ハッカーは、新しいテクニックを考案しようとしたり、既存のテクニックを微調整したり、自動化を取り入れようとしたりと、日夜努力を怠りません。ハッカーは、ネットワークを直接攻撃するか、ネットワークを介してインフラストラクチャを攻撃するので、ネットワーク自体を防御の最前線と考え、ハッカー攻撃からネットワークを保護することが肝要です。
ウイルス対策/マルウェア対策ツールは、個々のデバイスは保護しても、ネットワーク自体を保護するようには設計されていません。侵入検知デバイスや侵入防止デバイスはたくさんあり、多層防御アプローチの一部として組み込まれるべきですが、ネットワーク自体を強靭にすることが重要な点に変わりはありません。
ネットワーク自体を保護するために必要になるのが、ネットワーク監視です。米国国土安全保障省の記事は、「ネットワーク監視ツールは、ネットワークを監視して侵入や悪意のあるトラフィックから保護し、ネットワーク全体の状態とパフォーマンスを監視するように設計されたソフトウェアアプリケーションです。法執行機関はこれらのツールを使用して、安全で機密を保持する必要のある情報を含むシステムとデータベースを保護します。」と記述しています。
ネットワーク検出
複雑なネットワークが今後シンプルなものに変化することはあり得ず、デバイスやアプリケーションが追加されてさらに複雑化していきます。見えないネットワークを保護することは不可能なので、まず、ネットワークを完全に可視化することが必要になります。
保護するためにネットワークを完全に可視化する高度なネットワーク検出は、すべてのネットワーク構成要素のインベントリを作成し、防御の最前線に必要な直感的にわかりやすいトポロジーマップも作成します。
検出によってネットワークを完全に可視化して、ネットワーク監視を開始すると、問題の兆候が検知されたら把握できるようになります。セキュリティ関連の問題の兆候をチェックすることができればセキュリティ監視が可能です。Solutions Review のネットワーク監視に関する記事は、次のように述べています。「すべてのデバイス、主要な指標など、ネットワークのあらゆる側面を監視できない場合、ビジネスネットワークのセキュリティを確保することはできません。ネットワーク監視ツールは、セキュリティの脅威から保護するために、エンドツーエンドのネットワークの可視性を提供する必要があります。」
ネットワーク侵入を示唆する動向への早期アラート
Solutions Review の記事が、「セキュリティ監視は、問題発見後に速やかに警告が出されなければ効果的には機能しません。問題検出から警告通知までの期間が長ければ、その間にセキュリティ脅威が与えるネットワークへの損害が大きくなります。」と指摘するように、セキュリティ脅威の早期検出と早期アラートが重要になります。
そのためには、ネットワークが正常に動作しているときにどのような測定値の範囲にあるかを事前に集計しておいた上でネットワークの現在の状態を常時監視し、何かがおかしくなって測定値の範囲を超えたときに警告を通知するよう設定するようにします。攻撃者はネットワークへのアクセスを確立する過程で、サービスやホストを再設定したり一時的に利用できなくしたりする手法を使うことが多いので、ネットワーク設定変更の監視は欠かせません。
トラフィック分析
ネットワークトラフィックには営業時間内にピークがあり、夜間や週末には少なくなるという定常的なパターンがあります。通常のパターンとは異なるトラフィック急増などがあったら、サイバー攻撃の可能性があります。また、ネットワーク上のトラフィックの大部分は高速で、適切なサイズの比較的少数のパケットなので、サーバーが長期間にわたってバイト数の少ない大量のパケットを送信し始めたとしたら、それはおそらく疑わしいトラフィックです。ネットワークトラフィックを監視し、しきい値定義された通常のパターンと異なるトラフィックが検出されれば、アラート警告を出して問題の解明に迅速にとりかかれるようにする必要があります。
帯域幅監視
リアルタイムの帯域幅の使用状況を監視し、過去の帯域幅の使用傾向と比較することによって、DDoS攻撃、不正なダウンロード、その他の不審な悪意があるかもしれない動きなどのセキュリティ問題を検出することも可能です。
一元化された統合監視
デバイスにはたいてい何らかの監視や基本的なログ収集が組み込まれていますが、個々のデバイス単位での監視は実用性も合理性もありません。単一のコンソールからアプリケーションを含むネットワーク全体とそのコンポーネントを可視化して監視し、アラート通知する、一元化された統合監視ソリューションがないと、迅速で的確なセキュリティ監視はできません。
セキュリティツールの補完としてのネットワーク監視
ネットワーク監視は、当然、多層セキュリティや多層防御の代替手段とはなり得ませんが、既存のセキュリティソリューションのギャップを補完する重要な要素になります。Security Boulevard の「Network Monitoring: The Forgotten Cybersecurity Tool」というブログには、次のように記述されています。「たいていの場合、SIEM などのセキュリティツールは、ファイアウォールその他のセキュリティアプライアンスなどのセキュリティハードウェアによって検出された異常について報告します。そのため、ネットワークをセキュリティイベントについて監視するときに、意図せずに死角が生じる可能性があります。セキュリティツールは通常、発見された攻撃と既知の脆弱性を報告し、セキュリティデバイスによってフラグが付けられた特定のパターンまたは既知の悪意のあるコードに依存して攻撃を識別します。言い換えれば、ゼロデイ攻撃と脆弱性は最初は検出されないため、IT 管理者は危険性に気づかず、重大な侵害を防ぐために迅速に行動を起こすことができなくなる可能性があります。」
こういった限界があるため、階層化されたセキュリティ防御が重要になってきます。つまり、最前線でネットワーク自体を保護しようとするネットワーク監視が階層の1つとして機能します。「アクティブなネットワーク監視ツールは、ほとんどのセキュリティツールとは異なる方法でネットワークを監視します。(中略)今日のアクティブなネットワーク監視製品は、サイバーセキュリティ部門が攻撃者の一歩先を行くことができるような追加の機能を提供します。」と、上記ブログは続けています。