NDRとIllumio Insightsの比較:ハイブリッドクラウドにおける横方向の移動の検出と抑制
長年にわたり、ネットワーク検出・対応(NDR)プラットフォームは、セキュリティチームにとっての顕微鏡のような役割を果たしてきた。
彼らはパケットレベルでネットワークトラフィックを検査し、インフラストラクチャ全体にわたる動作を分析し、複雑な環境内に隠された疑わしい活動を明らかにします。何らかの問題が発生した場合、NDRツールは捜査官が何が起こったのかを再現するのに役立ちます。
その機能は、ほとんどのアプリケーションがデータセンター内に存在し、トラフィックが予測可能なネットワーク経路を通って流れていた時代には理にかなっていた。
現代のインフラはもはやそのような仕組みでは機能しない。
現在、アプリケーションはオンプレミスシステム、複数のクラウド、コンテナ、API、そして短期間のワークロードにまたがるハイブリッド環境で実行されています。そして攻撃者たちは、この複雑さに適応してきた。
彼らは境界を攻撃するのではなく、盗まれた認証情報、公開されたサービス、または設定ミスなどを利用して内部に侵入する。いったん足がかりを築くと、彼らは環境内を横方向に移動しながら、本当の攻撃を開始する。
その瞬間、昨日何が起こったのかを理解するだけでは十分ではない。セキュリティチームは、危険な通信パターンをリアルタイムで把握し、攻撃者がアクセス権限を拡大する前に阻止する必要がある。
この変化は、従来のNDRの限界を露呈させた。現代の環境では、検知と侵害封じ込めに関して新たなアプローチが求められる。
そこでIllumio Insightsが登場するのです。
Illumio Insights:侵害封じ込めに特化した検出機能
Illumio Insightsは、脅威の検出と対応において、従来とは異なるアプローチを採用しています。
Insightsは、パケットキャプチャに頼ってインシデント発生後にトラフィックを再構築するのではなく、環境全体におけるリアルタイムの通信パターンを分析します。クラウドプラットフォーム、オンプレミスシステム、ハイブリッドインフラストラクチャからフローデータを取り込み、ワークロードがどのように相互作用するかをリアルタイムで示すマップを作成します。
この機能の中核を成すのが、Illumio AIセキュリティグラフです。
このグラフはシステム間の関係性をモデル化し、危険な通信パターン、疑わしい接続、横方向への動きの兆候がないか継続的に評価します。
これにより、攻撃者がリスクを悪用する前に、インサイトがリスクを明らかにし、優先順位付けすることが可能になります。セキュリティチームは、後から出来事を再現するのではなく、不審な活動が発生した瞬間にそれを確認できる。
洞察は調査を簡素化する。
従来の検知プラットフォームは、手動による分析を必要とする大量のアラートを生成する。Illumio Insightsにおいて、 Insights AgentはAIアシスタントとして機能し、アナリストが重要なことに集中できるよう支援します。検出結果を分析し、リスクの優先順位付けを行い、検出結果をMITRE ATT&CKの手法にマッピングし、脅威に対処するための対策を推奨します。
しかし、最大の違いは検出後に現れる。ほとんどのNDRツールは脅威を特定するだけで終わってしまうが、Illumioは脅威の封じ込めに重点を置いている。
InsightsはIllumio Segmentationと直接統合され、攻撃者が環境内を横方向に移動するのを阻止するネットワークレベルの制御を適用します。セキュリティチームは、侵害されたワークロードを隔離し、危険な通信経路を遮断し、攻撃者がアクセス範囲を拡大するのを防ぐことができる。
脅威の検知は脅威を明らかにするが、 封じ込めは侵入を阻止する。
NDRプラットフォームが設計された目的
あらゆるNDRプラットフォームの中核を成すのは、ディープパケットインスペクション(DPI)です。
これらのソリューションは、ネットワーク上を流れるトラフィックをリアルタイムで分析するネットワークセンサーに依存している。センサーの中には仮想的なものもあれば、データセンターのインフラに直接接続された物理的なデバイスもある。
パケットがネットワーク上を移動する際、NDRソリューションはそれらを非常に高速でキャプチャして分析します。彼らは通信内容を解読し、ペイロードを検査し、通信ストリームのあらゆる詳細を調べることができる。
しかし、すべてのパケットを保存するには、膨大なストレージ容量が必要となる。そのため、NDRプラットフォームは異なるアプローチを取る必要がある。
生のトラフィックを保存する代わりに、発生した事象に関する重要な詳細情報を抽出し、それらの詳細情報をメタデータとして保存する。そのメタデータは、ネットワーク活動の検索可能な履歴記録となる。
不審な事態が発生した場合、セキュリティチームは過去のデータに基づいて何が起こったのかを再現することができます。つまり、どのシステムが通信したのか、どのようなデータが移動したのか、そして事件がどのように展開したのかを解明できるのです。
