ネットワーク セキュリティと NetFlow
これまで長い間 IT 組織は、サイバー攻撃からの保護でネットワークの境界セキュリティに重点を置いてきました。境界セキュリティは、保護された資産に転送されるデータに対してはうまく機能します。一方で最近の侵害は、境界セキュリティだけでは永続的で高度な脅威から保護できないことを示しています。Bring Your Own Device(BYOD、個人所有デバイスの持ち込み)、クラウド、Internet of Things(IoT)の登場によって、データはメイン サーバの外にも保存されるようになり、ネットワークへのアクセスも従来の制限方法が通用しない時代になりました。進化する脅威からネットワークを保護するには、現在のゾーンベースのセキュリティ ソリューションを補強する、広範囲を対象とした振る舞いベースのインテリジェント ソリューションが必要です。このようなソリューションのひとつは、ネットワーク自体がセンサーのように機能するネットワーク インフラを活用することです。このためには、ネットワークから IP トラフィック フローを収集して振る舞いを分析(ネットワーク トラフィックを監視)できる異常検知システムを導入します。このシステムは、異常な振る舞い、イベントや傾向がないかネットワーク トラフィックを分析することで、不審なトラフィック フロー、ポリシー違反、侵害されたエンドポイントを検出します。
ネットワークの振る舞い分析
各組織では、従業員に技術資産を提供し、重要データへのアクセスを認める方法が根本的に変わりつつあります。企業ネットワークの内外を問わず、モバイル デバイスから重要なデータにアクセスすることは今や当たり前になっています。仮想化とクラウド コンピューティングによりデータセンターの構築やデータ保管場所のあり方が根本的に変化し、重要データの保護が一層困難になりました。こうした分散コンピューティング環境はモバイル性が高くダイナミックで変化が激しいため、可視化、制御、脅威対策の重要性は増しています。さらに、新しいクラウドベースのモバイル テクノロジー アーキテクチャは、特定のデバイスがネットワークにいつ・どこから接続しているかに関するこれまでの前提を打ち壊しており、ネットワーク セキュリティを大幅に複雑化させています。第 1 世代のネットワーク セキュリティ ツールは、動的なネットワーク トポロジを適切に可視化できません。ますます高度化し、カスタマイズされた攻撃に対して、ネットワーク セキュリティ対策を強化し、セキュリティ侵害インシデントが発生する前にその可能性について警告することが求められています。そのため、ネットワークの振る舞い分析(NBA)やネットワーク トラフィックの監視が、あらゆるネットワークで不可欠な要素としての地位を急速に固めつつあります。また、異常検知システムと連携して包括的なネットワーク セキュリティを実現することも重要になっています。
セキュリティ アナリストは、ファイアウォールや侵入防御システム(IPS)などの境界ベースのセキュリティ ソリューションに加えて、セキュリティ・脅威戦略の一環としてネットワークに NBA ソリューションを導入することも推奨しています。一般的に振る舞い分析ベースのシステムは、効果のないことが多い他のセキュリティ ツールと比べ、マルウェア、ウイルス、ボットネットなどのセキュリティ脅威に対して効果を発揮します。また、トラフィックを監視し、ネットワーク トラフィック フローを通常の動作と比較して異常なアクション/イベント/トレンドを検知することで、ネットワークのセキュリティを強化できるメリットもあります。
ネットワークからネットワーク トラフィック フロー情報を取得するメカニズムにはさまざまなものがあります。これらのメカニズムのほとんどは、現在の IT ネットワークに導入済みのインフラで利用できるものです。セキュリティ攻撃を検出して軽減するには、次のような技術を 1 つ以上活用して、アプリケーション データやネットワークから収集したネットワーク フロー データをモニタする必要があります。
● ネットワーク キャプチャ ソリューション:ネットワーク フローすべてのパケットを、スニファやネットワーク タップを導入してキャプチャし、そのトラフィックをセキュリティ アナライザにリダイレクトします。この方式では、ネットワーク内のフローを完全に可視化できますが、導入コストが高い、管理が難しい、トランザクションが非常に長くなるといった問題があります。キャプチャしたすべてのパケットを関連付け、セキュリティ攻撃を特定して軽減するために必要なネットワーク タップ、パケット キャプチャ ソフトウェア、セキュリティ アナライザなどにかかるコストも高額になります。
