こんにちは。
Nozomi Networks製品を担当している木村と申します。
Nozomi Networks Guardianには、学習に基づいた脅威検知に2種類の検知モードがあることはご存じでしょうか。今回はそれぞれの検知モードについてご紹介させていただければと思います。
- ストリクトモード
1つ目はストリクトモードです。ストリクトモードは、変更が少ない安定したOTネットワークセグメントでの利用を想定しております。学習はノード(機器)単位で行われます。新しい機器を設置したり、ネットワーク構成を変更したりするとアラートを発報し、運用者へ気づきを与えます。
- アダプティブモード
2つ目はアダプティブモードです。アダプティブモードはITがそうであるように、監視環境がより動的な場合に利用を想定しています。学習はネットワーク単位で行われます。新しい機器を設置したり、ネットワーク構成を変更しても都度アラートを発報せず、ネットワーク全体で今まで存在しなかった命令を含む通信が発生したりした場合にアラートを発報します。
小規模なシステムや運用チームが監視対象のネットワークをよく知っている場合にはストリクトモードで運用が行えますが、そうではない場合は、アラートの対応についての運用が困難になります。そのようなケースでもアダプティブモードが有用な検知モードとなりえます。
アダプティブモードを強化するオプションとして、アセットインテリジェンスというサービスがございます。アセットインテリジェンスはNOZOMI NETWORKS社のOTセキュリティの知識から作成された機器ごとの特性情報です。アセットインテリジェンスによって監視が強化された機器では、例えばサイバー攻撃などによって、その機器からは仕様上は発生しないような通信が送信された場合にアラートを発報します。アセットインテリジェンスによって、学習期間を短縮しつつ、過検知を抑制することが可能です。
- まとめ
今回はストリクトモードとアダプティブモードの2種類の検知モードを紹介させていただきました。バージョン21以降はアダプティブモードがデフォルト値になっております。
発報されるアラートの種類についてはバージョンによって多少違いがありますので、製品マニュアルを参照いただけますと幸いです。
なお、スレットインテリジェンスに代表されるシグネチャベースの脅威検知につきましては、両者で違いはありません。
Guardianの運用のお役に立てれば幸いです。