この鑑識能力は非常に強力だ。実際、銀行や一部の連邦政府機関など、オンプレミスのデータセンターネットワークに依存する一部の業界では、これは法令遵守規制によって義務付けられています。これらの組織は、調査および法令遵守の目的で、詳細なネットワーク記録を保持しなければならない。
そうした環境において、NDRソリューションはチームがまさに必要としているもの、つまりネットワークアクティビティの詳細な履歴ビューを提供する。
NDRが苦戦し始めるところ
NDRソリューションを強力にしているアーキテクチャは、同時にその限界も露呈させている。
ほとんどのNDRプラットフォームは、オンプレミスのデータセンターネットワーク向けに特化して構築されています。それらのセンサーはネットワーク内部に設置され、物理インフラを通過するトラフィックを分析する。
そのデザインは、伝統的な環境に非常によく馴染む。しかし、現代のインフラはそれとは大きく異なっている。
現在、企業はオンプレミスシステム、複数のクラウド、コンテナプラットフォームを組み合わせたハイブリッド環境全体でアプリケーションを運用している。
また、NDRベンダーは長年にわたってクラウドサポートを追加してきたが、それらの機能は多くの場合、コア設計機能というよりは後付けの追加機能である。その結果、彼らの最も強力な能力はデータセンター内に留まっている。
それはいくつかの課題を生み出す。
クラウドにおける脅威の検出はより脆弱である
クラウド環境では、NDRプラットフォームは通常、ディープパケットインスペクションではなく、クラウドフローログに依存します。
フローログは、ネットワーク通信の状況を可視化する。しかし、それらはNDRプラットフォームが検出に必要とするパケットレベルの詳細情報を欠いている。
つまり、オンプレミス環境でうまく機能する脅威検出機能は、クラウド環境にそのまま適用できるとは限らないということだ。
ハイブリッドインフラストラクチャを運用している組織にとって、これは盲点を生み出す。
検出は依然として調査に大きく依存している
多くのNDRベンダーは、異常を特定するのに役立つ機械学習やAI機能を追加している。彼らはネットワークの動作を基準値として記録し、異常な急増や通常のトラフィックパターンからの逸脱を探します。
異常事態が発生した場合、システムはアラートを生成します。しかし、いったんその警告が表示されると、その負担は再び人間のアナリストに移る。
セキュリティチームは、この事象を調査し、それが悪意のある活動であるかどうかを判断し、どのように対応するかを決定する必要がある。
このツールは信号を明らかにするが、実際の作業の大部分は人間が行う。
焦点は依然として歴史分析にある
NDRプラットフォームは、過去に何が起こったのかを調査するチームを支援する上で非常に優れています。
その機能は、法医学的分析、規制当局への報告、および事件後の調査において非常に有用である。
しかし、現代の攻撃は迅速に展開する。チームが事件の状況を再現する頃には、攻撃者はすでに環境全体へのアクセス権限を拡大している可能性がある。
なぜ多くの組織がNDRを使用するのか
こうした制約があるにもかかわらず、NDRツールは依然として広く普及している。
環境によっては、それらは必須です。特定の政府機関や銀行などの高度に規制された業界では、コンプライアンス要件を満たすためにディープパケットインスペクション(DPI)を使用する必要がある。これらの組織にとって、NDR(非開示拒否)は交渉の余地のない必須事項である。
他の組織にとって、NDRはネットワーク脅威検出に利用できる最も近いツールに過ぎない。完全なパケットレベルの検査や長期的なフォレンジック記録は必要ないかもしれない。
彼らが本当に必要としているのは、ネットワーク全体における不審な活動を検知する能力だ。そのような環境では、ディープパケットインスペクションは過剰である可能性がある。膨大な量の情報を収集し、運用には大規模なインフラが必要となる。
しかし、より良い選択肢がないため、多くの組織はそれでもこのシステムを導入している。
そこでIllumio Insightsが登場するのです。
ハイブリッド環境におけるネットワーク検出の再考
NDRは、詳細なパケット検査と履歴フォレンジックの可視化を必要とする組織にとって、依然として強力なツールです。しかし、今日では多くの組織が、NDRが保護対象として設計されたことのない環境で活動している。
ハイブリッドインフラストラクチャ、一時的なワークロード、クラウドネイティブアーキテクチャには、異なるアプローチが求められる。
セキュリティチームは、環境全体にわたって危険な通信パターンを検知し、攻撃者が拡散する前に対応する必要がある。
Illumio Insightsはその機能を提供します。
リアルタイム検出、AIによる分析、および組み込みのセグメンテーションを組み合わせることで、組織が調査段階を超え、真の侵害封じ込めへと移行できるよう支援します。
Illumio Insightsを無料でお試しください 環境全体における危険な通信を監視し、攻撃者が横方向に移動するのを阻止します。