● サンプリングによるフロー エクスポート(パケット キャプチャ)ソリューション:ネットワークの各要素から専用のセキュリティ アナライザ/コレクタに、サンプリングしたパケット キャプチャを送信することで実現します。このソリューションは、キャパシティ プランニングやトラフィック/アプリケーションの可視化には有効ですが、リアルタイムの脅威軽減という面では不十分です。サンプリング方式でネットワーク トランザクションを分析する場合、ほとんどのリアルタイム トランザクションは検出されません。
● フル フローエクスポートベース ソリューション:IP フロー監視(NetFlow)と、StealthWatch のようなセキュリティに焦点を当てた NetFlow コレクタを組み合わせることで、異常なアクティビティや振る舞いを迅速に識別します。フル NetFlow によって、IP フロー対応インターフェイス上でネットワーク アクティビティをすべて(サンプリングではなく)フル アカウンティングできるため、イベントの相関関係付けやデータの分析に効果を発揮します。ここで重要なことは、フローをサンプリングせずにすべて収集することで、サンプリングによるパケット キャプチャ ソリューションよりも誤検知が減るということです。さらに、フローを完全に可視化できるため、従来のセキュリティ ソリューションでは対応できなかったネットワーク スロー スキャンやアトミック アタックも特定できます。
ネットワーク タップの導入はコストが膨らむだけでなく、大規模なエンタープライズ ネットワークへの拡張性にも問題があります。Flexible NetFlow ベースの NBA は、これらのオプションの中で理想的なメカニズムです。不明なデバイス、異常なトラフィック パターン、想定外の振る舞いを広範囲かつ詳細に可視化できます。Cisco IOS® Flexible NetFlow は、長期間に渡ってすべてのネットワーク通信をキャプチャできる強力な情報源です。ネットワーク アクセス レイヤ デバイスで NetFlow を活用すれば、ネットワークをセンサーとして活用できます。この方法ではネットワーク アクティビティをすべてアカウンティングし、セキュリティに焦点を当てた NetFlow コレクタに提供できるため、異常を検出して緩和できます。
フロー エクスポート技術のタイプ:
フロー エクスポート技術で現在のネットワーク要素の主流を占めているのは、sFlow と NetFlow の 2 つです。これら 2 つの技術はいずれも、ネットワークで監視機能とトラブルシューティング機能を提供するために長期間に渡って開発されてきました。このホワイト ペーパーでは、これらの技術の概要、その発展の過程、脅威防御システム設計における関連性について説明します。
NetFlow の概要
NetFlow は、NetFlow 対応ルータやスイッチが生成したネットワーク トラフィック フロー データを収集・モニタするためにシスコが開発したネットワーク プロトコルです。シスコ® ルータ用のパケット交換技術として考案されました。NetFlow の設計思想(図 1)では、フローの最初のパケットによって NetFlow スイッチング レコードがスイッチまたはルータ上で生成され、そのレコードが同じフロー上の後続パケットすべてに(フローの有効期限が切れるまで)使用されます。特定のマッチング ルートを検索する際は、フローの最初のパケットのみがルート テーブルを調査するだけで済みます。
図内のフロー情報はエクスポートでき、ネットワーク パフォーマンスの分析やセキュリティの振る舞い分析に使用されています。フローには、実際のパケット データではなく、通信用のメタデータが含まれています。ネットワーク トラフィックの送信者、内容、時間、宛先などの詳細情報が、セッション データの標準形式です(図 2)。電話の請求書に記載された通話記録のようなものですが、リアルタイムに生成されます。すべてのネットワーク トランザクションには通常、各方向に 1 つ、計 2 つのフローがあります。
NetFlow の動作
IP トラフィックがインターフェイスをパス スルーしているのをスイッチ/ルータが確認すると、フロー情報(「NetFlow」と呼ばれる)がキャプチャされ、スイッチ/ルータのキャッシュに保存されます。キャッシュに保存されたデータは、アクティブ タイムアウトおよび非アクティブ タイムアウトに基づいて定期的にエクスポートされます。NetFlow は、インターフェイスをパス スルーする IP トラフィック全体のフロー情報をキャプチャし、インターフェイス トラフィックをすべてレポートします。NetFlow はさまざまな形式で NetFlow コレクタにエクスポートできますが、そこでのエクスポート形式は「エクスポート バージョン」と呼ばれます。最も一般的な NetFlow エクスポート バージョンは 5 と 9 です。このうち最も一般的なのはバージョン 5 ですが、最新のバージョン 9 ではセキュリティ、トラフィック分析、マルチキャストなどの主要技術において 5 よりも有利です。
