ネットワーク検知とレスポンス (NDR)

NDR Network Detection and Responseの仕組みは？

高性能なNDRソリューションは、高度な機械学習と人工知能ツールを使用して、MITRE ATT&CK フレームワークでマッピングされた敵の戦術、技術、手順をモデル化し、攻撃者の行動を高精度で検知 します。また、セキュリティに関連するコンテキストを表面化し、忠実度の高いデータを抽出し、時間、ユーザー、アプリケーションにまたがるイベントを相関させることで、調査に費やす時間と労力を大幅に削減します。また、包括的なセキュリティ評価のために、セキュリティ検出と脅威相関をセキュリティ情報イベント管理（SIEM）ソリューションにストリーミングします。

NDRソリューションは、単に脅威を検知するだけでなく、ネイティブのコントロールによって、あるいは他のサイバーセキュリティ・ツールやセキュリティ・オーケストレーション、自動化、対応（SOAR）のようなソリューションとの幅広い統合をサポートすることによって、リアルタイムで脅威に対応する。

なぜネットワーク検出とレスポンスが必要なのか？

ネットワーク検知と対応（NDR）は、シグネチャベースのツールや技術を使用せずに、組織のネットワークを継続的に監視してサイバー脅威や異常な動作を検知 し、ネイティブ機能または他のサイバーセキュリティツール/ソリューションとの統合によってこれらの脅威に対応するサイバーセキュリティソリューションです。

ガートナーSOCの可視性の3要素

NDRは、デジタル・インフラを保護する上で極めて重要な役割を果たしている。

脅威の履歴は通常、ネットワーク、エンドポイント、ログの3つの場所で入手できる。

• NDR（Network Detection and Response）は、ネットワーク上のすべてのデバイス間の相互作用を俯瞰します。
• 次にセキュリティチームは、他のシステムからイベントログ情報を収集し、データソース間の関連付けを行うために、セキュリティ情報・イベント管理（SIEM） システムを構成する。
• EDR（Endpoint Detection and Response）は 、ホスト上で実行されているプロセスやプロセス間の相互作用について、詳細なグランドレベルのビューを提供する。
  

これらのツールを導入したセキュリティチームは、インシデントに対応する際や脅威を探索する際に、幅広い質問に答えることができるようになる：例えば、次のような質問に答えることができます。アラート後の行動は？事態が悪化し始めたのはいつか？

NDRが最も重要なのは、他のチームにはない視点を提供することだ。

例えば、デバイスのBIOSレベルで動作するエクスプロイトがEDRを妨害したり、悪意のある活動が単にログに反映されないことがある。

しかし、彼らの活動は、ネットワークを通じて他のシステムと相互作用した時点で、ネットワーク・ツールによって可視化される。

あるいは、高度で洗練された攻撃者は、通常のトラフィックに紛れて暗号化された HTTPS トンネルを隠し、コマンド・アンド・コントロール（C2）セッションを起動し、同じセッションを使用して機密のビジネスデータや顧客データを流出させ、境界のセキュリティ制御を回避する。

効果的なAI主導 ネットワーク検知・対応プラットフォームは、適切なメタデータを収集・保存し、AI由来のセキュリティインサイトでリッチ化します。

AIを効果的に活用することで、攻撃者をリアルタイムで検知し、決定的なインシデント調査を行うことができる。

NDRソリューションの利点は？

ネットワーク全体の継続的な可視化

ネットワーク・ディテクション＆レスポンス・サイバーセキュリティ・ソリューションは、データセンターからクラウドまで、キャンパス・ユーザーから在宅勤務ユーザーまで、IaaSからSaaSまで、プリンターからIoTデバイスまで、ネットワークに接続されたすべてのユーザー、デバイス、テクノロジーを継続的に可視化します。

高度な脅威検知のための振る舞い分析とAI

先進的なNDRソリューションは、振る舞い 分析とML/AIを使用して攻撃者の行動を直接モデリングし、外科的な精度で高度で持続的な攻撃を検知 します。異常を検知 のではなく、アクティブな攻撃を検知 するため、忠実度が低く関心の低いアラートの氾濫を避けることができます。持続性、特権の昇格、防御の回避、クレデンシャル・アクセス、発見、横方向への移動、データ収集、C2、流出など、攻撃ライフサイクルのいくつかの段階を検知範囲として提供します。

組織がハイブリッド環境やマルチクラウド環境に移行するにつれ、ネットワークの可視性は断片化される。 クラウドネイティブNDRプラットフォームは、データセンターとクラウドを問わず、すべてのワークロードの動作を分析することで、可視性を回復します。最新のNDRソリューションは、シグネチャやエージェントに依存することなく、横方向の動きや暗号化されたコマンド・アンド・コントロールのような隠れた脅威を検知 します。

セキュリティ・オペレーション・センター（SOC）の運用効率の向上

AI主導 NDRソリューションは、サイバーセキュリティの専門知識や人材の慢性的な不足に悩まされている組織やチームにもかかわらず、アラートに迅速かつ完全に対処するために必要なすべての情報をアナリストに提供する自然言語による完全な攻撃の再構成を提供することにより、セキュリティ検出とセキュリティオペレーションセンター（SOC）の運用効率を劇的に改善する自動的なソリューションです。

