侵入検知・防止システム(IDPS)は、トラフィックを受動的に監視し、不審な行動や悪質な行動を積極的にブロックすることで機能するネットワーク監視システムです。
IDPSは、ネットワーク境界線に配置され、トラフィックを監視する可視化ツールとも言え、管理コンソールと、過去検出された攻撃シグネチャと一致するアクティビティが発生したとき、それをコンソールに報告するセンサーとで構成されます。
上記で指摘した最後のポイントは、表面的には似ているように思われるこの2つの戦略の違いを識別する上で重要です。IDPSは既知の攻撃シグネチャを検出し、現在のアクティビティと過去の攻撃を迅速に照合できます。MDRプログラムの主な機能の1つは、新しいタイプや未知のタイプの攻撃を検出し、それらの新しい脅威に対抗策を講じることです。
IDPSの役目は相互にリンクされたエンドポイントとシステムのネットワーク全体をスキャンすることにあります。マクロな視点を提供し、大規模な脅威グループによって展開される、企業を標的とした攻撃によくフィットします。アンチウイルスは主にファイルをスキャンして整合性と適切性を確認し、不適切と判断された場合にはそれを隔離します。
IDPSシステムには、収集されるテレメトリの最終用途に応じて、さまざまな種類に分かれます。米国国立標準技術研究所がいくつかの主要シナリオにわたりIDPSシステム機能をどのように説明しています。
ネットワークベースのIDPSは、ネットワークセグメントのネットワークトラフィックを監視し、ネットワークアクティビティを分析して不審なアクティビティを特定します。さまざまな種類のイベントを識別でき、ファイアウォールやリモートアクセスサーバーなどの、ネットワーク境界に導入されるのが一般的です。
ホストベースのIDPSは、ホスト内で発生するイベントの特性を監視し、不審なアクティビティがないかどうかを確認します。対象には、ネットワークトラフィック、システムログ、実行中のプロセス、アプリケーションアクティビティ、ファイルアクセスと変更、システムとアプリケーションの構成変更の監視が含まれます。ホストベースのIDPSは、一般にパブリックサーバーなどの重要なホストにデプロイされます。
ワイヤレスIDPSはワイヤレスネットワークトラフィックを監視し、プロトコルを分析して疑わしい活動を特定しますが、アプリケーションや上位層のネットワークプロトコルの不審な動きを特定することはできません。組織のワイヤレスネットワークの範囲内に配備されるのが一般的ですが、不正なワイヤレスネットワークの監視も可能です。
NBAシステムは、ネットワークトラフィックを検査し、分散型サービス拒否(DDoS)攻撃、ある種のマルウェア、ポリシー違反など、異常なトラフィックフローを発生させる脅威を特定します。組織の内部ネットワーク上のフローの監視目的で導入されることがほとんどですが、組織外部のトラフィックフローの監視にも使用できます。
IDPSではどのような技術が使用されているでしょうか。以下のリストは関連するすべてのプロセスを網羅しているわけではありませんが、不審なアクティビティが発生した場合に実行できるプロトコルを含みます。
ヒューリスティック検出では、コード内のパターン一致ではなく、特定の行動(ふるまい)を照合することで悪意のあるコードを識別します。コードの実行方法を監視し、より複雑なルールのセットに基づき危険な動作を判断します。
ログ、傾向予測、トラブルシューティングの取り組みを調べる統計分析により、管理者は現在のシステム動作についての洞察を得ることができます。高度な統計分析の利用で、異常なイベントをより早く検出し、対応計画をより迅速に実行できます。
アプリケーション層のプロトコル分析を中核とする手法で、破損していないプロトコルを疑わしいアクティビティと比較し、異常を検出してアクセスを拒否することを最終目標としています。
侵害された認証情報、水平展開、その他の悪意のある行動の検知のため、ネットワークイベントに洞察を適用するプロセスで、通常、ネットワーク上でのユーザー行動と静的な脅威指標が対象となります。
進化し続ける脅威と侵害を阻止するには、検知と対応のための方法論が必要なことは明白ですが、予防のプロセスにより、セキュリティ組織にとってより大きな問題となりうる問題のリスクを低減できます。予防の手法には、進行中の攻撃の停止、セキュリティ環境の変化の監視、攻撃内容を積極的に変更してその影響を軽減することなどが含まれます。
できる限り衛生的な方法でIDPS技術を実行するには、侵入検知・防止システムの立ち上げの際にいくつかのベストプラクティスを取り入れることをお勧めします。
この種のアセスメントにより、セキュリティチームはネットワークにリスクをもたらす脆弱性を適切に管理してパッチを適用し、脅威アクターや侵害の可能性から組織を保護できるようになります。ネットワーク上の脆弱性を定義するのに役立つ上、ネットワーク全体の構造を可視化して、アナリストが「良好」な状態とはどのようなものかを定義できるようにもします。
シグネチャベースの検出は、通常、「その瞬間のもの」であるため、未知の攻撃の検出には適していません。 シグネチャを既知の動作と比較し、その方法で疑わしいアクティビティをキャッチできるため、特定の ネットワーク セキュリティ 目標を管理するシグネチャとルールの両方を定期的に更新することが重要です。
通常、ファイアウォールはデータを生成し、このデータがその後セキュリティ情報・イベント管理 (SIEM)システムにより分析されます。このファイアウォールデータは、ログ、ネットワークトラフィック、アラートの形式で送信されます。こうした連携が、健全なネットワーク動作の全体像を構築する上で役立ちます。
ネットワークの健全性にとっては、内部ポリシーと外部ポリシー(政府が定めるポリシーなど)の両方を遵守し続けることが非常に重要です。定期的なネットワークアセスメントと監査をスケジュールすることで、安全な構成、パスワードポリシー、アクセス制御要件への準拠を確保できます。内部で構築されたベンチマークに対してネットワークセキュリティを評価することで、脅威を軽減しやすくなります。