NetFlow データのレポート プロセスには、IP フローをキャプチャし、それらをスイッチ/ルータ上で集約し、NetFlow コレクタへエクスポートすることが含まれます。このプロセスの概要を以下のステップで示します。
● NetFlow キャッシュにフローをキャプチャするように NetFlow を構成
● フローをコレクタに送信するように NetFlow エクスポートを構成
● NetFlow キャッシュを検索し、(アクティブ タイマー、非アクティブ タイマー、キャッシュ制限に基づき)期限切れのフローを特定。(TCP リセット [TCP RST] および最終 [FIN] フラグに基づいて)終了したフローを見つけ、NetFlow コレクタ サーバにエクスポート
● 約 20 ~ 25 のフローをまとめて、通常は User Datagram Protocol(UDP)形式で NetFlow コレクタ サーバに転送
● NetFlow コレクタ ソフトウェアは、データからリアルタイム レポートまたは履歴レポートを作成
図 3 は、NetFlow のエージェント、コレクタ、アナライザの関係を示したものです。
標準ベースの IP Flow Information Export(IPFIX)への Netflow の発展
NetFlow は長期間に渡って発展を重ねた結果、いくつかのバージョンの NetFlow レコードが生まれました。表 1 は、現在使用されている 3 つの NetFlow バージョンについて説明しています。最新バージョンは NetFlow バージョン 9 です。バージョン 9 はテンプレートベースで、レコード フォーマットの拡張にも対応します。NetFlow サービスが将来拡張されても、基本のフローレコード フォーマットを変更する必要はありません。つまり既存のテンプレートを変更すれば新しいプロトコルにも対応できます。
表 1. NetFlow バージョンの詳細
バージョン | 説明 |
バージョン 5 | 最も一般的なバージョン 提供開始は 2009 年 IPv4 フロー限定 |
バージョン 9 | テンプレート ベース 最新のルータ/スイッチで使用可能 IPv6、マルチプロトコル ラベル スイッチング(MPLS)、IPv4(Border Gateway Protocol(BGP)ネクストホップ)などのフローでレポートに使用 |
IPFIX | IPFIX = IP Flow Information Export(IP フロー情報エクスポート) IETF 標準基準 NetFlow v9 がベース |
バージョン 5(v5)の用途は IPv4 フローに限定されます。また、エクスポートできるフィールドも限られています。
バージョン 9(v9)には、v5 よりも優れた点がいくつかあります。v9 テンプレートでは、レコードで送信する内容をユーザが定義できます。詳細情報を限定できるため、より多くのフローを v9 のデータグラムに組み込めます。
IPFIX は NetFlow の発展系として各種の標準規格に準拠しており、特定のタイムスロットで確認されたあらゆるパケット数のフローにも対応し、多くのプロパティ(同一の送信元、宛先、プロトコルなど)を共有できます。IPFIX では、特別なテンプレートを利用することで、送信デバイスでユーザ定義のデータ タイプをメッセージに使用できます。IPFIX はプッシュ方式のプロトコルであり、各送信元は、予め決められた受信元に対して定期的に IPFIX メッセージを送信します。受信元による操作は必要ありません。IPFIX ではトランスポート層プロトコルとして Stream Control Transmission Protocol(SCTP)を優先的に利用しますが、Transmission Control Protocol(TCP)や User Datagram Protocol(UDP)も使用できます。
Flexible NetFlow v9 と IPFIX
Flexible Netflow(FnF)はシスコが提供する次世代の IP フロー 監視技術で、フロー 監視に 2 つの新しいコンセプトを導入しています。1 つ目はテンプレートを使用できるようになったことです。2 つ目は、ユーザがパケットの詳細を確認し、監視フィールドを独自に選択できることです。NetFlow は通常、IP フロー内の各フィールド(IP アドレス、ポート、プロトコル、TCP フラグなど)を追跡します。Flexible NetFlow では、IP ヘッダーに含まれるほぼすべてのフィールド、全種類の TCP フラグ、VLAN タグや URL などの情報を選択できます。
