ネットワークトラフィックの分析と監視

サイバーセキュリティプログラムにおけるネットワークトラフィックの分析と監視の重要性

ネットワークトラフィック分析(NTA)とは

ネットワークトラフィック分析(NTA)とは、ネットワークの可用性とアクティビティを監視して、セキュリティや運用上の問題などの異常を特定する方法です。NTAは一般的に次に挙げる用途で使用します。

  • ネットワークの状況のリアルタイムと履歴記録の収集
  • ランサムウェアアクティビティなどのマルウェアの検出
  • 脆弱なプロトコルと暗号の使用状況の検出
  • 遅延ネットワークのトラブルシューティング
  • 内部の可視性の向上と死角の排除

ネットワークトラフィックを継続的に監視できるソリューションを実装すると、ネットワークパフォーマンスを最適化し、攻撃対象を最小限に抑え、セキュリティを強化し、リソースの管理を改善するために必要な洞察が得られます。ただし、ネットワークトラフィックを監視する方法を知るだけでは不十分です。ネットワーク監視ツールのデータソースも考慮することが重要です。最も一般的なのは、フローデータ(ルーターなどのデバイスから取得)とパケットデータ(SPAN、ミラーポート、ネットワークTAPから)の2つです。

ネットワークトラフィック分析の主な利点

昨今では、サイバー攻撃が「発生したらどうするかではなく、いつ発生してもよいようにする」という考え方が求められるため、できるだけ多くの組織の環境を確実に網羅することは、セキュリティ専門家にとって非常に困難に思われることでしょう。ネットワークは攻撃対象の重要な要素です。ネットワークデータを可視化することで、攻撃を検知して早期に阻止できる領域が1つ増えます。NTAの利点は次の通りです。

  • ネットワークに接続しているデバイス(IoTデバイス、医療関係者など)の可視性の向上
  • コンプライアンス要件への適合
  • 運用とセキュリティの問題のトラブルシューティング
  • 詳しい内容と補足となるネットワークコンテキストによる調査の迅速化

NTAをセットアップする際、適切なソースからデータを確実に収集することが重要となるステップとなります。フローデータは、トラフィック量を突き止めて、ネットワークパケットの始点から終点まで経路をマッピングするのに最適です。このレベルの情報は、許可されていないWANトラフィックを検出し、ネットワークリソースとパフォーマンスを利用するのに役立ちます。しかし、サイバーセキュリティの問題を掘り下げるには、詳細情報とコンテキストが不足している可能性があります。

ネットワークパケットから抽出されたパケットデータは、ネットワーク管理者がユーザーによるアプリケーションの実装/操作方法を理解し、WANリンクの使用状況を追跡し、疑わしいマルウェアやその他のセキュリティインシデントを監視するのに役立ちます。ディープパケットインスペクション(DPI)ツールは、RAWデータのメタデータを読み取り可能な形式に変換し、ネットワークとセキュリティの管理者が詳細情報に、深堀調査できるようにすることで、ネットワーク全体を100%可視化します。

ネットワークトラフィック分析の重要性

ネットワーク境界を注意深く監視することは、非常に良いことです。強力なファイアウォールが設置されていても、ミスが発生し、不正なトラフィックが通過する可能性があります。 ユーザーは、トンネリング、外部アノニマイザー、VPNなどの方法を利用してファイアウォールルールを回避することもできます。

さらに、 最近では 、ランサムウェア が一般的な攻撃タイプ として台頭しているため、ネットワークトラフィックの監視がさらに重要になっています。ネットワーク監視ソリューションは、安全ではないプロトコルを介したランサムウェア攻撃の兆候を示すアクティビティを検出できる必要があります。例として、WannaCryでは、攻撃者がTCPポート445が開いているネットワークを積極的にスキャンし、SMBv1の脆弱性を使用してネットワークファイル共有にアクセスしているアクティビティです。

リモートデスクトッププロトコル(RDP)も、一般的にターゲットとなっているアプリケーションです。ファイアウォールで確実に受信接続をすべてブロックしてください。ファイアウォール内のトラフィックを監視すると、ルールを検証したり、貴重な洞察を得たりすることができますし、ネットワークトラフィックベースのアラートのソースとして使用することも可能です。

Telnetなどの管理プロトコルに関連する不審なアクティビティには注意が必要です。Telnetは暗号化されていないプロトコルであるため、セッショントラフィックにより、デバイスのメーカーとモデルに適したコマンドラインインターフェース(CLI)コマンドシーケンスが外から丸見えになってしまいます。 CLI文字列で、ログイン手順、ユーザー資格情報の提示、ブートまたは実行構成を表示するコマンド、ファイルのコピーなどが外から丸見えになります。次のような暗号化されていない管理プロトコルを実行しているデバイスのネットワークデータを必ず確認してください。

  • Telnet
  • HTTP(ポート80)
  • SNMP(ポート161/162)
  • Cisco Smart Install(SMIポート4786)

