サイバー脅威の進化により、すべての業界の組織はセキュリティ戦略を再考せざるを得なくなっています。攻撃者が暗号化、ランドテクニックの活用、横方向の移動を駆使して従来の防御を回避するにつれ、セキュリティチームはより多くの脅威が検出される前に混乱を引き起こすことを発見しています。攻撃が特定された後でも、セキュリティチームが攻撃者を侵入させた問題を完全に軽減したことを監査人に証明するのは難しい場合があります。
世界中のセキュリティチームはエンドポイント検出と応答(EDR)を優先しており、これが非常に効果的になったため、脅威アクターはホストベースの防御によって保護された攻撃ベクトルを回避するために戦術を変更しています。
これらの高度な脅威は、金融サービス、エネルギーとユーティリティ、輸送、および政府機関の重要インフラストラクチャプロバイダーにとって特に厄介です。これらのプロバイダーは、従来のエンドポイントセキュリティでは保護できない独自のシステムを持ち、既存のセキュリティツールでは認識されない可能性のある独自のプロトコルを持ち、完全な開示と軽減の証明を要求する規制によって管理されている可能性があります。
エリートセキュリティチームは、疑わしい行動を特定し、完全な軽減とコンプライアンスを示すために、ネットワークによってのみ提供される真実に目を向けています。この真実は、すべてのネットワーク活動の不変の記録を提供し、脅威ハンターが潜在的な脅威を積極的に検索できるようにします。
金融サービス:#
金融データに対する静かな脅威への防御#
金融サービス業界は、世界で最も標的にされているセクターであり、厳格な規制要件の下で運営されており、犯罪市場で高値で取引される非常に機密性の高いデータを管理しています。金融機関にとって、ネットワーク検出と応答(NDR)は、無許可のデータアクセスを特定し、マイクロ秒単位のトランザクションを保護し、規制コンプライアンスを示すために不可欠です。
無許可のデータアクセスと流出の検出#
銀行や投資会社は、データ盗難の微妙な兆候を監視するためにNDRソリューションを展開しています。多くの業界では攻撃者が業務を妨害しようとするのに対し、金融サービスの攻撃者は貴重なデータにアクセスしながら検出されないことを目指すことが多いです。NDRプラットフォームは、暗号化されたチャネル内に偽装されていても、疑わしいデータアクセスパターンや流出の試みを特定するのに役立ちます。
仮想のシナリオとして、主要な金融機関が6か月以上にわたって持続性を確立し、通常の業務時間中に暗号化されたチャネルを使用して顧客の金融データを徐々に流出させている攻撃者に対処しているとします。この種の活動はSIEMやEDRツールでは見逃される可能性がありますが、NDRは他のツールが見逃す異常なトラフィックパターンを検出できます。
マイクロ秒単位のセキュリティ優位性の維持#
高頻度取引(HFT)環境は、超低遅延要件のために従来のインラインセキュリティツールが実用的でないという独自のセキュリティ課題に直面しています。カスタムハードウェアはしばしばエンドポイントエージェントをサポートできず、可視性のギャップを生じさせ、独自のアルゴリズムは盗難や操作からの保護を必要とします。
高度なNDRソリューションは、ゼロ遅延を導入しながら完全なネットワーク可視性を維持するパッシブ監視を通じてこれらの課題に対処します。従来のツールではデコードできない独自の取引プロトコルの高度なプロトコル分析を提供し、マイクロ秒精度のタイムスタンプは微妙な操作の試みを検出することができます。
規制コンプライアンスの実証#
デジタル運用レジリエンス法(DORA)、ネットワークおよび情報セキュリティ指令(NIS2)、FINRA規則などの規制により、銀行はネットワーク活動の包括的な監査証跡を維持する必要があります。NDRソリューションは、コンプライアンスの検証とインシデント後の調査の両方に必要な詳細な法医学的証拠を提供します。
NDRの展開は、規制当局が要求する継続的なネットワーク監視と証拠保存を提供します。金融機関がセキュリティインシデントを経験した場合、NDRは何が起こったのか、どのように対応したのか、侵害が完全に修復されたかどうかの証拠を示すことができ、これはますます規制の期待となっています。
エネルギーとユーティリティ:#
IT/OTセキュリティギャップの橋渡し#
従来のITネットワークと物理インフラを制御する運用技術(OT)環境を持つエネルギーセクターは、犯罪者や国家のアクターにとって主要なターゲットとなっています。最近のVolt Typhoon攻撃は、従来のエンドポイントセキュリティでは保護できないシステムを標的にして重要インフラを積極的に侵害する脅威の例です。
連邦エネルギー規制委員会(FERC)は、高影響のバルク電力システムセキュリティスタックの内部ネットワークセキュリティ監視(INSM)を要求する命令第887号を発行し、境界およびホストベースのセキュリティコントロールを超えて異常なネットワーク活動の検出を含むように拡大しました。