リアルタイムで攻撃に自動的に対応し、シャットダウンする能力

NDRソリューションは、目立たないように動作し、回避的なテクニックを使用する高度な攻撃を検出するだけでなく、ネイティブコントロールを介して深刻な攻撃に自動的に対応し、リアルタイムで攻撃をシャットダウンする機能を提供します。さらに、EDRのような複数のサイバーセキュリティ製品やSOARのようなサイバーセキュリティ・ソリューションと統合することができます。

ネットワーク検知と対応の進化

IDSはNDRソリューションの第一世代である。既知の脅威を識別するために、ルールベースとシグネチャベースの検知を使用していた。IDSは一般的な攻撃を検知するのに有効でしたが、誤検知を起こしやすく、攻撃者に簡単に回避される可能性もありました。

次世代侵入検知システム（NGIDS）は、IDSの限界に対処するために開発された。NGIDSは、シグネチャベースの検知、アノマリーベースの検知、振る舞い 分析を組み合わせて使用し、既知と未知の脅威の両方を特定した。NGIDSはIDSよりも高度な攻撃を検知するのに有効であったが、依然として複雑で管理が困難であった。

NDRソリューションはNGIDSの機能を次のレベルに引き上げる。NDRソリューションは、AIと機械学習を使用してネットワーク・トラフィックを分析し、攻撃を示す可能性のあるパターンと異常を特定します。NDRソリューションは、既知および未知のmalware、侵入、データ漏えいなど、幅広い脅威を検知 ことができます。また、NDR ソリューションは NIDS や NGIDS よりも管理が容易です。

NDRの進化は、サイバー攻撃の高度化によってもたらされている。攻撃者が新たなテクニックを開発するのに伴い、NDRソリューションも進化を遂げなければなりません。AIとMachine Learning 、最新のNDRソリューションにおいて重要な役割を果たし、従来の手法では検知 困難または不可能な脅威の検知 対応を可能にします。

Vectra AIのアタックグラフで攻撃を可視化

最新のNDRソリューションは、基本的なアラート機能だけでなく、調査中 の迅速で確実な判断をサポートする必要があります。Vectra AI攻撃グラフは、最新のネットワーク全体にわたる攻撃者の行動を統一されたビューで示し、最初のアクセスから横方向への移動、権限の乱用まで、侵入の各フェーズをマッピングします。

今年初め、私たちのチームとの製品ウォークスルーで、Vectra AIのNDRプラットフォームが、アナリストがアラートノイズを切り抜け、ネットワークベースの攻撃の完全な軌跡を追跡するのに役立つことを紹介しました。

デモの主なハイライト

• 攻撃グラフがどのように患者ゼロを分離し、攻撃者の東西の動きを可視化し、影響を受けたホストとエンティティをハイライトするかをご覧ください。
• リモート実行、LDAPクエリ、C2通信などの疑わしい動作の影響を理解する。
• インターフェイスがどのように重要なことに優先順位をつけ、認知的な過負荷を最小限に抑え、迅速なトリアージと調査を実現しているかをご覧ください。

すべてのクリック、すべてのリクエスト、すべてのログイン試行を、Vectra AIがすべて監視し、欺瞞の兆候を探ります。 Vectra AIの動作を見る

マネージドNDRソリューションとは？

マネージド・ネットワーク・ディテクション・アンド・レスポンス（NDR）は、専門のサイバーセキュリティ・チームやサービス・プロバイダーの専門知識を活用して、ネットワーク・トラフィックを継続的に監視し、パターンを分析し、潜在的なセキュリティ脅威を特定するサービスである。

マネージドNDRの主な構成要素には以下のようなものがある：

1. 継続的な監視：サービス・プロバイダーは、ネットワーク・トラフィックをリアルタイムで監視し、セキュリティ上の脅威を示す異常なパターンや動作を探します。
2. 脅威の検出：高度な分析と脅威インテリジェンスを活用し、Managed NDRはmalware含む潜在的なセキュリティ脅威を特定・分類します、 フィッシング の試み、その他の悪意のあるアクティビティを含む潜在的なセキュリティ脅威を特定し、分類します。
3. インシデントレスポンス：脅威が検出された場合、サービスプロバイダは、セキュリティインシデントを封じ込め、緩和し、修復するためのインシデント対応プロセスを開始する。
4. フォレンジック分析：マネージドNDRには、セキュリティ・インシデントの範囲と影響を理解するための詳細なフォレンジック分析が含まれることが多く、組織のセキュリティ態勢の強化を支援します。
5. 報告と提言：サイバーセキュリティ戦略全体を強化するために、セキュリティインシデント、脆弱性、セキュリティ改善のための推奨事項に関する定期的な報告を組織に提供する。

ネットワークの検出と対応の責任をアウトソーシングすることで、組織はサイバーセキュリティの専門家の専門知識を活用し、最新の脅威を常に把握し、進化するサイバーリスクに対する防御のためのプロアクティブなアプローチを確保することができます。このアプローチは、ネットワーク・セキュリティを効果的に管理するための社内リソースや専門知識が不足している組織にとって特に価値があります。

VectraマネージドNDRサービスの詳細はこちら

ネットワーク検知と対応（NDR）をサイバーセキュリティ戦略に組み込むことは、単なるオプションではなく、必要不可欠です。Vectra AIは、最先端のNDRソリューションにより、企業がプロアクティブに脅威を検知、調査、対応できるようにします。当社のNDR機能によってネットワーク防御を強化し、デジタル資産の回復力を確保する方法については、当社までお問い合わせください 。