Blog

なぜネットワーク検出と応答(NDR)なのか? 部屋の中の象全体を見る

Why NDR? Network detection and response (NDR)

ネットワーク検出と応答(NDR)には長い歴史があり、ネットワークセキュリティとネットワークトラフィック分析(NTA)から発展しました。 ネットワークセキュリティの歴史的な定義は、境界ファイアウォールと侵入防止システム(IPS)を使用して、ネットワークに着信するトラフィックをスクリーニングすることですが、ITテクノロジーとセキュリティテクノロジーは、より複雑なアプローチを利用した最新の攻撃によって進化したため、今日、定義ははるかに広くなっています。

現在、ネットワークセキュリティは、企業がネットワークとそれに接続されているすべてのセキュリティを確保するために行うすべてのことです。 これには、ネットワーク、クラウド(または複数のクラウド)、エンドポイント、サーバー、ユーザー、およびアプリケーションが含まれます。 これらすべてのシステムからのトラフィックはネットワークを通過する必要があるため、ネットワークはセキュリティエクスプロイトに関する真の情報の論理的なソースです。

エンドポイントデータとセキュリティツールのログを分析するだけでは、今日の攻撃を阻止するのに十分ではありません。 ネットワークについて知っておくべき重要なことが1つあるとすれば、それは嘘ではないということです。 そのため、ネットワークの検出と応答により、エンドポイントデータ用のEDRとセキュリティツールログ用のSIEMとともに、XDR / Open XDRへの組織の攻撃検出と応答の旅が完了します。 具体的には、NDRは、エンドポイントやその他のログには表示されないもの(ネットワーク全体、デバイス、SaaSアプリケーション、ユーザーの動作)を確認し、真のデータセットとして機能し、リアルタイムの応答を可能にします。

ゼロトラストが引き続き採用されるにつれて、ネットワークはさまざまなセグメンテーションを受け、セキュリティの基礎が改善されます。 他の複雑なシステムと同様に、「信頼するが検証する」アプローチをとる必要があります。 ネットワークの検出と応答は、検証の相手としてゼロトラストを完全に補完します。 ネットワークの検出と応答により、組織は自信を持ってゼロトラストを採用し、その実施を検証できます。

Why NDR? See the Entire Elephant in the Room

 

NDRはどのように機能しますか?

NDRソリューションは、未知の攻撃に対して非署名ベースの手法(機械学習やその他の分析手法など)を使用し、既知の攻撃に対して高品質の署名ベースの手法(たとえば、アラート用にインラインで脅威インテリジェンスを融合)を使用して、疑わしいトラフィックやアクティビティを検出します 。 ネットワークの検出と応答では、センサーやその他のネットワークテレメトリの戦略的な配置を前提として、専用のセンサー、既存のファイアウォール、IPS / IDSNetFlowなどのメタデータ、またはその他のネットワークデータソースからデータを取り込むことができます。 北/南のトラフィックと東/西のトラフィックの両方を監視する必要があり、物理環境と仮想環境の両方のトラフィックを監視する必要があります。 すべてのデータは収集され、高度なAIエンジンを備えた一元化されたデータレイクに保存され、疑わしいトラフィックパターンを検出してアラートを生成します。

応答は、セキュリティ運用へのパフォーマンスの高いネットワークベースのアプローチを可能にする検出の重要な対応物であり、NDRの基本です。 疑わしいトラフィックをドロップするためのファイアウォールや、影響を受けるエンドポイントを隔離するためのEDRツールへのコマンドの送信などの自動応答、または脅威ハンティングやインシデント調査ツールの提供などの手動応答は、ネットワークの検出と応答の一般的な要素です。

ネットワークの検出と応答は、すべての最新のサイバーセキュリティインフラストラクチャの重要なコンポーネントです。 これにより、特定のエンドポイント、ユーザー、またはそれに関連付けられたデバイスのみを表示するのではなく、「象全体(ネットワーク全体)を表示」できます。