NDR:Network Detection and Responseとは、組織内のネットワーク上でやり取りされている通信内容を監視し、不審な通信や異常な通信などの疑わしい通信を検出することで、ネットワーク全体のセキュリティレベルを向上させることができるセキュリティソリューションです。
2020年頃から提唱され始めた比較的新しいソリューションであり、最近注目を集めているセキュリティ対策でもあります。本ブログではNDRの概要から、機能や特徴、必要なセキュリティ対策についてお話ししてまいります。
1. NDRでできること
NDRは、ネットワーク上でやり取りされている通信を監視し、不審な通信を検知することができます。この文言だけ聞くと、よくあるセキュリティ対策ソリューションと思われるかもしれません。従来からネットワークのトラフィック解析や異常通信検出のソリューションは様々なものがあります。例えばネットワークに侵入しようとする通信を検出するには、IPS/IDSといったソリューションがあり、Webサーバに対してはWAFといった形でそれぞれの得意分野に合わせたセキュリティ対策製品が提供されています。
しかし、これまでの対策では一般的に外部から内部に対する「侵入」しようとする悪意のある通信からどう守るか?といった観点の製品がほとんどです。
ではなぜNDRが注目されているのでしょうか?それは昨今のセキュリティ情勢が少し変わりつつあることが要因にあげられます。
2. 「侵入された後」に着目
昨今のセキュリティ情勢、特にランサムウェアや標的型攻撃による被害は止まることを知らず、被害額・規模ともに従来のものでは無くなっています。例えばランサムウェアで見てみると、従来は無差別的にメールなどで配布し、感染した端末を暗号化して身代金を要求するといった手口が一般的でした。しかしランサムウェアが一般的になってくる頃には身代金を払わない、感染した端末をリセットするなど、攻撃者は金銭を獲得することが難しくなってきました。そこで攻撃者が次の手口として考えたものが、侵入後により被害を与えることが出来る環境がないかを探索し、暗号化するという方法です。
この方法では、感染自体はさせるものの、発症はさせず感染端末を踏み台としてネットワーク内の重要な資産を探し出そうとします。ネットワークセキュリティ対策は侵入しようとする動きにはとても強いですが、内部に入られてしまうと正常な通信と見分けることが難しくなってしまいます。内部への監視や対策が間に合っておらず脆弱な状態で運用されている場合がほとんどのため、攻撃者はネットワーク内の端末や資産を探し出し、身代金が最大になるポイントを探し出します。
ExtraHop社の調査によると、攻撃者は平均56日も対象のネットワークに潜伏していることが分かっています。このように「侵入を防ぐ」対策だけではなく、「侵入後に気づく」といった対策がより重要になっています。
3. NDRに求められる機能とは?
では、NDRに具体的に求められる機能とは何でしょうか?まず挙げられるのは攻撃者にその存在を悟られることなくネットワーク全体を包括的に可視化できる機能と性能です。特にActive Directory®やファイルサーバなど、社内の重要なインフラストラクチャが存在するネットワークでは、どのような端末がいつ、どの端末にどのような通信をしたのか?を事細やかに見られる必要があります。ネットワークの可視性を高めることは、セキュリティ機能の向上につながります。
次に、必要とされるのは可視性を高めるために対応するアプリケーションやプロトコル数が豊富であることが挙げられます。ネットワークを包括的に見るNDR製品では、認識できるプロトコル数が多ければ多いほど可視性を高めることが出来ます。Web系の通信や基本的なネットワーク通信だけに特化しているものであればただのセキュリティ製品と変わりありません。ファイルサーバの通信やActive Directory®の通信といったアプリケーションレイヤまでしっかりと可視化できることが利用の実態を把握する上で欠かせません。
さらに、昨今では社内の通信であっても暗号化通信でやり取りされることが一般的です。SSLの復号化も重要な機能の1つになります。
このように、ネットワーク全体を包括的に可視化できるNDR製品では、いかに粒度の細かい情報を把握できるか?が重要になります。これらから得られる情報などをAIやマシンラーニングといった技術で学習することで、日常とはかけ離れる異常なトラフィックを瞬時に検出できるようになるのがNDR製品の強みです。
4. ExtraHop Reveal(x)の特徴
弊社ではNDR製品としてExtraHopのReveal(x)という製品を取り扱っております。簡単にExtraHop製品の特長について記載していきます。
- 最大100Gbpsトラフィックまで対応
金融機関やサービスプロパイダのような大量のトラフィックが流れるような環境においても取りこぼすことなくトラフィックを収集できます。 - 認識プロトコル数は70種類以上
認識可能なプロトコル数は70種類と他社のNDR製品の倍以上となっており、データベース系の通信や、ファイルサーバなどの通信、認証系の通信などあらゆる通信プロトコルを解析できます。 - フォレンジックに対応。生パケットを保存
ExtraHopのNDR製品では、パケットキャプチャを保存できるソリューションをオプションとして提供しています。これにより、セキュリティインシデント発生時のパケットキャプチャ解析まで対応可能です。 - サーバ等のログなしで詳細な調査と分析が可能
ExtraHopの特徴でもあるアプリケーションレイヤの可視化機能により、ファイルサーバなどに誰がいつどのファイルを参照したといった、本来ではサーバのアクセスログを解析しないと得られないような情報を瞬時に提供することができます。ランサムウェアなどでどの機器が被害をどこまで受けたのか?といった調査をすみやかに終わらせることが可能になります。 - TLS1.3に対応した暗号化通信の復号化機能を搭載
最新のTLS1.3に対応した暗号化通信の復号化機能を搭載。サーバに設定されている証明書をExtraHopへインポートすることで、認証系の通信やファイルサーバ等の暗号化通信までしっかりと監視できます。 - ネットワークに影響を与えずに導入が可能なパッシブ方式
導入に必要なのは既存のスイッチでミラーポートの設定を行っていただくだけでその日からNDR製品を導入することができます。機械学習エンジンによって自動的にお客様環境に合わせた学習を行いますので、個別のチューニングや煩雑な設定等は不要で簡単に導入いただけます。エージェントも利用しないため、攻撃者にその存在自体が悟られにくくもなります。
5. おわりに
いかがでしたでしょうか?NDR製品には従来あまり対策のされていなかった社内のネットワークに対して、可視性と通常の通信とは異なる挙動(振る舞い)を検出する仕組みを備え、ファイアウォールやUTMを飛び越えて侵入してきた攻撃者を見逃さず、早期に発見できるためのソリューションとなります。ぜひご検討いただければ幸いです。