NetFlow は通常、IP アドレス、ポート、プロトコル、TCP フラグなどの IP 情報を追跡します。ほとんどのセキュリティ システムでは、この情報に基づいてネットワークの振る舞いを分析し、セキュリティ インシデントを検出します。Flexible NetFlow では、IPv4/IPv6 ヘッダー内の全フィールドや、各種の TCP フラグといった幅広い IP 情報を追跡できます。また、1 つのパケットの複数セクションをエクスポートすることもできす。追跡する情報には、キー フィールド(フローを作成するために使用)と非キー フィールド(フローによって収集される)があります。最初の NetFlow キャッシュを使用して脆弱性(異常)を検知し、2 番目のキャッシュを作成して特定の問題に注力できます。
NetFlow v9 の後継として IPFIX RF 5101 と RFC 5102 がリリースされており、いずれも NetFlow v9 RFC の機能を引き継いでいます。IPFIX には、NetFlow v9 で使用されているフィールド タイプと互換性のある情報要素識別子(RFC のセクション 5 で指定)の概要一覧が含まれています。シスコ製デバイスで NetFlow v9 を設定して IPFIX 形式でエクスポートすれば、標準用途で利用できます。IPFIX 形式でエクスポートする主な利点:
● IPFIX では、ベンダー独自の情報を含むベンダー ID を指定可能
● IPFIX は可変長のフィールドに対応しているため、URL をエクスポートする際に便利
Flexible NetFlow(v9)と IPFIX の組み合わせが、従来の NetFlow より有利な点:
● フロー データの柔軟性、拡張性および集約機能が従来の NetFlow よりも向上
● レイヤ 2 ~ 7 までの広範囲で IP パケット情報を監視可能
● ネットワーク異常検知とセキュリティ問題の検出機能が強化
● フロー情報を独自定義し、トラフィック識別のカスタマイズや、特定のネットワークの振る舞いに絞った監視が可能
● 複数のアカウンティング技術を 1 つのアカウンティング メカニズムに統合
NetFlow の用途
NetFlow はネットワーク業界に広く普及し、ネットワークのキャパシティ プランニングからネットワーク分析、ネットワーク フォレンジックに至るまで、さまざまな目的に利用されています。以下に NetFlow データの主な使用例をいくつか示します。
● ネットワークの可視化:NetFlow コレクタに NetFlow レコードをエクスポートし、ネットワーク トラフィック・ネットワークの振る舞いの可視化の向上、ネットワーク使用率の把握、ネットワーク キャパシティ プランニングに活用
● キャパシティ プランニング:トラフィック フローと帯域幅の使用率を測定
● トラフィック分析:アプリケーション フローを監視
● セキュリティ脆弱性の検出:ネットワーク トラフィックを把握することで、新しい IP アプリケーションや脆弱性の検出に活用
● セグメント化ポリシーの検証:NetFlow を利用して、コンプライアンスの観点からネットワークのセグメント化ポリシーを監視。ネットワークのセグメント間に発生した想定外のトランザクションを検出可能
● ネットワーク調査検出:さまざまな形式(通常とは異なるフラグ設定を含む)の TCP/UDP のスキャン、ステルス TCP のスキャン、ポートの再利用、スロー スキャン、Internet Control Message Protocol(ICMP)を検出
● データ損失防止:他のセキュリティ対策と合わせて、きめ細かくトラフィック フローを可視化することで、広範囲に及ぶ永続的な攻撃から顧客データ、企業秘密、知的財産、電子メール、財務データを保護
● マルウェアの内部拡散を防止:NetFlow でネットワークを可視化し、ホスト ネットワークの振る舞いに関するベースラインを確立し、ホストが通信する内部デバイスをモニタし、振る舞いや通信を各種ルール/ポリシーに当てはめることで、マルウェアが拡散していないか効果的に判断できる方法を提供
sFlow の概要
sFlow(サンプリングによるフローとも呼ばれる)は、特定のシスコ スイッチ(Cisco Nexus 3000 シリーズ スイッチなど)やシスコ以外のプラットフォームでサポートされています。sFlow は、インターフェイス カウンタと連携することで、サンプリングしたパケットをエクスポートできます。レイヤ 2 でのパケット エクスポートの業界標準として発展してきました。最新の sFlow はバージョン 5 です。
