** 本記事は、Introducing Sophos Network Detection and Response (NDR) の翻訳です。最新の情報は英語記事をご覧ください。**
ソフォスが最近発表した Sophos Network Detection and Response (NDR) は、高度な攻撃者やゼロデイ脅威に対する防御を強化したい企業に、すでに実際の企業環境で優れた成果をもたらしています。
Sophos NDR は、ネットワークトラフィックを継続的に監視し、機械学習、高度な分析、ルールベースのマッチング技術を組み合わせて、攻撃が疑われるアクティビティを検出します。
不正なデバイス (ネットワーク上で通信している不正な可能性のあるデバイス)、保護されていないデバイス (侵入口として使用される可能性のある正規のデバイス)、インサイダーの脅威、ゼロデイ攻撃、IoT (モノのインターネット) および OT (オペレーショナルテクノロジー) デバイスに関わる脅威など、さまざまなセキュリティリスクを検出します。
さらに、Sophos NDR を他のセキュリティテレメトリと組み合わせることで、脅威アナリストは攻撃経路と進行の全体像をより完全かつ正確に描くことができ、より迅速で包括的な対応が可能になります。
Sophos NDR は、現在、世界中で 14,000 を超える組織が利用しており市場を圧倒的にリードしている Sophos MDR のアドオンとして統合されたものです。また、今年後半には、自社で脅威ハンティングを実行したいと考えている組織のために、Sophos Extended Detection and Response (XDR) で Sophos NDR を利用できるようにします (これについては、今後の記事で詳しく説明します)。
NDR の重要性
効果的な多層防御戦略を進めるために NDR は不可欠な要素です。なぜならば、ステルス機能を駆使する高度な攻撃者であったとしても、ネットワーク上のやりとりを隠ぺいすることは困難だからです。
攻撃者は、検出を避けるためにはどのような苦労も惜しみません。MITRE ATT&CK でも「防衛回避 (Defense Evasion)」のカテゴリは広く認識されている手法です。エクスプロイトは EDR ソリューションから検出されないように隠れ、攻撃者はシステムログを無効化あるいは削除することができます。しかし、攻撃者はそれでも目的を達成するためにはネットワークを横断しなければなりません。
攻撃者はセキュリティ制御を回避するための戦術、手法、手順 (TTP) を進化させ続けているため、NDR は組織のセキュリティ対策になくてはならないものになっています。
Sophos NDR: 比類のないネットワーク脅威の検出機能
Sophos NDR は、5 つのリアルタイム脅威検出エンジンを搭載しており、特許取得済みのマルチレイヤー技術により、極めて巧妙な攻撃も検出できます。
データ検出エンジンは、ディープラーニングの予測モデルを使用した拡張可能なクエリーエンジンで、関連性のないネットワークフロー全体のパターンに対して暗号化トラフィックを分析します。
ディープパケットインスペクションは、既知の IoC (侵害の痕跡) を使用して暗号化されたトラフィックと暗号化されていないトラフィックの両方を監視し、サイバー攻撃者と悪意のある TTP (戦術、手法術、手順) を特定します。
暗号化ペイロード分析は、セッションサイズ、方向、および到着間隔で検出されたパターンに基づいて、ゼロデイのコマンド & コントロール (C2) サーバーとマルウェアファミリーの亜種を検出します。
ドメイン生成アルゴリズムは、マルウェアが検出を回避するために使用する動的ドメイン生成テクノロジーの存在を特定します。
セッションリスク分析は、セッションに応じたさまざまなリスク要因で警告するルールを活用する、強力なロジックエンジンです。
これら 5 つのエンジンは、東西 (ネットワーク内の) トラフィックと南北 (外部ネットワークへの発信/外部ネットワークからの受信) トラフィックを監視し、脅威アクティビティを示す異常を検出してフラグを立てます。Sophos NDR が生成するアラートには、次のようなものがあります。
- ネットワークスキャンのアクティビティ
- アクセスしたことのないシステムへの予期せぬ SSH セッション
