なぜIDPSは最新の攻撃を検知する能力に欠けているのか

前回のブログ記事では、侵入検知および侵入防止システム（IDPS）によって、セキュリティ運用チームの仕事量を誤検知で増やし疲労させ、最終的に攻撃を逃してしまうということをお話しました。今回の記事では、IDPSがラテラルムーブの動きや東西のトラフィックなど、簡単に言えば内部を動き回る攻撃者を検知する能力に欠けていることに触れたいと思います。

ファイアウォールで保護されたホストやサーバーの周囲を固定した境界線という概念は過去のものです。今や誰もがクラウド環境に展開されたワークロードにアクセスするようになりました。トラフィックが境界線の内側にあるか外側にあるかという概念はもうありません。そこで企業のファイアウォールを通過するトラフィックのみに焦点を当てるという、IDPS ソリューションは急速に時代遅れになりつつあります。このトラフィックは、現在、すべてのコミュニケーションのほんの一部分にしか過ぎません。例えるなら広場の真ん中に強化スチール製のドアを1枚置いているようなものです。

しかし、ラテラルムーブを検知することは、検知および対応の戦略において重要な部分であることに変わりはありません。攻撃者が1つのシステムだけを標的にすることはめったにありません。その代わりに、特権の低いホストやアカウントに侵害し、ネットワーク上をラテラルムーブし、盗むべき資産を探し出すという、「侵入と拡大」のアプローチを実施します。

IDPSは、脆弱なシステムやアプリケーションを標的としたエクスプロイト、マルウェアなどの脅威を検出するために、主にシグネチャーに依存しています。IDPSは通常、パケットのハッシュ値と悪意のあるパケットのハッシュ値を比較するというパケットレベルの検査で検出を行います。一致するものがある場合、IDPSはアラートを起動し、設定によってはブロックすることもあります。シグネチャーにもまだ用途はありますが、攻撃はマルウェアからアカウントベースの攻撃へと大きくシフトしています。

実際 、ベライゾンの『2020年度データ漏洩/侵害調査報告書』の中で、「当社のデータによると、このタイプのマルウェアは2016年に全侵害の50%弱でピークを迎え、その後は当時の6分の1（6.5%）にまで減少しており、このタイプのマルウェアが減少するにつれ、他のタイプの脅威が増加している。時間が経つにつれて、攻撃者はますます効率的になり、フィッシングや認証情報の窃取などの攻撃に傾いているようである。」とされています。シグネチャーベースのアプローチでは、認証情報の窃取や不正使用を含む攻撃を完全に検出することはできません。

一方でVectra Cognito NDRプラットフォームは、ネットワーク上のホスト・ユーザーの振る舞い、ユーザーやデバイスの特権、悪意のある振る舞いに関する知識など、豊富なコンテキストおよびデータと脅威に関する情報を組み合わせています。セキュリティ研究者とデータサイエンティストによって開発された機械学習アルゴリズムを搭載したVectraは、ノイズを除去しながら、本当の脅威である攻撃を識別します。これにより、クラウド、データセンター、IoT、企業ネットワークにおける既知・未知の攻撃を検知し、阻止しているという自信を持てるのです。Vectra AIは、攻撃者を検知して対応する100％のサービスを提供しています。攻撃者を早期に確実に発見することが私たちの仕事なのです。

そのためには、まずデータを持つことから始まります。データの「量」ではありません。関連するさまざまなソースからデータを慎重に収集し、セキュリティに関するインサイトとコンテキストを加えて強化し、顧客のユースケースを解決することが重要なのです。攻撃の振る舞いは変化するため、Vectra AIでは、新旧の脅威のシナリオに合わせて、独自のアルゴリズムモデルを継続的に作成しています。Vectra AIは、人間の能力を超えたパフォーマンスを発揮し、攻撃を検知し、クラスタリングし、優先順位をつけ、予測することで、ライバルより優位に立つことができます。Vectraが思考し、セキュリティ運用の作業負荷を軽減することで、セキュリティ担当者は脅威の探索やインシデント調査に多くの時間を割くことができるようになり、IDPSシグネチャーの調整に費やす時間を減らすことができます。

監視と保護に対するアプローチを変える時がきたとお考えでしょうか？ぜひデモを体験してみてください。

‍