エネルギーインフラの偵察の特定#
高度な脅威アクターは通常、攻撃を開始する前に広範な偵察を行います。NDRソリューションは、重要なシステムに対する異常なスキャンパターン、列挙の試み、その他の偵察指標を検出することで、これらの初期段階の活動を特定するのに役立ちます。
OTシステムは必ずしもサイバーセキュリティを念頭に置いて構築されていませんが、強力な物理的セキュリティ機能を備えています。これらのシステムは従来のエンドポイントセキュリティ技術を実行できず、独自の脆弱性もあります。緊急時には迅速にアクセスする必要があるため、複雑なパスワードのような強力なセキュリティを持たないことがよくあります。
“15桁の複雑なパスワードを3か月ごとに変更する必要があることや、誰かが忘れたためにその場でリセットする必要があることを覚えている時間がないとお客様からよく聞きます”とCorelightのフィールドCTOであるVince Stoffer氏は述べています。”彼らは手元の問題に対処するために迅速にアクセスする必要があり、結果として組織はデフォルトまたは簡単なパスワードを設定し、覚えやすいが攻撃者がブルートフォースで突破しやすいものにすることがあります。”
IT/OTの収束ポイントの監視#
エネルギー会社は、ITとOTネットワーク間のトラフィックを監視し、企業ネットワークから重要な運用システムへのピボットの試みを監視する必要があります。セキュリティチームはほとんどのOTシステムにエンドポイントエージェントを配置できませんが、これらの環境へのネットワークトラフィックを監視することができます。
全国規制ユーティリティ委員会(NARUC)は、認証ツール、侵入検知/侵入防止システム、ファイアウォール、その他のセキュリティツールからのセキュリティに焦点を当てたログを保存し保護することを要求する電力配電システムのサイバーセキュリティベースラインを確立しました。ログが標準でない、または利用できないOT資産については、これらの資産と他のシステム間のネットワークトラフィックと通信を法医学目的で収集し保存することを期待しており、NDRがそれを可能にします。
産業システムにおけるプロトコルの異常の検出#
エネルギー会社は、産業制御システムの通信における異常を特定するためにNDRのプロトコル分析機能を活用し、改ざんや無許可のコマンドを示す可能性があります。例えば、タービン操作を制御するためにModbusプロトコルを使用する発電施設を考えてみましょう。NDRの監視は、タービン速度を危険なレベルに設定しようとする予期しないコマンドや、無許可のIPアドレスからのコマンドを検出し、設備の損傷や安全上の事故が発生する前に確立された通信パターンからの逸脱をフラグします。
輸送:#
ますます接続されたシステムのセキュリティ確保#
輸送業界内でますます相互接続されたシステムは、サイバー犯罪者がより多くのデータにアクセスし、サプライチェーン全体の運用を妨害する可能性があるため、より大きなリスクを生み出します。
フリート管理および制御システムの監視#
輸送組織は、中央管理システムと車両フリート、船舶、または航空機との間の通信を監視する必要があります。現代の輸送運用は、GPS座標、ルート最適化、燃料管理、緊急通信を含むリアルタイムのデータ交換に大きく依存しています。これらの通信はしばしば複数のネットワークを横断し、傍受や操作の機会を多数生み出します。
“効率を維持し、運用を合理化するために、フリートと信号インフラがますます接続されていると顧客から聞いています。NDRはこれらの接続に対する可視性を提供し、物理的な運用に影響を与える前に安全に関わるシステムへの干渉の試みを検出することができます”とStoffer氏は述べています。
NDRは、無許可のソースからのナビゲーションコマンド、GPSスプーフィングの試み、または自動操縦システムへの不審な変更を特定し、輸送オペレーターが乗客の安全に影響を与える前に脅威に対応できるようにします。
乗客データと支払いシステムの保護#
輸送会社は、大量の乗客データと支払い情報を処理しており、魅力的なターゲットとなっています。NDRは、特に初期の侵害後に攻撃者が横移動する可能性のある内部ネットワークから、これらのシステムへの無許可のアクセスを監視するのに役立ちます。
NDRの行動分析機能は、データ収集活動を示す異常なデータベースクエリ、異常なファイルアクセスパターン、または支払い処理システムへの予期しないネットワーク接続を検出することができます。
運用妨害の試みの検出#
輸送において、運用の妨害は即時の安全への影響を持つ可能性があります。鉄道信号システム、航空交通管制通信、交通管理プラットフォームは、悪意のある干渉が壊滅的な事故を引き起こす可能性のある重要な制御ポイントを表しています。
