ネットワーク検知とレスポンス(NDR)とは?


NDRとは?

ネットワーク検知とレスポンス(NDR)は、ネットワーク・トラフィックの分析を通じて悪意のあるアクティビティを検知する、サイバーセキュリティの一分野です。 エンドポイント検知とレスポンス(EDR) と同様、 NDRセキュリティ・ソリューション は悪意のあるアクティビティを防止するわけではありません。そうではなく、これらのソリューションの目的は進行中の攻撃活動を、損害が生じる前に阻止することにあります。NDRはEDRと異なり、エージェントを利用して悪意のあるアクティビティに対する洞察を得るわけではありません。その代わりに、ネットワークや仮想タップを利用して、オンプレミスおよびクラウドのワークロード全体のトラフィックを分析します。GartnerとIDCによると、NDRは2020年のセキュリティ市場において2番目に成長速度の高いセグメントであり、年平均成長率(CAGR)は25%となっています。
業界の声:GartnerIDCのレポートを読む
NDRソリューションはネットワーク・トラフィックを分析し、East-Westの通信経路と呼ばれることもある境界内部の悪意のあるアクティビティを検知して、インテリジェントな脅威検知、調査、対応を支援します。帯域外のネットワーク・ミラー・ポートや仮想タップを利用して、NDRソリューションはネットワーク通信をパッシブにキャプチャし、行動分析や 機械学習 といった高度な技法を適用して、既知と未知両方の攻撃パターンを特定します。また、こうしたデータは侵害後のアクティビティに関するリアルタイム調査や、フォレンジック的なインシデント調査を実行するために利用できます。すべてのNDRソリューションがネットワーク・トラフィックを復号するわけではありませんが、特に高度なソリューションはセキュアな復号化機能を提供し、暗号化トラフィックに隠れている脅威の特定を手助けします。

NDRとは?


NDRの仕組み

NDRは ネットワーク・トラフィック分析 (NTA)から発展したものです。NTAとは、脅威の検知・調査のための主なデータ・ソースとしてネットワーク通信を利用するセキュリティ製品のカテゴリです。時が経つにつれ、ネットワークを利用したセキュリティ分析で実現できることは検知と調査にとどまらないことが明らかになってきました。ネットワーク・セキュリティ・ツールにより、脅威を検知できるだけでなく、自信を持って迅速に対応できるようにもなるのです。NDRのカテゴリは、ネットワークをセキュリティの主要なデータ・ソースとして利用するという、より広範の、あらゆる領域にわたるポテンシャルを秘めています。NDR製品はNTAを使用しますが、その上に重要なレイヤを追加します。例えば、調査や脅威ハンティングのための時系列メタデータのほか、ファイアウォール、EDR、NAC、SOARプラットフォームとのインテリジェントな統合を通じた自動的な脅威対応などです。### 従来型ツールの落とし穴 レガシーなIDSをはじめとするシグネチャベースのツールも、マルウェアが今より単純でほとんどの脅威を境界で阻止できていた時代には適していたかもしれません。しかし、現在は状況も変わり、攻撃者は正当な資格情報や承認済みのサービスを使用して、ますます巧みに姿を隠すようになっています。行動検知を使用し、シグネチャベースの検知も組み入れることで、NDRは密かに仕掛けられた攻撃を見つけ出すと同時に、これまで 侵入検知システム がカバーしてきたユースケースにも対応することができます。さらに、SUNBURSTなどの高度な脅威のように、エンドポイント検知とレスポンス(EDR)エージェントは巧妙なサイバー攻撃者によって完全に回避されることがあります。またSIEMのようなログベースのツールもオフにされたり、データが改変もしくは破壊されたりする場合があります。コスト面の理由から、そうしたツールには効果的な検知、対応、フォレンジックに必要とされる広範なカバレッジや詳細な時系列情報が欠落していることもあります。### NDRのメリット NDRソリューションは迅速な調査、内部の可視性、インテリジェントなレスポンス、そしてオンプレミス、クラウド、ハイブリッド環境における強力な脅威検知といった機能を備えています。ネットワーク・レイヤでの攻撃検知は、脅威アクターが自身のアクティビティを隠すのが極めて難しくなるため、優れた効果を発揮します。攻撃者はエンドポイントやログ・データのスイッチオフまたは回避は可能であっても、ネットワーク情報を改ざんすることはできず、自身が監視されているかどうかは知る由もありません。ネットワーク上で通信しているデバイスは、どれもすぐに検出することができます。さらに、攻撃者は正当なユーザやサービスを装いシグネチャベースの検知を回避することで、ファイアウォールや従来型のIDSを欺けるかもしれませんが、NDRを回避することはできません。なぜなら、攻撃者がネットワーク上の特定の重要なアクティビティを避けることはほとんど不可能であっても、NDRはそれを検知できるためです。NDRは機械学習テクノロジを利用してルールベースの検知を強化し、ネットワーク上のエンティティの行動をモデル化して、既知の攻撃技法と類似したものをすべてコンテキストによって特定します。そのため、正当と思われるプロセスであっても、異常に見える場合にはフラグが付けられる可能性があります。しかし、すべての機械学習システムが同じように作られているわけではありません。クラウドのスピードとスケーラビリティを活用して機械学習モデルを実行するシステムは、制限のあるローカルの演算リソースを使用するシステムに対して優位性を持つことになるでしょう。

組織がNDRから得られる見返りは?

EDRやSIEMと併せてNDRを導入することで、組織はGartnerの SOCの可視性の3本柱 を達成できます。 可視性の3本柱のインフォグラフィック しかし、それは実際どのような効果があるのでしょうか?企業とIT部門では、以下のようなメリットを得られます。* リスクにさらされる度合いを低減 。また、深刻なデータ侵害や、ランサムウェアによるサービス停止に伴う経済面および風評面の被害を軽減 * プレッシャーにさらされているSOCチームを 最適化された脅威検知とレスポンス で支援 * 脅威検知、レスポンス、フォレンジックに向けた単一のワークフローでITの効率性を向上 * コンプライアンスのギャップを解消 * オンプレミス、クラウド、ハイブリッド環境で機能する単一の強力な検知およびレスポンス・ツールで予算を節約 * エンドポイント・セキュリティがインストールされていないIoTデバイスに対する脅威を監視 * セキュアな基盤上に構築できるという確信の基に デジタル・トランスフォーメーション ・プロジェクトを支援