未知の脅威の検出
脅威アクターは、高度な手法を用いて検出を回避しようとしますが、それでもネットワーク全体に何らかの痕跡が残っているものです。サイロ化されたツールしかなければ部分的な情報しか得られず、なかなか全容がつかめませんが、Flowmon のセキュリティインテリジェンスは、悪意のあるアクティビティの様々な兆候をつなぎ合わせてまとめ、どのようなリスクがあるかについての明確な全体像を初期段階で提供することができます。
オンラインデモを開始未知の脅威 (ゼロデイ脅威) とは
これまでに見られたことのない悪意あるコードのことを未知の脅威 (ゼロデイ脅威) と呼びます。こういった脅威は、高度で持続的な脅威または標的型攻撃として脆弱性を悪用し、防御策を突破しようとします。未知の脅威は、新しくてまだ見られたことがないため、シグネチャ・ベースの検出 (通常はアンチウイルス、IDS) では認識することができません。
Flowmon を使った未知の脅威からの保護
変更が加わった脅威や新たに作成された脅威に対抗するには、回避されやすいシグネチャ・ベースのソリューションやブロックソリューションに頼るのではなく、侵害の痕跡 (Indicators of Compromise、IoC) を見つけるテクノロジーが必要です。IoC は偵察からデータ流出まで、侵入のあらゆる段階に存在し、検出して早期警告につなげます。
Flowmon の脅威検出エンジンは、複数のアプローチを組み合わせて同時に使用し、悪意ある様々なアクティビティを検出します。さらに、脅威への対応とフォレンジック分析も可能です。脅威の検出と対応のためにこのようなネットワーク中心のアプローチを適用すると、可視性のギャップを埋めることができます。様々なインシデントを正確に把握でき、MTTR (平均修復時間) が大幅に短縮できます (SOC 可視化トライアドを参照)。
- 機械学習
- 適応ベースライン
- ヒューリスティックス
- 振る舞いパターン
- レピュテーションデータベース
未知の脅威検出のプロセス
データの収集
様々なプラットフォーム (データセンター、SaaS、クラウド) からエクスポートされたネットワークトラフィックメタデータを収集します。暗号化されたトラフィックの分析も可能です。
検出
多様な観点からネットワークトラフィックをチェックする複数の手法を組み合わせて、未知の脅威を検出します。
分析
脅威が検出されると、ユーザーにアラートが送信されます。ユーザーは、どのようなイベントが、どのようなコンテキストで生じているのかを速やかに確認できます。
対応
Flowmon では、脅威をブロックまたは隔離するために、対応を自動的にトリガーするようにすることも可能です。イベントはログに書き出され、完全なフォレンジックができるよう記録されます。
