除去が最新のアーキテクチャの防御の中心である理由を示しています。

Vectra AIのアプローチ

Vectra AIは、ネットワーク、アイデンティティ、クラウドにおいて、遅延をなくし、正確で優先順位付けされた攻撃シグナルを提供することに重点を置いています。MITRE ATT&CK テクニックの90%以上をカバーすることで、当社のAI検知プラットフォームは、最も関連性の高い敵の行動を確実に可視化します。

シグナルはリアルタイムで関連付けられ、SOCのワークフローやSIEMに直接統合される。このアプローチにより、防御担当者は数時間ではなく数分以内に行動を起こすことができ、最も重要な脅威に労力を費やすことができます。

Vectra AIプラットフォームをご覧ください。