接続性の拡大は、情報漏洩や攻撃対象領域を増加させる
侵害や侵入とは、ネットワークやコンピューティングシステムに対する不正なアクセスや活動を指します。脅威アクターは、機密リソースへのアクセス、個人データの窃取、データの改ざん、リソースの破壊、あるいはリソースへの正当なアクセスを妨害して業務の円滑な運営を阻害するために、多様な手法や脆弱性を悪用します。脅威アクターの動機は、金銭的利益、復讐、不満を抱く従業員、イデオロギー的または政治的な対立、あるいは単に競争上の優位性を得るためなど、多岐にわたります。
攻撃対象領域(アタックサーフェス)とは、不正アクセスによる侵入の可能性がある、ネットワークやその他のデジタル運用領域のことです。ネットワークやリソースの接続性が高ければ高いほど、攻撃対象領域は広くなります。
従来、企業の内部ネットワークは、インターネットへのアクセスを完全に遮断するか、データセンター内の堅牢なファイアウォールの内側でのみ許可することで、外部世界から保護されていました。 しかし、デジタルトランスフォーメーションの到来——モビリティの普及、至る所でのインターネットアクセス、クラウドベースのコンピューティング、クラウドネイティブな企業やサービス、2020年以前には想像もできなかった規模での在宅勤務——により、企業の成否は今やその接続性の広さに左右されるようになりました。攻撃対象領域は膨大です。IPS/IDSのような警戒態勢が不可欠です。
IDS/IPSはどのように脅威を検知するのか?
IDS/IPSシステムは、フィッシング攻撃、ウイルス感染と配布、マルウェアとランサムウェアのインストールとダウンロード、サービス拒否(DOS)、中間者攻撃、ゼロデイ攻撃、SQLインジェクションなど、疑わしい活動や不正な活動を検知します。クラウドWANとモビリティの増加により、サイバー攻撃を阻止することはより困難になっている。
組織の脅威を理解する
既知の脅威は通常、トラフィックパターンをシグネチャパターンと照合することで検出されます。頻繁に更新されるデータベースには、既存の脅威を特徴づける膨大な数のシグネチャが収録されています。IDS/IPSシステムは、既知のシグネチャとの一致を継続的に探します。
未知の脅威とは、これまでに確認されたことのない悪意のあるパターン(既知の脅威の回避的な変種である場合もある)であり、その検出ははるかに困難です。IDS/IPSは、行動分析を用いて、潜在的に異常なトラフィックパターンを特定します。「通常の」ネットワーク行動のモデルは、機械学習、ヒューリスティック、およびAIを用いて構築・更新されます。IDS/IPSは、実際のネットワークトラフィックをこれらのモデルと継続的に比較し、侵入イベントを示唆する可能性のある不整合な行動を認識します。
