ネットワーク侵入検知と防止

ネットワーク侵入検知・防御とは?

ネットワーク侵入検知防御システム(IDPS)は、侵入検知と侵入防御の交差点に位置する。IDPSはネットワーク・トラフィックを監視し、不審な動きや異常な動きを分析します。潜在的な脅威の特定は、ディープラーニングと事前に定義されたルールの組み合わせに基づいて行われます。  

場合によっては、ネットワーク管理者にアラートを送信することもある。IDPS はソース・アドレスからのトラフィックをブロックしたり、潜在的な攻撃を軽減するために他のサイ バーセキュリティ・ソリューションと連携することもある。IDPSソリューションの中には、悪意のあるソフトウェアやコードを削除することで、攻撃を無効化できるものもある。

ほとんどの犯罪者がそうであるように、脅威行為者はセキュリティ・チームの詮索好きな目から逃れ、影で活動できるときに最もうまくいく。このような状況を放置することは許されません。攻撃者に光を当て、その足跡を止めることがあなたの仕事です。

侵入検知システム(IDS)と侵入防御システム(IPS)を組み合わせれば、まさにそれが可能になる。

侵入検知・防御の種類

ネットワーク侵入検知・防止に加えて、IDPS技術にはさらにいくつかの種類がある。

ワイヤレス

ワイヤレスIDPシステムは、ワイヤレスネットワークとネットワーキングプロトコルを分析するように設計されている。主な目的はネットワークベースのIDPSと同じですが、一般的に上位のネットワーク・プロトコルは分析しません。NIDPSとは異なり、WIDPSはネットワーク上のすべてのトラフィックを見るわけではなく、ネットワーク・トラフィックを継続的にサンプリングすることで動作するからです。

ホストベース

ホスト・ベースの IDPS は、単一のデバイス、ホスト、またはエンドポイント上にエージェントとして配備される。このタイプのソリューションが監視する特性には、システム・ログ、実行中のプロセス、ネッ トワーク・トラフィック、ファイル・アクセスおよび変更アクティビティ、構成変更が含まれる。

ネットワーク行動分析

ネットワーク・ベースのIDPSがネットワーク・アクセス・ポイントのトラフィックを特に検査するのに対し、ネットワーク行動分析システムは人工知能を活用してネットワークを検査し、異常な行動を特定してフラグを立てます。

侵入検知・防御の種類

その名が示すように、IDPの 機能には検知と予防という 2つの側面がある。別の言い方をすれば、システムがどのように脅威を識別し、修復するかということだ。米国立標準技術研究所(National Institute of Standards and Technology)によると、検知方法には3つの主要なクラスがある。

1.シグネチャベースの検知は、既知の脅威とアクティビティや動作パターンの一致に基づいている。これには、既知のマルウェアの特徴、異常なシステム構成、組織のセキュリティ・ポリシーに対する明らかな違反などが含まれる。シグネチャベースの検知の主な欠点は、複雑な通信を理解したり評価したり、未知の脅威を認識したりすることができないことです。

2.アノマリー・ベースの検知は 、ネットワーク・アクティビティを確立されたベースラインと比較し、逸脱があれば潜在的に悪意のあるものとしてフラグを立てる。アノマリー・ベースの検知の唯一の欠点は、システムを訓練し、ネットワーク上のすべてのエンティティの行動プロファイルを確立するのに時間がかかることである。また、経験の浅いユーザーは、うっかり悪意のある活動をプロファイルの一部として含んでしまう可能性がある。

3.ステートフル・プロトコル解析は 、アノマリー・ベースの検知に似ているが、ベンダーが開発した普遍的に適用可能な振る舞いプロファイルを活用する点が異なる。リソースを大量に消費する可能性がありますが、他の手法が見逃す攻撃を特定することがよくあります。とはいえ、許容可能なプロトコル動作で悪意のあるアクティビティを隠すことで、ステートフル・プロトコル解析システムを欺くことは可能です。

予防能力には受動的なものと能動的なものがあり、次のようなものがある:

  • TPCセッションの終了
  • インラインファイアウォールを有効にする
  • 帯域幅の使用量を制限する
  • 悪意のあるコンテンツの改ざんまたは削除
  • ネットワーク・セキュリティ・デバイスの再構成
  • サードパーティのスクリプトやプログラムの起動

侵入検知システムと侵入防御システムの比較

IDSは主にパッシブである。ネットワーク・トラフィックをスキャンし、潜在的な脅威を管理者に通知する。IPSは、自動的なレスポンスと修復が可能であるという点で、侵入検知を進化させたものである。

ネットワーク・セキュリティのためのCylanceGATEWAY

CylanceGATEWAY™は、AIを活用したZero Trust Network Access(ZTNA)です。これにより、遠隔地の従業員は、管理対象または非管理対象のあらゆるデバイスから、クラウド内または構内のあらゆるアプリケーションへ、あらゆるネットワークを介して安全なネットワーク接続を確立することができます。このクラウドネイティブなZTNAソリューションは、あらゆるアプリケーションへのスケーラブルなアウトバウンド専用アクセスを提供すると同時に、重要な資産を権限のないユーザーから保護し、攻撃対象領域を最小限に抑えます。

CylanceGATEWAYのマルチテナント・アーキテクチャは、デジタルトランスフォーメーションと分散型業務向けに設計されています。その強力なAIと機械学習は、セキュリティ体制を改善し、きめ細かく動的なセキュリティポリシーとアクセス制御の設定と管理を簡素化します。

詳細はこちら

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース