ネットワーク検出および応答 (NDR) とは何ですか?

ネットワーク検出と対応 (NDR) ソリューションは、人工知能 (AI)、機械学習 (ML)、およびデータ分析を使用して、企業ネットワーク上のサイバー脅威を検出するように設計されています。 これらのツールは、企業の境界を越えるネットワークの North/South トラフィックと East/West の横方向のトラフィックを継続的に分析することで、正常な動作のモデルを構築し、これらのモデルを使用して異常または疑わしいトラフィック パターンを特定します。

NDR ソリューションには、アラートを発するだけでなく、インシデント対応機能も組み込む必要があります。 これには、ファイアウォールルールを自動的に更新して不審なトラフィックをブロックしたり、インシデント調査や脅威ハンティングを支援する機能を提供したりすることが含まれます。

ネットワーク検出および応答 (NDR) とは何ですか?

NDRソリューションの必要性

ほとんどのサイバー攻撃はネットワーク上で発生し、防御側にとって良いことと悪いことの両方があります。 一方では、ネットワークを介した攻撃は、ネットワークレベルの防御によって検出され、軽減されます。 一方、平均的な組織のネットワークは複雑で規模が大きく、サイバー脅威アクターはますます巧妙化しているため、正当なトラフィックから攻撃を特定することが困難になる可能性があります。

ネットワークを詳細に可視化し、高度な脅威対策と検出機能を持つことは、企業をサイバー脅威から守るために不可欠です。 従来のシグネチャベースの検出方法は、最新の脅威に対して効果がないことが多く、組織に誤った安心感を残します。 NDR セキュリティ ソリューションは、組織が必要とするネットワーク レベルのセキュリティと脅威対策機能の追加レイヤーを提供します。

NDRの仕組み

NDRソリューションは、戦略的に配置されたセンサーを使用して、南北と東西の両方の交通の流れを監視できる必要があります。 これにより、次のような NDR ソリューションのその他の機能をサポートする詳細なネットワーク可視性が提供されます。

  • サイバーインシデント検出:NDR ソリューションは、シグネチャベースの検出にとどまらず、人工知能 (AI)、機械学習 (ML)、データ分析を使用してネットワーク トラフィックを分析します。 これにより、ネットワークトラフィックのパターンを検出し、異常を特定して、疑わしいトラフィックや悪意のあるトラフィックを検出できます。
  • 究明:NDR セキュリティ ソリューションは、ネットワーク トラフィックを監視し、異常な接続や疑わしい接続を示す可能性のあるパターンを抽出します。 この情報は、NDR ソリューションによる自動応答を生成するために使用され、インシデント調査活動を容易にするためにセキュリティ オペレーション センター (SOC) アナリストに提供されます。
  • インテリジェンス管理:ネットワーク検出および対応ソリューションでは、組織の内外からの脅威インテリジェンスが使用される場合があります。 このインテリジェンスは、ネットワークトラフィック内の潜在的な脅威を検出するために使用され、コンバージドセキュリティアーキテクチャの一部として他のセキュリティソリューションと共有できます。
  • フィードの作成:NDR ソリューションの主な役割は、SOC アナリストに現在のセキュリティ体制とネットワークに対する脅威に関する洞察を提供することです。 NDR は、疑わしいネットワーク トラフィックと潜在的に悪意のあるネットワーク トラフィックを示すセキュリティ アラートのフィードを作成します。
  • 脅威対策:NDRソリューションは、潜在的な脅威をセキュリティアナリストに警告するだけでなく、サイバー攻撃の成功を防ぐために自動的かつプロアクティブに行動することもできます。 これには、ファイアウォールやその他のセキュリティソリューションと連携して、疑わしいトラフィックや既知の不正なトラフィックが宛先に到達するのをブロックし、攻撃を妨害することが含まれます。

NDRはセキュリティをどのように強化しますか?

従来のネットワークセキュリティソリューションは、多くの場合、検出に重点が置かれており、シグネチャベースの検出機能を使用しています。 これらはどちらも、現代のサイバー脅威から企業を保護する際の責任です。

従来のウイルス対策 システムや侵入検知システム (IDS)など、多くのレガシーセキュリティソリューションで使用されていたシグネチャベースの検出スキームは、最新の脅威の検出にはもはや効果的ではありません。 サイバー犯罪者は通常、キャンペーンごとに異なるように設計されたマルウェアを使用するため、シグネチャは生成されるとすぐに古くなります。 NDRソリューションは、高度なAI検出機能を使用して、シグネチャがまだ存在しない新しいサイバー脅威を特定して対応します。

NDRは、企業ネットワーク内の可視性を提供し、アナリストが影響を受ける資産を特定し、その異常な動作を関連付けて、攻撃者の戦術、技術、および手順の指標を生成できるようにします。 インジケーターは、攻撃を中断して封じ込め、損害評価と復旧操作の指針として使用されます。