NDRソリューションは、輸送インフラを制御する専門的なプロトコルと通信パターンを監視することにより、物理的な運用に影響を与える前にスケジューリング、ルーティング、または通信システムを妨害するように設計された攻撃を特定するのに役立ちます。
政府:#
高度な持続的脅威に対する防御#
政府機関は、国家の敵対者からの高度な持続的脅威(APT)の標的にされ続けており、複雑な環境で高価値の資産と機密情報を防御しながら、NIST 800-53、CMMC、FISMAなどの厳格な連邦サイバーセキュリティフレームワークに準拠する必要があります。
長期的な持続性とデータ収集の特定#
政府組織は、ネットワーク内に長期的な存在を確立する可能性のあるAPTの微妙な兆候を特定するためにNDRを展開しています。これらの攻撃者は、即時の妨害よりも長期間にわたる情報収集に焦点を当てており、国家安全保障にとって特に危険です。
“防衛情報局でセキュリティを担当していたときに直面した脅威は、資金が豊富で、ステルス性があり、洗練されており、持続的でした”とCorelightの連邦CTOであるJean Schaffer氏は述べています。”今やゼロトラストの時代において、すべてのユーザーとデバイスが継続的に検証されなければならないため、NDRは、エンドポイント検出を回避する正当な資格情報とランドテクニックを使用している場合でも、横方向の移動攻撃を検出するために必要な消去不可能な可視性を提供する重要な役割を果たしています。”
NDRの継続的なネットワーク監視機能は、異常なデータフローのオフアワー中の分析、疑わしい宛先へのアウトバウンドトラフィックの徐々な増加、または横方向の移動を示す通信パターンの微妙な変化を特定するために、ベースラインネットワーク行動を分析することができます。
ゼロトラストコンプライアンスの確保#
ゼロトラストは、2024会計年度末までにゼロトラストアーキテクチャを採用することを要求する連邦の命令によって推進される公共部門組織にとって非常に重要です。NDRは、ゼロトラストモデルが必要とする基礎的なネットワーク可視性を提供することで、ゼロトラストを可能にする重要な役割を果たしています。
ゼロトラストはすでに侵害が発生していると仮定しているため、NDRはすべてのネットワーク通信のリアルタイム監視を提供し、アイデンティティとアクセスの検証をサポートし、従来のセキュリティツールが見逃す盲点を排除します。
帰属証拠の提供#
国家安全保障機関にとって、攻撃者が誰であるかを理解することは、攻撃を検出することと同じくらい重要です。NDRは、特定の脅威アクターに関連する戦術、技術、および手順(TTP)を特定するのに役立つ豊富な法医学データを提供し、帰属の努力をサポートします。
プラットフォームは、異なる敵対者グループのための独自の行動指紋を形成する詳細なネットワーク通信、接続パターン、およびコマンド&コントロールインフラストラクチャの使用をキャプチャし、現在のインシデントを過去の脅威インテリジェンスと関連付けることを可能にします。
業界を超えた共通のテーマ#
異なる優先事項を持っているにもかかわらず、これらのセクター全体でいくつかの共通のテーマが浮かび上がります:
- ネットワークの真実の価値: すべての業界は、ネットワークトラフィックが攻撃者が改ざんまたは消去するのが難しい活動の客観的な記録を提供することを認識しています。
- 補完的なセキュリティアプローチ: セクター全体の組織は、異なるセキュリティ技術が異なる種類の脅威を検出するのに優れていることを認識して、NDRをEDRおよびSIEMと共に展開しています。
- 暗号化トラフィックの分析: 暗号化が普及するにつれ、すべての業界は、暗号化された通信に対して詳細なデータと脅威検出を提供するNDRの能力を評価しています。
- レガシーシステムのサポート: 各セクターは、運用上の制約、年齢、または独自性のためにエージェントを展開できないシステムを監視するためにNDRに依存しています。
サイバー脅威がますます洗練されるにつれ、NDRのセキュリティアーキテクチャにおける役割は引き続き成長する可能性があります。多様な環境全体で可視性を提供し、微妙な妥協の指標を検出する技術の能力は、重要なインフラストラクチャと機密データを保護する組織にとって特に価値があります。
NDRソリューションを評価するセキュリティチームにとって、これらの業界固有のユースケースを理解することは、実装戦略を導くのに役立ち、技術が組織の特定のセキュリティ課題に対処することを保証するのに役立ちます。CorelightのOpen NDRプラットフォームに関する詳細は、corelight.comをご覧ください。
翻訳元: https://thehackernews.com/2025/06/the-secret-defense-strategy-of-four.html