sFlow はパケット サンプリング技術です。インターフェイス トラフィックの「n」個のパケットから 1 パケットをキャプチャし(「n」はサンプリング レート)、サンプリングしたパケットの最初の「x」バイトをコピーします(sFlow v5 のデフォルトは 128 バイト)。それを UDP パケット(sFlow データグラム)でエクスポートします。最初の「x」バイトでトラフィックの情報を構築するために必要な関連ヘッダー データをカバーします。ただし sFlow は、パケットに重点を置いているため、IP フローをキャプチャできない可能性があります。分析のためにパケットをキャプチャする場合、サンプリングされたパケットがインターフェイスをパス スルーする IP フロー(通信)全体を表すわけではありません。パケットが収集されなかった IP フローは分析されず、ネットワーク通信の可視性にギャプが発生します。
図 4 は一般的な sFlow パケットを示しています。表 2 は、sFlow のサンプリング レートの概要について説明しています。
表 2. sFlow サンプリング レート
リンク速度 | サンプリング レート |
10 Mbps | 200 パケットに 1 パケット |
100 Mbps | 500 パケットに 1 パケット |
1 Gbps | 1000 パケットに 1 パケット |
10 Gbps | 2000 パケットに 1 パケット |
sFlow の動作
SFlow システムは複数のデバイスから構成されており、パケットのランダム サンプリングと、カウンタのタイムベース サンプリングという 2 種類のサンプリングを実施します。サンプリングされたパケット/動作とカウンタ(それぞれ「フロー サンプル」と「カウンタ サンプル」と呼ばれる)は、sFlow データグラムとして中央サーバに送信されます。中央サーバでは、ネットワーク トラフィックを分析してレポートするソフトウェアを実行します。このサーバが sFlow コレクタです。
sFlow は、ランダムにネットワーク パケットをサンプリングし、その結果を、監視ステーションとして機能する外部の sFlow コレクタに送信します。さまざまなアプリケーションの使用状況の監視やネットワーク使用率の統計的分析において、sFlow のような一様分布サンプリング方式は、高帯域幅を使用するサービスに正確かつ強力に対応できるというのが一般の認識です。
sFlow 対応ネットワーク要素から sFlow コレクタに送信された sFlow フレームは、特定のホストや UDP ポート(デフォルトでは 6343)宛の UDP パケットです。UDP トランスポート メカニズムに信頼性が欠如していても、sFlow エージェントから得られる測定結果の精度にはあまり影響しません。各 sFlow データグラムは、sFlow バージョン、送信元デバイスの IP アドレス、シーケンス番号、含まれるサンプルの数、1 つ以上のフレーム、およびカウンタ サンプルに関する情報を提供します。
sFlow と同様に、NetFlow もトラフィックのフレームを収集した後、標準の NetFlow レコード(UDP フレーム セットも兼ねており、通常はポート 2055 が送信先)を使用して、分析済みフローの統計サマリーをエクスポートします。また NetFlow システムは、NetFlow クライアント(またはエクスポータ)と NetFlow コレクタで構成されています。一般に NetFlow コレクタは実際のトラフィックの収集・分析を担うサーバで、多くは別サーバが使用されます。
大部分をハードウェアで処理する NetFlow とは異なり、sFlow は、サンプリングによりスケーラビリティを確保しています。このため、サンプリングされたパケットをエクスポートするデバイスの CPU とメモリ容量に負荷がかかります。トラブルシューティングやキャパシティ プランニングには適していますが、パケットの一部のみをサンプリングするという性質上、セキュリティには適していません。また、ネットワーク内に存在する可能性のある悪意のある振る舞い、マルウェアやボットネットなどを検出するにはネットワーク内の全フローを包括的に可視化することが必要ですが、それにも対応していません。
NetFlow と sFlow の比較
表 3 では、NetFlow と sFlow を比較しています。
表 3. NetFlow と sFlow の比較
| NetFlow | sFlow |
パケット キャプチャ | パケットをキャプチャしない. | すべてのパケットをコピーし、N 個中の 1 個をサンプリングしてコレクタに送信 |
