ネットワークトラフィック分析についての率直な話
この記事は、Security Business GroupのSenior Vice President of ProductであるJeff Reed によるブログ「Time for Some Straight Talk Around Network Traffic Analysis」
(2020/1/28)の抄訳です。
Enterprise Strategy Group の調査によると、調査対象となった組織のうち、87% はネットワークトラフィック分析(NTA)ツールを脅威の検出と対応のために現在使用していると回答し、43% は攻撃を受けた際の「防衛の最前線」は NTA であると回答しています。NTA ツールの採用が進んでいる主要因の 1 つに IT の複雑化が挙げられます。インフラストラクチャは増大し、ハイブリッドクラウドやマルチクラウドが広く導入されるようになりました。従業員は、あらゆるデバイスで、あらゆる場所から、企業のデータにアクセスしています。膨大な数のスマートデバイス(IoT/OT)がネットワークにつながっています。それと同時に、ログイン情報の盗用、暗号化トラフィック内の潜伏脅威、政府機関を対象とした攻撃など、攻撃自体も進化しています。
セキュリティ担当者の関心を惹こうと努め「AI と ML」を売りにする NTA ベンダーが近年増加している理由は、こうした事情にあると考えられます。
シスコも NTA ソリューションを提供していますが、そのサービスには長い歴史があります。Cisco Stealthwatch は、市場投入されてから、すでに 17 年以上が経過しています。シスコの NTA ソリューションが市場をリードしている理由をいくつか紹介します。
広範なデータセット
Stealthwatch は、分析にデータをフィードするため、NetFlow などのネットワークメタデータを常に利用しています。この方法によるテレメトリの取り込みでは全体像が得られず、制約があると主張するベンダーも存在します。彼らの製品は、ネットワークに展開した多数のセンサーとプローブによりデータをキャプチャします。そのようなベンダーにとっての関心事は、プローブの追加購入(ワークロードの増大につながる)を顧客に訴求することです。
ネットワークが急速に拡大し始めた当初から、シスコはセンサーをあらゆる場所に展開するのは困難で、かつ高コストだということを認識していました。このアプローチには多くの落とし穴もあります。そのため、シスコでは、ネットワークデバイスの組み込み機能を使用しているお客様に、エージェントレスの導入を提供しています。競合他社が主張しているように、Stealthwatch は NetFlow にただ依存しているのではありません。たとえば、Cisco Identity Services Engine(ISE)からのユーザコンテキストデータに加え、プロキシデータ、Web データ、エンドポイントデータも取り込んで、包括的な可視性を実現します。ペイロードを調査する必要がある場合、Stealthwatch を主要なパケット キャプチャ ソリューションと組み合わせ、悪意のあるトラフィックを選択的にピンポイントで分析できます。
階層型分析アプローチ
可視性は重要ですが、情報量の多さでセキュリティチームを圧倒し始めるとかえってリスクになります。重要なのは、分析を効率的に行って大規模なデータセットをスマートにして、実用的なアラートだけを通知することです。Stealthwatch は 100 種類近い動作モデルを使用して、テレメトリの分析と異常の特定を行います。特定された異常は、偵察、遠隔操作、データ漏洩などのキルチェーンにマッピングされた、高レベルのアラートに集約されます。Stealthwatch は機械学習も採用しています。この機械学習は、Cisco Talos によるグローバル脅威インテリジェンスを使用しているほか、教師あり学習、教師なし学習、統計モデリング、ルールマイニングなどの手法も取り入れています。詳細な特長を挙げればきりがありませんが、このソリューションの分析がもたらす効果を以下に紹介したいと思います。
- Stealthwatch は、お客様の環境にある約 8 千万台のデバイスにおいて、毎日約 6 兆 7 千億件ものネットワークセッションを処理し、その処理結果を少数の重要なアラートに集約しています。事実、シスコのお客様は、ダッシュボードに表示されるアラートの 90% 以上は有用だったと評価しています。
- ネットワーク上のデバイスとその役割を自動的に検出して分類できるため、ネットワークの拡大に合せてセキュリティも自動的に拡張されます。
- セキュリティ分析における他の重要な機能は、脅威を検出しコンプライアンスを順守するために、トラフィックを暗号化されたままの状態で分析する機能です。この分析では復号は行わず、暗号化トラフィック分析を使用します。2020 年には、Web トラフィックの 80% 以上が暗号化され1、脅威の 70% 以上が暗号化を使用するようになると予測されています2。暗号化を使用した攻撃ベクトルが主要なものとなるため、復号を前提としたモニタリングに依存することは、もはや現実的ではありません。
- シスコはお客様に「ワークロードを XX 倍も削減」といった出まかせの指標を提示する代わりに、Stealthwatch がお客様のインシデント対応においてどれほど役立ったかを尋ねました。Stealthwatch によって脅威の検出と修正に要する時間が数ヵ月から数時間に短縮されたかという質問に対し、77% のお客様が同意しました。
マルチクラウドの可視性
組織がクラウド導入を進めるにつれ、セキュリティ管理をクラウドの領域にまで拡張する必要が生じています。Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform(GCP)などの大手クラウドプロバイダーにおいて、真にクラウドネイティブな可視性を提供できるネットワークトラフィック分析ソリューションは、Stealthwatch 以外にありません。また、繰り返しになりますが、Stealthwatch の展開はエージェントレスであり、複数のセンサーをインフラストラクチャ全体にインストールする必要がありません。Stealthwatch という 1 つのソリューションだけで、ネットワーク インフラストラクチャの全体、つまりオンプレミスからクラウドまでの全領域にわたる可視性を実現します。
統合型プラットフォームアプローチ
シスコは、ネットワーク、エンドポイント、アプリケーション、クラウドにまたがるセキュリティ プラットフォームに Stealthwatch 分析を統合する取り組みを続けています。最近では、Stealthwatch と Cisco Threat Response を統合しました。Stealthwatch は Cisco Threat Response の Incident Manager 機能に直接アラートを送信します。ユーザは、それらのアラートと、Firepower デバイスなどの別製品に由来する優先順位付けされたセキュリティアラートを一緒に確認することができます。アラート対象となったインシデントは、すべて Stealthwatch のコンソール内で 1 回クリックするだけで、他の脅威対応技術の補足情報を使って調査できます。これにより、アラームのトリアージや対応に要する時間が短縮されます。
Stealthwatch は、脅威検出と効果的なポリシー管理のために、Cisco Defense Orchestrator を通じてファイアウォールとも統合されています。
Stealthwatch をお試しください
Stealthwatch は、規模の大小に関係なく多くのお客様にご愛用いただいています。 米国の銀行上位 20 行のうち 15 行、世界のヘルスケア企業上位 20 社のうち 14 社がシスコのソリューションを活用しています。このソリューションの試用版として、2 週間無料の Stealthwatch 可視性アセスメントに https://www.cisco.com/go/free-visibility-assessment からサインアップできます。
最近のイベントCisco Live バルセロナで扱われた Stealthwatch 関連のすべてのアクティビティおよび主要なセッションは、こちらのガイドに掲載されています。
注釈
-
2019 年 5 月時点での、Google の Web トラフィック
全体のうち 94% が暗号化されたトラフィックです。また、Firefox が読み込んだ Web ページの約 80% が HTTPS を使用しています。 -
Gartner は、2020 年のマルウェアキャンペーンの 70% 以上で、マルウェア配信の隠蔽、C2(Command & Control)アクティビティ、データ漏洩などを行うために何らかの暗号化が利用されると予測しています。出典:2016 年 12 月 13 日、Gartner、『Predicts 2017: Network and Gateway Security』
Tags:
