検知と対応は、企業ネットワークを攻撃から守るために不可欠です。NDR、EDR、XDRはそれぞれ何を意味し、どのような違いがあるのでしょうか?
サイバーセキュリティ分野で増え続ける略語は、全体像の把握や個々の技術の比較を難しくしています。その一例が、脅威検知のための3つの密接に関連する技術、ネットワーク検知と対応(NDR)、エンドポイント検知と対応(EDR)、拡張検知と対応(XDR)です。それぞれが異なるサイバー攻撃の検知と対応に包括的なソリューションを提供します。類似したアプローチに基づいていますが、いくつかの違いがあります。
EDRはエンドポイントでの顕著な変化を検知する
3つの検知技術の中で最も古いEDRは、エンドポイントを監視し、攻撃を軽減します。エンドポイントとは、ネットワークに接続して通信を行うPC、ファイルサーバー、スマートフォン、IoTデバイスなどのネットワーク機器です。ソフトウェアエージェントを用いて、EDRはエンドポイント上で検知されたマルウェアや疑わしい活動(レジストリの変更や重要ファイルの改ざんなど)をインベントリ化します。
ネットワーク環境が時間とともに複雑化し、脅威アクターやマルウェアが高度化する中で、EDRは以下のような課題に直面しています:
-
必要なEDRエージェントをすべてのデバイスや環境に導入できないため、可視性にギャップが生じ、攻撃の隙を生みます。
-
一部の一般的なアプリケーションはEDRを回避できます。例えば、Microsoft SQL Serverは、上記のEDR監視環境を使用せずに基盤となるWindows OSへの管理アクセス権を持っているため、攻撃者がエンドポイント検知を回避できます。
-
マルウェアや攻撃者はますます巧妙になり、エンドポイント上のアンチマルウェアソフトウェアを検知したり、エンドポイント侵害の証拠を完全に隠したりすることができます。
EDRは現代のサイバーセキュリティ戦略に必要不可欠な要素ですが、包括的なサイバーセキュリティのためには単独では不十分です。
XDRは包括的な保護を提供する
XDRを製品やEDRの進化形と誤解している人も多いですが、XDRは、高精度な検知と組み合わせたセキュリティ関連のテレメトリデータによって、より迅速かつ効果的なインシデント対応を可能にする戦略です。
XDRにはさまざまなタイプがあります。1つは、単一ベンダーや「オールインワン」プラットフォームに焦点を当て、ベンダーのファイアウォール、EDR、NDRなど複数の製品からテレメトリデータを提供する独自のXDR戦略です。もう1つは、複数ベンダーや「ベスト・オブ・ブリード」技術・ツールで構成されるオープンXDR戦略です。こちらは、ファイアウォール、侵入検知システム(IDS)、EDR、NDRなど、異なる製品タイプやベンダーからテレメトリデータが提供されます。
多くの組織はEDR中心のXDR戦略で十分だと考えていますが、これには問題となる死角が生まれます。EDRエージェントの可視性が失われると、重大なセキュリティ侵害を発見・調査する手段が他にありません。このような単一ポイントに依存したテレメトリ戦略では、攻撃者は1つの技術や防御を回避するだけでネットワークに侵入できます。サイバーセキュリティ管理者は、ネットワーク活動の変化を検知し、エンドポイントやクラウドデータと比較する必要があります。ここでNDRソリューションが、潜在的なサイバー脅威に注目するための文脈を提供します。
関連記事: XDR市場を再定義する6つの重要トレンド
NDRはパケットレベルで脅威を検知し、リアルタイムで対応する
EDRやXDRソリューションとは異なり、NDRはエンドポイントや他のデータストリームではなく、ネットワークトラフィック中のパケットデータを分析して潜在的なサイバー脅威を検知します。NDRをセキュリティ情報およびイベント管理(SIEM)やEDRなどの他のソリューションと組み合わせることで、組織はネットワーク内の死角を軽減できます。NDRソリューションは、ネットワークの文脈を提供し、脅威への対応を自動化することで、ネットワークとITセキュリティチーム間の連携を強化し、迅速な対処を可能にします。
ただし、NDRの文脈では、現代のサイバーセキュリティスタックに必要な機能を備えた高度なプラットフォームの能力を区別することが重要です。例えば、さまざまなNDRを評価する際には、長期データ保持による信頼性の高いフォレンジック機能を提供しているか確認する必要があります。また、NetFlowベースのデータに依存していないことも重要です。NetFlowはすべての環境でサポートされておらず、高度なトンネリング攻撃の機会を与えてしまいます。
高度なNDRシステムは、攻撃の前後や最中の脅威行動を調査できるよう、ネットワークトラフィックの遡及的な分析も提供すべきです。万が一、侵害の兆候(IOC)が検知された場合、セキュリティチームは侵害されたホストの通信を調査し、ラテラルムーブメントを検出し、データ漏洩が発生したかどうかを判断できます。
EDR、XDR、NDR:連携してこそ強力
まとめると、EDRは接続されたコンピュータやサーバーを通じてエンドポイントへの攻撃を監視・軽減するために設計されていますが、エージェントを導入できる場所に限られます。そのため、EDRは一部のクラウドベースホスティング環境などでは機能しません。一方、XDRはデバイスやデータストリームの監視をより統合的に行うプラットフォームアプローチを提供しますが、リアルタイムのパケット監視によるネットワークの文脈が不足しがちです。
今日の大規模な組織の多くは、ネットワークとエンドポイントデータを他のセキュリティソリューションと組み合わせ、絶えず変化する脅威の状況をリアルタイムでより堅牢に把握できる包括的なソリューションを必要としています。
高度なNDRソリューションは高いネットワークインテリジェンスを提供し、他のセキュリティスタックを効果的に補完します。SIEMに加え、高度なNDRソリューションはセキュリティオーケストレーション・自動化・対応(SOAR)やファイアウォールプラットフォームにも統合でき、ネットワーク境界で即時のブロックを実施できます。
結局のところ、ネットワーク上で足跡を完全に消すことは不可能であり、サイバー攻撃はますます巧妙化しています。これらのシステムが連携することで、攻撃者の行動や侵害の兆候を包括的に把握できます。
高度なNDRは、全体的なサイバーセキュリティ戦略に重要な貢献をし、運用リスクの最小化に役立ちます。
