無料トライアル

flowmon Progress

未知の脅威への対処

2023年8月1日


このコラムはFlowmon社ブログ Dealing with Unknown Threats をもとに構成されています。

ランサムウエアの現状

今日では、あらゆる組織がサイバーセキュリティの脅威に晒されています。攻撃者は新たな脆弱性を見つけ攻撃手法を変え、既存の攻撃防御機構を回避する手立てを日々開発している現状です。 またネットワークやアプリケーションの通常の挙動に紛れ、さまざまな攻撃の証跡を隠蔽しようとするのが一般的です。これにより被害を早期に回避することが困難となり、重大なセキュリティ事故に繋がってしまっています。


従来のサイバーセキュリティツールでは、このような絶えず変化する脅威に対処することはほとんど不可能でした。しかし、Flowmonなどのセキュリティ分析ソリューションを使用することで、このような未知の攻撃や脅威を検出することが可能となります。Flowmonは、異常なアクティビティをつなぎ合わせて原因を特定し、全体像を明らかにし、対応策の立案実施をご支援します。この早期段階での脅威検出および対応により、ランサムウエア被害などを未然に防ぐことを可能としています。

未知の脅威への対処

IT部門における典型的な問題対応の例として、アプリケーションが突然正常に動作しなくなるという状況があります。それにより、ユーザーからの苦情が相次いで報告され、その対処には多大な時間と労力が求められることとなります。

アプリケーションの異常を解決するには、通常トラブルシューティングが行われますが、問題の原因究明までは一般的には大変時間のかかるプロセスとなります。システム管理者が調査を進める間、内部ユーザーの不満が高まり、生産性に悪影響を及ぼす状況となります。さらに、問題が外部顧客にも影響を及ぼす場合(例えば、ショッピングアプリケーションやB2Bアプリケーションを使用するビジネスクライアントの場合)、問題はより深刻化します。前者の場合、顧客が望んだタスクを実行できないことで売り上げの損失が生じ、後者の場合、ビジネスの評判に直接的な影響を与え、後続のビジネスへの影響が憂慮されます。


IT部門が問題に取り組んでいる間、管理者や営業部門は問題対応に奔走することとなり、システム再起動などの対処療法による解決が功を奏しない場合には、長期的な解決策を見つけるために、時間をかけた分析や改善策の検討が必要となります。

根本原因の特定

ITチームが直面する問題の一つは、原因が明確に定義されていない問題を特定することです。たとえば、ネットワークに障害が発生した場合、問題がネットワーク自体、アプリケーションサーバー、またはアプリケーションそのものに関連しているかを特定するのは困難です。このような問題を解決するには時間と労力が必要であり、その間に生産性に影響が及ぶ可能性があります。


この問題に対処するため、Flowmonは異常検出システム(ADS)を提供しています。Flowmonのお客様も同様の問題を抱えており、たとえば、従業員が海外出張中にマルウェア感染に遭い、オフィスに戻ってラップトップを接続したことで感染が広がった事例があります。ADSを導入することで、このような根本原因を特定し、システムをクリーンアップして正常な状態に戻すためにかかる時間と労力を削減することができます。

Flowmon ADSによる対応

Flowmon ADSは、マルウェアや他の脅威を検出するために、複数の検出方法を利用してネットワークを監視します。機械学習や行動パターン分析を利用することで、既知のシグネチャに依存しない検出が可能です。Flowmonは、ネットワークテレメトリ、NetFlow/IPFIXデータ、生のパケットデータ、IDSの署名、業界全体の評価データ、ユーザー識別情報、カスタム脅威インテリジェンスなど、さまざまなデータソースを使用して、ネットワーク全体のデータを収集します。


例えば、感染したラップトップがネットワークに接続された場合、Flowmon ADSはネットワーク上の異常な動作を検出し、ITチームに通知します。また、感染が内部ユーザーや外部ユーザーに影響を与えなかったことも確認できます。その後、システム管理者は感染したデバイスをネットワークから隔離し、そのデバイスを正常な初期状態に復元することができます。さらに、マルウェアや攻撃のベクトルを分析し、今後の感染を防止するための対策を講じることも可能です。Flowmon ADSにより、既知の攻撃に対応するだけでなく、未知の攻撃も検出し、適切な対処を行うことができます。

終わりに

Flowmonは、既知または未知のサイバー攻撃を検出するため、機械学習やヒューリスティックなどの複数の手法を使用して、ネットワーク上での異常な動作を検知します。たとえば、ネットワーク上で大量のトラフィックが発生したり、不審なIPアドレスからの通信があった場合、Flowmonは異常を検知し、ITチームに通知することができます。これにより、サイバー攻撃によるユーザーの金銭的な損失や企業評価への悪影響を未然に防ぐことができます。


さらに、Flowmonは、お客様が既に導入しているセキュリティ製品とも柔軟に連携させることが可能です。例えば、IBM QRadarやSplunkなど、多数のセキュリティ製品とAPIを介した連携をご提供しています。これにより、より高度なセキュリティ運用を実現し、ビジネスの運営に影響を与えずにサイバー攻撃対策を強化することができます。さらに、Flowmonの異常検知により、ITチームがトラブルシューティングに費やす時間を削減し、ビジネスの成長に向けたオペレーションの最適化が可能となります。

関連情報

Youtube動画: How to stop Ransomeware attacks
コラム記事: ランサムウエア検知でのADSのシナリオ
コラム記事: 模擬攻撃とFlowmonでの可視化事例


Flowmon製品に関する
お問い合わせはこちらからどうぞ
  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
お問い合わせフォーム