- ビーコンのアクティビティ
- コマンド & コントロール (C2) 接続
- 非標準的なポートでの通信
- 暗号化されたトラフィックに含まれるマルウェア
- 暗号化された PowerShell の実行
- 異常な量のデータ送信
Sophos NDR テレメトリの活用による高度な脅威の阻止
ネットワークセキュリティのテレメトリは、それ自体で強力な脅威ハンティングのリソースとなりますが、セキュリティエコシステム全体からのシグナルと組み合わせることで特に有用となります。
Sophos MDR は、ソフォスとサードパーティ製のネットワーク、エンドポイント、ファイアウォール、メール、アイデンティティ、クラウドソリューションからのアラートを活用し、脅威の検出と対応を促進します。
アラートは Sophos MDR の検出パイプラインで処理され、正規化されたスキーマへの変換、MITRE ATT&CK® フレームワークへのマッピング、そしてサードパーティ製のインテリジェンスによる強化などが行われます。関連するアラートはクラスタに分類され、優先順位が付けられ、調査と対応のために検出の専門家にエスカレーションされます。
ここで、Sophos MDR が、Sophos NDR からのテレメトリと他のテクノロジーからの知見を組み合わせて活用するシナリオの例を、いくつか紹介します。
シナリオ 1
- 電子メールソリューションが悪意のある添付ファイルを含むメッセージを検出
- エンドポイントプロテクションが疑わしいファイルのダウンロードを検出
- 未知のプロセスが対話型シェルを起動したことをエンドポイントプロテクションが検出
- Sophos NDR がコマンド & コントロール (C2) 接続の疑いを検出
- エンドポイントプロテクションが、クレデンシャルハーベスティング (認証情報の窃取) の疑いを検出
- Sophos NDR が SSH を使用したラテラルムーブメントの疑いを検出
メール、エンドポイント、NDR のアラートを関連付けることで、Sophos MDR は、フィッシング攻撃が成功し、認証情報が盗まれ、ラテラルムーブメントが発生した可能性があることを迅速に確認できます。この情報をもとに、攻撃の阻止、無効化、修復を迅速に行うことができ、影響を最小限に抑えることができます。
シナリオ 2
- Sophos NDR が内部ネットワークで通信しているデバイスを検出
- このデバイスは、エンドポイントプロテクションによって管理されていない
これら 2 つの別々のテクノロジーから得られたデータポイントを組み合わせることで、ネットワーク上で通信している管理されていないデバイスがあることを特定できます。この時点で、それが社内ユーザーによるポリシー違反の結果なのか、攻撃者がデバイスを不正に利用している結果なのかをさらに調査し、適切な処置を行います。
すでに別の NDR ソリューションも活用できる
多くの組織がすでにセキュリティソリューションをすでに導入しているでしょう。しかし重要な課題は、提供された情報をどのように管理し、解釈し、対応するかということです。ソフォスは、お客様の IT チームとお話するときに、大量のアラートに振り回されたり、複雑なテレメトリを十分に活用できていないという問題を聞くことが多くあります。
Sophos MDR のアドオンインテグレーションパックを使用すると、ソフォスのアナリストは、すでに使用しているサードパーティ製のセキュリティツール (Darktrace や Thinkst Canary の NDR ソリューションなど) からのテレメトリ情報を活用して、人による高度な攻撃を検出して対応できます。ソフォスの専門家がお客様のセキュリティ運用を管理することにより、防御をさらに強化し、これまでのセキュリティへの投資をさらに活用できるようになります。
詳細はこちら
Sophos NDR と Sophos MDR の詳細と、多くのお客様が実現している優れたサイバーセキュリティの成果について、ソフォスのセキュリティ専門家にお問い合わせください。NDR コミュニティチャネルもぜひご覧ください。
Sophos MDR についてのお客様からの実際の評価については、Gartner Peer Insights の評価を参照してください。また、G2 Peer Reviews の MDR サービス評価で最高評価を獲得した理由もご確認ください。