———————————————————————————————————————————————————————————–
本稿は 2021 年 10 月 5 日に VMware Blog のブログに投稿された「 VMware Achieves Industry-First AAA Rating for Network Detection & Response from SE Labs 」の抄訳です。
投稿者:チャド・スキッパー(Chad Skipper)
———————————————————————————————————————————————————————————–
NDR(Network Detection and Response)に関する初めての公開テストで、SE Labs は業界初となる NDR の AAA 評価を VMware NSX Network Detection and Response(NDR)に授与しました。
全ての場所がサイバー攻撃のバトルフィールドになっており、攻撃者は目的を達成するために、いくつものネットワークを横断し、数多くのファイアウォールを攻略していく必要があります。ネットワークの内部に侵入すると、攻撃者はその組織の重要な秘密情報を盗み出すために、その組織の環境内を自由に移動しようとします。攻撃の手口は常に進化しているため、セキュリティ業界や弊社で行うテストも進化していく必要があります。
セキュリティ業界のリーダーである VMware は、業界初の NDR テストで AAA の評価を獲得しました。ご存じのように、攻撃の手法は常に進化を続け、セキュリティ イベントの連鎖はますます複雑化しています。洗練化した攻撃の手口や手法はネットワーク内のあらゆる場所で行われ、ファイアウォールやアンチウイルスなど、従来型のセキュリティ対策をすり抜けてしまう場合も少なくありません。攻撃者の活動が巧妙化していくのに合わせて、私たちの技術開発やテストも進化させていく必要があります。
VMware のお客様は、デジタル トランスフォーメーションの取り組みの一環としてアプリケーション インフラストラクチャとネットワーク インフラストラクチャを継続的にモダン化していくことで、この新たな領域でのデータの保護を向上させていくことができます。
SE Labs のテスト結果によると、VMware NSX NDR はマルチクラウド環境において、FIN7&Carbanak、OilRig、APT3、APT29 の 4 つの主要な APT(標的型攻撃)グループからの 攻撃を100% の検出率で保護を実現し、誤検知はゼロでした。このため、セキュリティ運用チームは悪意のあるアクティビティをすばやく検出し、ネットワーク内でのラテラルムーブメントを阻止することができます。
このレポートには、「攻撃者がシステムやネットワークに侵入するのと同じ方法でシステムに不正アクセスし、標的のネットワークに侵入するための幅広いハッキング攻撃に対して VMware NSX NDRを評価しました。VMware NSX NDR はすべての標的型攻撃を検出し、攻撃中に行われたすべての悪意あるアクティビティを追跡することができました」と記載されています。
VMware NSX NDR は、NDR を対象とした業界初のテストでもっとも高い評価を獲得しただけではありません。SE Labs の CEO である Simon Edwards 氏は、「私たちは NDR 製品を内部で定期的にテストしていますが、AAA の評価を得た製品はほかにありません」と述べています。
SE Labs の NDR に関する Breach Response Detection(侵害/対応/検知)テストの詳しい内容は、こちらから入手できます。
VMware NSX NDR の仕組み
VMware NSX NDR は、監視対象となる組織の環境内のさまざまな場所に組み込まれたセンサーからのトラフィックを取り込み、MITRE ATT&CK フレームワークの各ステージで脅威を検出して防御します。このため、SOC チームは悪意のあるアクティビティの発生を確実に把握できます。VMware NSX NDR に組み込まれた分散型のセンサーには、以下のものが含まれています。
- VMware NSX® Sandbox では、データセンターに侵入したアーティファクトの詳細なマルウェア分析を実行します。NSX Sandbox™ は、ファイルや URL に組み込まれたあらゆる振る舞いを分離し、プログラムが実行するすべての命令、すべてのメモリ コンテンツ、すべての OS アクティビティを確認します。
- VMware NSX Network Traffic Analysis(NTA)は、SOC チームがネットワーク内を水平方向に移動する異常な動きや悪意のある挙動をすばやく検出するのに役立ちます。VMware NSX NTA は、ネットワーク内の脅威を見つけ出し、仮想化環境、コンテナ化された環境、ベアメタル環境などのマルチクラウド環境全体で East-West トラフィックを保護することができます。VMware NSX NTA は、基盤となる SDDC インフラストラクチャの各ホストにサービスとしても分散して配置されるため、セキュリティ チームは信頼性の高いコンテキストに基づいて迅速かつ正確に対応することができます。
- VMware NSX Distributed IDS/IPS は、内部の East-West トラフィックを分析し、脅威のラテラルムーブメントを検知するための、アプリケーション認識型のトラフィック解析エンジンです。NSX Distributed IDS/IPS は、業界をリードするシグネチャ セット、プロトコル デコーダー、アノマリー検知ベースのメカニズムを組み合わせることで、トラフィック フロー内の既知および未知の攻撃を見つけ出します。
VMware NSX NDR は、VMware Carbon Black とともに最新の MITRE’s Engenuity ATT&CK Evaluation に参加した先駆的なネットワーク セキュリティ プラットフォームで、ラテラルムーブメントおよび権限昇格など、卓越した検知を実現しています。このテストはエンドポイント セキュリティ ソリューションに重点を置いたものであるため、SE Labs は NDR(Network Detection and Response)機能に重点を置いたテストを業界に先駆けて開発しました。
