現在、サイバー脅威の約80%が正規ユーザーの行動を模倣していますが、最先端のSOCはどのようにして正当なトラフィックと潜在的に危険なトラフィックを見分けているのでしょうか?
ファイアウォールやエンドポイント検知&対応(EDR)が、組織にとって最も重要な脅威の検知に失敗した場合、どこに頼ればよいのでしょうか?Verizonの最新のデータ侵害調査レポートによると、エッジデバイスやVPNゲートウェイでの侵害は3%から22%に増加しています。EDRソリューションは、ゼロデイ攻撃、Living-off-the-land技術、マルウェアを使わない攻撃の検知に苦戦しています。CrowdStrikeの2025年グローバル脅威レポートで強調されているように、検知された脅威の約80%は、通常のユーザー行動を模倣するマルウェアを使わない手法を利用しています。現実は厳しく、攻撃者は戦略を適応させ、認証情報の窃取やDLLハイジャックなど巧妙な手法を使って発見を回避しており、従来の検知方法だけではもはや十分ではありません。
これに対応するため、セキュリティオペレーションセンター(SOC)は、 多層的な検知 アプローチに注目し、ネットワークデータを活用して攻撃者が隠せない活動を明らかにしています。
ネットワーク検知&対応(NDR)のような技術が導入され、EDRを補完する可視性を提供し、エンドポイントベースのソリューションでは見逃されやすい行動を明らかにします。EDRとは異なり、NDRはエージェントの導入を必要とせず、一般的な手法や正規ツールを悪用する脅威を効果的に特定します。要するに、エッジデバイスやEDRに対して有効な回避手法も、NDRが監視していれば成功しにくくなります。
多層化:より迅速な脅威検知戦略#
予測できない天候に備えて重ね着をするように、優れたSOCはネットワークインサイトを中心とした多層的な検知戦略でレジリエンスを高めています。NDRは検知を単一システムに統合することで管理を効率化し、チームが優先度の高いリスクやユースケースに集中できるようにします。
チームは攻撃状況の変化に迅速に適応し、脅威をより早く検知し、被害を最小限に抑えることができます。それでは、このダイナミックなスタックを構成する各レイヤーを詳しく見ていきましょう:
ベースレイヤー#
軽量で迅速に適用でき、既知の脅威を容易に捕捉し、防御の基盤を形成します:
- シグネチャベースのネットワーク検知は、その軽量さと迅速な応答性から、最初の防御層として機能します。Proofpoint ET Proのような業界トップのシグネチャがSuricataエンジン上で動作し、既知の脅威や攻撃パターンを素早く特定できます。
- 脅威インテリジェンス(Threat Intelligence)は、しばしばIOC(侵害の指標)で構成され、実際の攻撃で観測された既知のネットワークエンティティ(例:IPアドレス、ドメイン名、ハッシュ値)を探します。シグネチャ同様、IOCは共有が容易で軽量、かつ迅速に展開できるため、素早い検知が可能です。
マルウェアレイヤー#
マルウェア検知は、防水バリアのように機能し、マルウェアファミリーを特定することで「マルウェアのしずく」から守ります。YARAルールのような検知手法は、マルウェア解析コミュニティで標準的な静的ファイル解析手法であり、共通のコード構造を持つマルウェアファミリーを特定できます。これは、シグネチャを変えながらもコアとなる行動特性を維持するポリモーフィックマルウェアの検知に不可欠です。
アダプティブレイヤー#
進化する状況に対応できるよう設計された最も高度な層は、行動検知や機械学習アルゴリズムを活用し、既知・未知・回避型の脅威を特定します:
- 行動検知は、ドメイン生成アルゴリズム(DGA)、コマンド&コントロール通信、異常なデータ流出パターンなどの危険な活動を特定します。攻撃者がIOCや攻撃の構成要素を変更しても、根本的な行動は変わらないため、未知の脅威も素早く検知できます。
- 機械学習(ML)モデルは、教師あり・教師なしの両方があり、既知の攻撃パターンや新規の脅威を示す異常行動を検知できます。行動検知よりも長期間かつ複雑な攻撃にも対応可能です。
- 異常検知は、教師なし機械学習を用いてネットワークの基準行動からの逸脱を検知します。これにより、予期しないサービス、異常なクライアントソフトウェア、疑わしいログイン、悪意のある管理トラフィックなどの異常をSOCに通知します。通常のネットワーク活動に隠れた脅威を発見し、攻撃者の潜伏時間を最小化します。
クエリレイヤー#
最後に、状況によっては、既存のネットワークデータをクエリすることが最も迅速なアラート生成方法となります。検索ベースの検知—アラートや検知を生成するログ検索クエリ—は、短期間の迅速な対応に備えたスナップオンレイヤーのように機能します。
NDRによる脅威検知レイヤーの統合#
多層的な検知の真の強みは、それらが連携して機能する点にあります。最先端のSOCはネットワーク検知&対応(NDR)を導入し、ネットワーク全体の脅威を統合的に可視化しています。NDRは複数のエンジンからの検知を相関させ、完全な脅威の全体像、ネットワークの集中可視化、リアルタイムのインシデント対応を可能にするコンテキストを提供します。
多層的な検知に加え、高度なNDRソリューションは、全体的な脅威対応能力を強化するいくつかの重要な利点も提供できます:
- 従来のEDRのシグネチャベース検知システムにまだ組み込まれていない新たな攻撃ベクトルや手法の検知
- 2022年のFireEyeレポートによると、誤検知率を約25%削減
- AIによるトリアージと自動化ワークフローでインシデント対応時間を短縮
- MITRE ATT&CKのネットワークベースのツール、技術、手順(TTPs)を包括的にカバー
- 共有インテリジェンスやコミュニティ主導の検知(オープンソースソリューション)を活用
現代SOCの進むべき道#
ますます高度化する攻撃、拡大する攻撃対象領域、リソース制約の増加により、多層的な検知戦略への転換が求められています。攻撃が数秒で成功する環境では、NDRソリューションなしで効果的なサイバーセキュリティを維持できる時間は急速に短くなっています。エリートSOCチームはこれを理解し、すでに多層化を実現しています。問題は多層的な検知を導入するかどうかではなく、組織がどれだけ早くこの移行を実現できるかです。
Corelight ネットワーク検知&対応#
Corelightの統合型Open NDRプラットフォームは、上記で紹介した7種類すべてのネットワーク検知タイプを組み合わせており、Zeek®のようなオープンソースソフトウェアを基盤として、コミュニティ主導の検知インテリジェンスの力を活用できます。詳細はこちら:Corelight。
翻訳元: https://thehackernews.com/2025/07/that-network-traffic-looks-legit-but-it.html