ネットワークトラフィックの分析と監視の目的

ネットワークエッジとネットワークコアの両方にネットワークトラフィック分析を実装することにより、運用上、セキュリティ上の多くの問題を調査できます。トラフィック分析ツールを使用すると、大量のダウンロード、ストリーミング、疑わしいインバウンド/アウトバウンドトラフィックなどを見つけることができます。 ファイアウォールの内部インターフェースを監視することから始めてください。これにより、特定のクライアントまたはユーザーへのアクティビティを追跡できます。

さらに、NTAにより、エンドポイントだけでなく、ネットワーク上の脅威に対する可視化が可能になります。モバイルデバイス、IoTデバイス、スマートTVなどの台頭により、ファイアウォールからのログだけでなく、より多くのインテリジェンスが必要になっています。 ファイアウォールログは、ネットワークが攻撃を受けている場合でも問題となります。ファイアウォールのリソース負荷が原因でアクセスできなくなったり、上書きされたり(場合によってはハッカーによって変更されたり)、科学的に調査するために重要となる情報が失われることがあります。

ネットワークトラフィックの分析、監視には、次のような用途が挙げられます。

  • ランサムウェアアクティビティの検出
  • データの抽出/インターネットアクティビティの監視
  • ファイルサーバーまたはMSSQLデータベース上のファイルアクセスの監視
  • ユーザーフォレンジックレポートを使用した、ネットワーク上でのユーザーのアクティビティの追跡
  • ネットワーク上で実行されているデバイス、サーバー、サービスの一覧表示
  • ネットワークの帯域幅ピークの識別と根本原因の特定

ネットワークトラフィック分析と監視ソリューションに求められる機能

ネットワークトラフィックを監視するすべてのツールが同じという訳ではありません。一般に、フローベースのツールとディープパケットインスペクション(DPI)ツールの2つのタイプに分類できます。これらのツールには、ソフトウェアエージェント、履歴データの保存、侵入検知システムのオプションがあります。ソリューションの組織への適性を評価する際は、次の5つのことを考慮してください。

フロー対応デバイス:フローのみに対応したCisco NetflowのようなNTAツールに対してフローを生成可能なフロー対応デバイスがネットワーク上にあるでしょうか。管理下にあるスイッチを介して通信されているすべてのネットワークのRAWデータのトラフィックに対応しているのでデバイスベンダーに依存していません。ネットワークスイッチとルーターは、特別なモジュールやサポートを必要としません。管理対象のスイッチからのSPANまたはポートミラーからのトラフィックのみが必要です。

  1. フロー対応デバイス: フローのみに対応したCisco NetflowのようなNTAツールに対してフローを生成可能なフロー対応デバイスがネットワーク上にあるでしょうか。管理下にあるスイッチを介して通信されているすべてのネットワークのRAWデータのトラフィックに対応しているのでデバイスベンダーに依存していません。ネットワークスイッチとルーターは、特別なモジュールやサポートを必要としません。管理対象のスイッチからのSPANまたはポートミラーからのトラフィックのみが必要です。 
  2. データソース:フローデータとパケットデータは異なるソースからの通信であり、すべてのNTAツールが両方を収集するわけではありません。必ずネットワークトラフィックを調べて重要な部分を決定し、機能とツールを比較して、必要なものがすべて網羅されていることを確認してください
  3. ネットワーク上の場所:ツールがエージェントベースのソフトウェアを使用するか、エージェントフリーを使用するかを検討します。 また、一気に多くのデータソースを監視しないように注意してください。重要なサーバーに関連付けられているインターネットゲートウェイやVLANなど、データが収束する場所を選択する際は、戦略的に行ってください。
  4. リアルタイムデータと履歴データ:t履歴データは過去のイベントを分析するために重要ですが、ネットワークトラフィックを監視する一部のツールは、一定時間の経過後のデータを保持しません。また、保存するデータの量に基づいてツールの価格が設定されているかどうかも確認してください。組織のニーズと予算に最も適したオプションを見つけるために、どのデータが最も重要なのか明確にしてください。
  5. フルパケットキャプチャ、コスト、複雑性:  一部のDPIツールはフルパケットをキャプチャして保持するため、アプライアンスが高価になり、ストレージコストが増加し、操作するための多くのトレーニング/専門知識が必要になります。「重労働」とも言えるフルパケットキャプチャを行う他のツールには、各プロトコルの重要な詳細とメタデータのみを抽出するものもあります。メタデータを抽出することにより、データは大幅に削減されます。しかし、ネットワークチームとセキュリティチームの双方にとって理想的な、読み取り可能で実用的な詳細情報が得られます。 

結論

ネットワークトラフィック分析は、ネットワークの可用性とアクティビティを監視して異常を特定し、パフォーマンスを最大化し、攻撃を監視するための重要な方法です。ログ集約、UEBA、、エンドポイントデータに加えて、ネットワークトラフィックは、脅威を早期に発見して迅速に消滅させるための包括的な可視性とセキュリティ分析の中核を担っています。NTAソリューションを選択する際は、ネットワーク上の現在の盲点、情報が必要なデータソース、効率的な監視のために収束するネットワーク上の重要なポイントを考慮してください。NTAをセキュリティ情報/イベント管理(SIEM)ソリューションの1つのレイヤーとして追加することで、 より多くの環境とユーザーの可視化が可能となるのです。 

We love to give you options. 

This page is also available in English!

Switch to English Continue in Japanese