*RSA特許取得済みアーキテクチャ
NetWitness Networkは、大容量のパケットを収集・保存し高速に解析する機能を持っています。
高速検索のカギとなるのが、RSAが特許を持つメタデータ(属性情報)の生成によるインデックス化機能です。
パケットデータとは別にインデックスとして特長を保有するため、大量の保存パケットの中から見つけたい属性に合致する通信を瞬時に検索することが可能になります。
また、収集したパケットを、RSAが提供するナレッジ配信サービス「RSA Live」により提供される最新の脅威インテリジェンスと照合させることも、あらかじめ定義したルールにより異常なふるまいをあぶり出すこともできます。
例えば、
など、時系列でのイベントをルール定義することが可能です。
攻撃者が使用する手口をルール定義しておくことで、組織内での感染の横展開(ラテラルムーブメント)を早期に発見することにつながります。
NetWitness Networkを使用したスレットハンティングについて解説します。
スレットハンティングのイメージは、例えるなら室内に配備した警備員のようなものです。
既存のセキュリティが施錠された扉であり、扉の施錠状態を確認するのがSOCであるとしたときに、扉を通らずに入ってくる脅威を捕まえるのが内部の警備員です。
標的型の攻撃を仕掛けてくる攻撃者は、防御製品のロジックを研究したうえで攻撃を行います。
そのため、既存セキュリティでは防御できないインシデントが起きます。
セキュリティ対策を行っているにも関わらず攻撃を受けてしまうのはそのためです。
既存セキュリティでは、パターンファイルや機械学習アルゴリズムにより脅威を自動的に 認識し対処することで、お客様の運用負荷を軽減してきました。
これは便利な反面、認識されなかった脅威の存在が無視されてしまい、 ひとたびセキュリティを突破すれば 攻撃者は自由にお客様の環境で悪事を働くことが出来ます。
この課題への解決策として、既存のセキュリティをすり抜けてしまった脅威をパケットとログの 両面から人の手で分析するスレットハンティングサービスをご提案します。