プロトコルのサポート | レイヤ 2、IP、IPv6 | ネットワーク層非依存 |
設定可能なパケット フィールド | Flexible NetFlow:ユーザ設定可能フィールド オプションあり(テンプレート) | 固定のプロトコル情報フィールド |
フロー レコード | すべてのトラフィックに対して IPv4 と IPv6 のフロー レコードをサポート | フロー レコードは作成されない。パケットの最初の N バイトをコピー |
ハードウェア アクセラレーション | あり。フロー レコードはハードウェアで作成され、データ プレーンへの影響はなし | なし。ソフトウェアでパケットをキャプチャ |
業界標準 | IPFIX | sFlow version 5 |
フロー タイムスタンプ(フローの開始時刻と終了時刻) | あり | なし |
パケット レート(フロー内のパケット数) | あり | なし |
バイト数(フロー内の総バイト数) | あり | あり(一部) |
NetFlow と sFlow は根本的に異なります。NetFlow は、ネットワークを流れるトラフィックのレコードであり、すべてのトランザクション(フル NetFlow)を含む場合と、サンプル(サンプリングされた NetFlow)を含む場合とがあります。一方、sFlow は「サンプリングのみ」の技術であり、スイッチまたはルータが N パケットから 1 パケットをランダムに選び固定長の情報を抽出します。
NetFlow の利点:
● 効率性:NetFlow はハードウェアにワイヤ スピードで実装され、優れた効率性を実現します。
● 正確性:フル NetFlow フローは、サンプリング方式では提供できない、ネットワーク トランザクション全体の正確な詳細情報を提供します。
すべてのフローについて、レイヤ 2 ~ 7 までの詳細情報を取得できます。IP や MPLS などのプロトコルがサポートされています。
● 拡張性:NetFlow はネットワーク デバイスのデータ プレーンに影響を与えません、1/10/40/100 GE のインターフェイス速度すべてでサポートされています。この技術は、数百ポートに及ぶ何万ものフローを監視できる拡張性も備えています。
● 導入の容易さ:NetFlow は既存のネットワークに容易に導入でき、設定も簡単です。Netflow データ コレクションは、市場で最も広く利用されているフローレコード コレクタ ソフトウェアと連携できます。
● リアルタイム性:NetFlow はハードウェアで実行され、フロー レートの変更がフロー統計情報にリアルタイムに反映されます。
● コスト効率性:NetFlow ベースのソリューションには、ネットワーク タップや異常検知のためのインライン メソッドが含まれていません。最も安価に侵入検知を実装できる方式です。
一般的なデータ漏えいの分析
今日、インターネットに接続されているすべてのエンタープライズ ネットワークが、サイバー攻撃の標的になっています。データが漏えいした企業の大半は、優れた境界セキュリティを有していましたが、データ漏えいの検出には効果がありませんでした。現在のセキュリティ プラクティスの大半は、卵の殻に例えられます。外側は固く、内側は柔らかいということです。つまり、いったん内部資産が侵害されると、ネットワークに侵入され目的のデータが簡単に盗まれてしまいます。図 5 は、典型的なサイバー攻撃のライフ サイクルを示しています。
ハッカーからネットワークを効果的に保護するには、攻撃手口を理解することが重要です。ほとんどのサイバー攻撃には次の 5 つの段階があります。
1. 侵入してバックドアを確立:攻撃者は、電子メール、ファイル転送、システムの脆弱性を悪用してエンタープライズ ネットワークに侵入し、マルウェアを感染させます。最初の感染で、攻撃者が運用しているインターネット サーバにコマンドアンドコントロール アクセスを確立します。その後の命令や悪意のあるコードは、そこから送信されます。
2. 偵察とネットワーク トラバーサル:侵害したコンピュータに攻撃者の望むデータが含まれていることは稀です。そのため次の攻撃ステップは、ネットワーク トポロジと重要なデータが格納されているサーバを発見することです。攻撃者は、この段階でさまざまな偵察・調査活動を実施します。
3. エクスプロイトによる特権昇格:攻撃者が重要なサーバを特定したら、そのサーバにアクセスできるように権限の昇格を試みます。その際にカーネル レベルのコード実行や、承認されたユーザ ID の偽装といった手口が使用されます。
4. ステージングによる永続化:容量が大きい侵害データは、一時的にオンプレミスのステージング サーバにコピーされます。さまざまな社内の情報源からのデータは、長期間に渡って継続的にサーバにコピーされます。