SE Labs は、攻撃の検出、侵入の防御、またはその両方を行うように設計された製品やサービスの評価を行うことで、IT セキュリティを向上させることを目指しています。SE Labs の Breach Response Detection(侵害/対応/検知)テスト レポートに記載されているように、VMware NSX NDR は、MITRE が定義した主要な 4 つの APT グループに対して、悪意のあるネットワーク アクティビティと悪意のあるネットワーク ペイロードをすべて誤検知なしに検知しました。
良性判定と悪性判定の両方が 100% 正しい判定結果
セキュリティ チーム、IT チーム、運用チームは、それぞれ異なる観点から環境の保護に取り組んでいます。それぞれのチームは多種多様なポイント ツールを使用し、多くの場合、チーム固有の関連性のないデータが作成されています。セキュリティ チームの場合、不完全で不正確なデータに基づいて判断を行わなければならないことがよくあります。SE Labs の評価は、VMware NSX NDR の可視化と深く正確なデータ収集によって得られる信頼性の高いコンテキストを実証するものです。
このため、セキュリティ運用担当者は、迅速、正確、確実に必要な規模で対応し、ツールやサイロを増やすことなくゼロトラストを実現できます。
同時に、SOC チームは、組織の環境内で発生するイベントをより明確に把握できるようにする必要があります。SE Labs のテスト結果は、セキュリティ チームが攻撃者に対して断固とした行動を取るのに必要な状況の可視化を実現するうえで、VMware NSX NDR が最適なソリューションであることを実証しています。こうした可視化や制御が可能になれば、セキュリティの複雑化や攻撃対象領域の縮小を行うことなく、次世代型システムやモダン アプリケーションへ移行することができます。
独立したテスト
VMware は、SE Labsのような革新的なテスト方法を導入し、テスト内容を進化させ、継続的なテストを行うことでサイバーセキュリティ製品の技術力向上に取り組んでいる独立系のテスト機関を全面的にサポートしています。SE Labs は MITRE が定義した以下の 4 つの主要な APT を対象に、2021 年 7 月に VMware NSX NDR の評価を行いました。
- FIN7 は金銭目的の脅威グループで、2015 年半ばから主に米国の小売業、飲食業、サービス業を攻撃目標として活動しています。
- OilRig はイランを拠点とする脅威グループと見られており、少なくとも 2014 年から中東および世界全体を攻撃目標として活動しています。
- APT3 は中国を拠点とする脅威グループで、中国国家安全部の関与が指摘されています。
- APT29 はロシア対外情報庁(SVR)の関与が指摘されている脅威グループです。
SE Labs は最新の脅威インテリジェンスを利用して、攻撃者が過去数年間にどのようなことを行ってきたかを調べ、それらを極めて忠実に再現しました。SE Labs がこのテストで展開した攻撃はすべて、以下のような組織を攻撃するための効果的な手段です。
- スピアフィッシング攻撃で悪意のあるペイロードやリンクを送り付け、ビーコニング、コマンド & コントロール、不審なポートや許可されているポートで外部との接続を行う。
- ネットワーク資産を検出して、SMB (Server Message Block)プトロコルで共有の一覧や信頼できるドメインの一覧、 Active Directory クエリの情報を不正に取得する。
- 不審な RDP ( Remote Desktop Protocol )接続、WinRM (Windows Remote Management )接続、SMB プロトコルを介したコマンド実行、SMBv1 の使用などのラテラル ムーブメント アクティビティ。
- スクリプトやアーカイブファイル、ファイルなどに含まれる悪意あるペイロードを利用した内部ホスト間でのラテラルムーブメント。
- 代替プロトコルやプトロコルトンネリングを介したデータの不正持ち出しや不審なデータのアップロード。
SE Labs のレポートには、「このテストでは、多様な脆弱性攻撃、ファイルレス攻撃、マルウェア攻撃、偵察での検出手法に関して VMware NSX NDR をテストしました。テスト担当者が攻撃者として、システム間の移動(およびラテラルムーブメント トラフィックの生成)を行い、不正取得したクレデンシャル情報の試用、データを抜き出し、コマンド & コントロール データ フローの生成を行いました。この製品はこれらの脅威をすべて検出しました」と記されています。
セキュリティの目的に合わせた進化
サイバーセキュリティ業界は進化し続けており、これに合わせてセキュリティ ソリューションのテストと評価を行う方法も変えていくことが重要です。すでに一般的に認められていることですが、最新の脅威が境界を越えてネットワーク内に入り込むのを完全に防ぐことはできません。エンドポイントでの攻撃の抑止のみに注力するのではなく、データセンター内のネットワーク トラフィックをモニタリングして異常な挙動を見つけ出し、これらの脅威が拡散して手に負えなくなる前に、未然に防ぐことが重要です。攻撃者のサイバー キル チェーンのより早い段階で状況を把握し、攻撃の阻止、検出、対応を効果的に行う必要があります。高度で洗練化された脅威やその手口・手法に対してセキュリティ製品を継続的にテストすることで、VMware NSX NDR が高度な脅威の防御、検出、対応を効果的に行うのに役立つことをお客様や見込み顧客に示すことができます。
皆さんも VMware のゼロトラスト アーキテクチャの一環として、高度な脅威に関する信頼性の高いコンテキストと精度の高い防御を利用することができます。VMware NSX NDR は、APT(標的型攻撃)に対処するのに必要な可視性ときめ細かな適用管理を実現する包括的なセキュリティ ソリューションを導入するまたとない機会を提供します。
11 月 15 日の SC Media が主催する Web セミナーにご参加いただき、今回のテスト結果と NSX NDR が高度な脅威からの効果的な防御にどのように役立つかを詳しくご確認ください。今すぐ登録
あとがき(Japan Blog 補足)
本記事でご案内した VMware NSX Network Detection and Response をさらに詳しく知りたい方は、以下のVMworld 2021 Japan の以下のセッションへの参加をお勧めします。
SC11246 11月25日(木) 13:40 – 14:20
徹底解説!データセンター・マルチクラウドをセキュアにする VMware NSX Advanced Threat Prevention
飛躍的に進化するネットワークセキュリティ