サイバーセキュリティとインフラセキュリティ庁(CISA)は、「内部ネットワーク監視の不足」を今年の最も一般的なネットワークの誤設定10項目の一つと呼んでいる。ネットワーク分析と可視性(NAV)は、伝統的なネットワークの境界が消失し、脅威の風景が複雑化する中で、企業がパフォーマンス、セキュリティ、および継続性を守るために新しい方法とソリューションを必要としている。MITRE ATT&CKフレームワークは、ランサムウェアや高度な持続的脅威(APT)などのサイバー脅威を理解し、対抗するのに役立つ敵の戦術と技術を収集する。
ランサムウェアが検出された時点で、被害を防ぐのは通常遅すぎる。これは、データセンターとクライアント間の「北-南」トラフィックだけでなく、サーバー間の「東-西」トラフィックも含む異常を検出するための完全かつ継続的なネットワーク監視、予防戦略の理解、および制限なき可視性能力の必要性を強調している。
組織は、サービス提供エコシステム全体にわたる包括的な可視性を必要としている。ネットワーク活動の監視は不可欠であり、本社、リモートオフィス、プライベートデータセンターだけでなく、コロケーションセンター、コンタクトセンター、パブリッククラウド、SaaS環境も含む広範なパフォーマンスと可用性戦略を実装する必要がある。
ITチームは、SD-WANおよびリモートオフィスからハイブリッド/マルチクラウド環境、コロケーションおよびデータセンターに至るまで、企業ネットワーク全体を通じてエンドツーエンドの可視性を必要としている。可視性が不足している場合、SecOpsチームはMITRE ATT&CKのすべての段階に対する十分な洞察を持っていない。
現代のゼロトラスト環境は、ネットワークが既に侵害されていると仮定している。つまり、MITRE ATT&CKの初期段階である偵察、リソース開発、および初期アクセスは既に発生している。北-南ネットワークの可視性だけでは、攻撃者の内部移動を追跡するのに不十分である。これは、攻撃者がMITRE ATT&CKの後期段階である実行、持続性、権限昇格、防御回避、資格情報アクセス、発見、横方向の移動、および収集を進めていることを意味する。
攻撃のこの性質は、ネットワークの完全かつ継続的な監視、予防戦略の理解、およびすべての方向からのトラフィックを含む異常を検出するための制限なき可視性能力の必要性を強調している。内部向けおよび外部向けのソリューションの両方を使用することで、IT、NetOps、およびSecOpsチームは最高の両方の世界のパフォーマンス監視を実装できる。
【ニュース解説】
サイバーセキュリティの世界では、企業や組織が直面する脅威は日々進化しており、これに対抗するための戦略もまた、常に更新されている必要があります。この文脈で、サイバーセキュリティとインフラセキュリティ庁(CISA)は、「内部ネットワーク監視の不足」を今年の最も一般的なネットワークの誤設定10項目の一つとして挙げています。これは、企業が自身のネットワーク内で発生している活動を十分に把握していないことを示しており、潜在的な脅威を見逃すリスクを高めています。
MITRE ATT&CKフレームワークは、サイバー攻撃者が使用する可能性のある戦術や技術を収集し、これを基にセキュリティチームが脅威を特定し、対策を講じるためのガイドラインを提供しています。特に、ランサムウェアや高度な持続的脅威(APT)など、企業に甚大な被害をもたらす可能性のある攻撃に対して、事前に識別し対処することが重要です。
このような脅威に効果的に対処するためには、ネットワークの「北-南」トラフィック(データセンターとクライアント間の通信)だけでなく、「東-西」トラフィック(サーバー間の通信)の監視も不可欠です。これにより、攻撃者がネットワーク内で横方向に移動する際の異常な挙動を検出し、早期に対処することが可能になります。
しかし、企業ネットワーク全体にわたる包括的な可視性を確保することは容易ではありません。リモートオフィス、プライベートデータセンター、パブリッククラウド、SaaS環境など、多様な場所に分散しているサービス提供エコシステムを一元的に監視する必要があります。また、ハイブリッドクラウド環境やリモートワークの普及に伴い、セキュリティチームは新たな課題に直面しています。
ゼロトラスト環境の導入は、ネットワークが既に侵害されているという前提に立ち、内部と外部の両方の脅威から保護するためのアプローチです。この環境では、MITRE ATT&CKフレームワークの初期段階(偵察、リソース開発、初期アクセス)を超え、攻撃者がネットワーク内で活動を続ける後期段階(実行、持続性、権限昇格など)を特定し、対処するための「東-西」トラフィックの監視が特に重要になります。
このような状況下で、IT、NetOps、SecOpsチームは、内部向けおよび外部向けのソリューションを組み合わせることで、企業ネットワーク全体のパフォーマンス監視を実現し、脅威に迅速かつ効果的に対応することができます。これにより、企業はサイバー攻撃による被害を最小限に抑え、ビジネスの継続性を保護することが可能になります。
このアプローチは、サイバーセキュリティの複雑化する現代において、企業が直面する脅威に対抗するための重要な戦略の一つとなっています。しかし、これを実現するためには、技術的なツールだけでなく、組織全体のセキュリティ意識の向上と、セキュリティポリシーの徹底が求められます。
from Using East–West Network Visibility to Detect Threats in Later Stages of MITRE ATT&CK.
“サイバーセキュリティ監視不足が露呈、企業の脅威対策に赤信号” への1件のコメント
この記事を読んで、今の世の中ではサイバーセキュリティの重要性が非常に高まっていると感じました。私は元会社員で、現在は隠居していますが、私の勤めていた時代に比べて、情報技術の発展と共にサイバー攻撃の手口も高度化し、複雑になっていることが理解できます。特に、内部ネットワークの監視不足が一般的なネットワークの誤設定の一つとされている点には、大変な危機感を覚えます。企業や組織が自身のネットワーク内で何が起きているのかをしっかりと把握し、管理することは極めて重要です。
また、MITRE ATT&CKフレームワークやゼロトラスト環境などの概念は、私の若い頃には存在しなかったものですが、これらの新しいアプローチやツールを使ってサイバー攻撃に対処する必要があるという点は、非常に興味深いと感じます。特に、「東-西」トラフィックの監視の重要性については、攻撃者がネットワーク内で横方向に移動する際の異常な挙動を検出することができるという点で、非常に合理的な戦略だと思います。
しかしながら、企業ネットワーク全体にわたる包括的な可視性を確保することは、技