ゼファーネットのロゴ

生成的データ インテリジェンス

サイバーセキュリティ

東西ネットワークの可視化を使用して MITRE ATT&CK の後半段階で脅威を検出

プラトン再発行
プラトン再発行

日付:

閲覧数: 82

サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は、「不十分な内部ネットワーク監視」を問題の 1 つと呼んでいます。 最も一般的な 10 のネットワーク構成ミス 今年。 確かに、 ネットワーク分析と可視化 (NAV) は永遠の課題のままです。従来のネットワークの境界がなくなり、現在進行中の脅威の状況がより複雑になるにつれて、企業はパフォーマンス、セキュリティ、継続性を守るための新しい方法とソリューションを必要としています。

それは MITER ATT&CK このフレームワークが収集する敵対者の戦術とテクニックは、ランサムウェアや企業に壊滅的な損害を与える可能性のある高度な持続的脅威 (APT) などのサイバー脅威を理解し、それらに対抗するのに役立ちます。既知の APT グループの既知の戦術やテクニックを探すことで、 サイバーセキュリティチームは脅威を阻止できる 攻撃が成功する前に。

ランサムウェアが検出されてからでは、通常、被害を防ぐには遅すぎます。これは、ネットワークの完全かつ継続的な監視、予防戦略の理解、データセンターとクライアント間の「南北」トラフィックだけでなく「東西」トラフィックを含む異常を検出するための無制限の可視性機能の必要性を強調しています。サーバー間でも同様です。

脅威の状況とネットワークを理解する

ネットワークを完全に可視化することが最終目標ですが、言うは易く行うは難しです。組織が必要とするのは 全体的な可視性 サービス配信エコシステム全体で。トラフィックとアプリケーションの使用状況を追跡および傾向を把握するために、ネットワーク アクティビティを監視することが不可欠です。さらに、企業全体の可視性を超えて、本社、リモート オフィス、プライベート データ センターだけでなく、コロケーション センター、コンタクト センター、パブリック クラウド、SaaS 環境を含む広範なパフォーマンスと可用性の戦略を実装する必要があります。

さらに、分散化が進むハイブリッド クラウド環境全体で高性能のデジタル サービスを維持することは、企業の IT 組織にとって非常に重要です。環境の分散化が進むと、顧客やハイブリッド労働力にビジネス アプリケーションやサービスへの安全かつ確実なアクセスと可用性を提供する上で新たな課題が生じます。場合によっては、SD-WAN リンク、重要なインターネット回線、VPN ゲートウェイ、ハイブリッド クラウドにわたるトラフィックの増大を受けて、品質パフォーマンスの管理が運用上の課題からビジネス クリティカルな優先事項に変わってきています。

たとえば、今日多くの企業は、パンデミック中およびパンデミック後に数千人の従業員を在宅勤務やハイブリッド クラウド環境に恒久的に移動させています。企業が移行するにつれて ハイブリッド ワークフォースとゼロトラスト モデルへNetOps チームは、SD-WAN 帯域幅が数千のリモート ユーザーに関連するリモート ネットワーク トラフィックの急増に適切に対処できるかどうかを確認するための、より優れたツールが必要であることに気づきました。同時に、SecOps チームは、脅威を検出し、ゼロトラスト ネットワーク ポリシーが設計どおりに機能していることを確認するために、これと同じレベルの可視性を必要としていました。

最終的に、この場合のネットワークの脅威状況を理解することで、IT 管理者は、主要なサーバー、アプリケーション、データベースなどの「貴重な」場所がどこにあるのかをよりよく理解し、特定できるようになります。そうすることで、脅威が実際に発生したときに、NetOps チームと SecOps チームにとって異常な動作がより明確になります。

今日の拡張されたサービス エッジ環境では、問題を迅速に特定し、MITRE ATT&CK のすべての段階にわたる可視性を提供するには、多層ネットワークおよびベンダー環境のコンテキストでリモート エンド ユーザー エクスペリエンスを視覚化することが不可欠です。

内部と外部の両方でネットワークの可視性を確保する

IT チームが必要とするのは エンドツーエンドの可視性 SD-WAN やリモート オフィスからハイブリッド/マルチクラウド環境、コロラドやデータ センターに至るまで、エンタープライズ ネットワーク全体にわたって。可視性が不足している場合、SecOps チームは MITRE ATT&CK のすべての段階について適切な洞察を得ることができません。

最新のゼロトラスト環境では、ネットワークがすでに侵害されていることを前提としています。つまり、MITRE ATT&CK の初期段階 (偵察、資源開発、初期アクセス) はすでに行われています。南北ネットワークの可視性だけでは、攻撃者の内部の動きを追跡するには不十分です。現在、攻撃者の内部の動きは、MITRE ATT&CK の実行、永続化、権限昇格、防御回避、資格情報へのアクセス、検出、横方向の移動、および収集の後半の段階を経て進行しています。

これらの段階で侵入を捕捉するには、SecOps チームは東西トラフィックの可視性を必要とします。サーバー間の通信をこのレベルで可視化することで、SecOps チームは最高級サーバーに関する異常なトラフィック動作を検出できます。ランサムウェア攻撃が発生した場合、MITRE ATT&CK の戦術とテクニックの多くは、実際のデータの抽出と暗号化に先立って行われます。

この種の攻撃は、あらゆる方向から流れるトラフィックを含む異常を検出するために、ネットワークの完全かつ継続的な監視、予防戦略の理解、および無制限の可視化機能の必要性を強調しています。内部向けソリューションと外部向けソリューションの両方を使用することで、IT、NetOps、SecOps チームは両方の長所を生かしたパフォーマンス監視を実装できます。

両方の形式のネットワーク パケット トラフィックから得られるデータを活用することで、ハイブリッド環境とリモート環境にわたる切り分けが難しい問題に対処できます。 MITRE ATT&CK の最終フェーズである指揮統制、漏洩、および影響には、南北および東西のネットワーク可視性の組み合わせが必要です。

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.