5. データ漏えい:マルウェアは次に、ステージング サーバのデータを圧縮し、ネットワーク経由でコマンドアンドコントロール(C&C)サーバに抽出します。攻撃者は盗難の痕跡を消去し、盗んだデータを売って金銭に変えます。
NetFlow を活用したサイバー脅威対策
サイバー侵害のライフ サイクルを見ると、境界限定のアプローチでは脅威から十分に防御できないことがわかります。攻撃活動のほとんどは、ネットワークの内部で起こっているからです。これら攻撃活動の大部分は、正当な活動を装っています。しかし、ネットワーク全体で全パケットをキャプチャすることは、技術的には可能でありセキュリティ インシデントの発生時には重要になるとは言え、現実的ではありません。エンタープライズ ネットワークをセンサーとして活用する最もシンプルな方法のひとつは、ネットワークで Flexible NetFlow を有効にし、集中的にネットワーク トランザクションを分析することです。このようなセキュリティ システムは、ネットワーク内でさまざまな攻撃活動を検出して警告を発します。図 6 は、さまざまなタイプの悪意のある活動を示しています。それぞれの詳細な説明を以下に示します。
ネットワークスキャン:コンテキスト情報の豊富な NetFlow レコードによって、TCP/UDP ポート スキャンのようなネットワーク スキャンや、リアルタイムの ping トレースなどのさまざまなネットワーク トランザクションを分析できます。
サービス妨害(DoS):NetFlow ベースの分析によって、TCP Half-Open、ICMP、UDP Port Flooding などの DoS 攻撃を検知してレポートできます。
ホストのレピュテーション変更:エンタープライズ ネットワーク内のホストはすべて NetFlow アナライザで追跡され、レピュテーション スコアが付与されます。ホストの不審な振る舞いが検出されると、該当するアラームが通知され、管理者にレピュテーションの変更が通知されます。
ボットネット検出:ボットネットはコマンドアンドコントロール サーバに接続して、悪意のあるコンテンツをダウンロードします。NetFlow アナライザは、ブラックリストに登録されたサーバに対するボットネットの接続を追跡して報告します。
フラグメンテーション攻撃:NetFlow レコードをカスタマイズすることで、IP フラグメンテーション ID、フラグメント オフセット、パケット長をアナライザにレポートできます。アナライザは、IP フラグメンテーションのエクスプロイトを検出してフラグを付与します。
ワームの伝播:StealthWatch システムのような NetFlow アナライザは、ワームが存在する場所や、次に伝播しそうな場所を追跡できます。ワーム トラッカーは、ネットワーク全体におけるワームやウイルスの拡散状況をノード間でグラフ化できます。感染の範囲や影響を即座に把握できます。これにより、マルウェアの伝播を(数週間ではなく)数時間で阻止できます。
データ漏えい:ほとんどのデータ漏えいは、長期的かつ大規模に発生します。NetFlow 分析では、ユーザが通常よりも多くのデータを内部でアップロード/ダウンロードしていないかを検知できます。アナライザに含まれているフォレンジック フロー データを調べれば、特定ホストと通信しているユーザが誰で、どのような通信方法を使用しているかを把握するのに役立ちます。
セグメンテーション ポリシー違反:多くの組織でネットワークのセグメント化は「設定すれば終わり」の作業と見なされていますが、一度設定されると瞬く間に効果がなくなります。NetFlow 分析では、すべてのネットワーク トランザクションを可視化し、望ましくない通信をすぐに確認して制御できます。
NetFlow 分析と攻撃サイクル
ハッキングの産業化は、エニーツーエニーの課題と相まって、システム保護方法を大きく変えています。そのため、これを機にサイバーセキュリティの新しいアプローチについて考える必要があります。それはもはや「攻撃者が侵入するかどうか」という問題ではなく、「いつ侵入されるか」という問題なのです。セキュリティ ソリューションは、ポイントインタイムのアプローチを止め、連続的なモデルに進化して攻撃前/攻撃中/攻撃後という攻撃サイクル全体に対応できる必要があります。
シスコは、この脅威中心型の新たなセキュリティ アプローチをホワイトペーパーで詳細に説明しています。http://www.cisco.com/c/en/us/products/collateral/security/whitepaper_c11-733368.html をご覧ください。
NetFlow ベースの分析は、攻撃サイクルの 3 つの各フェーズで重要な役割を果たしています。図 7 は、攻撃前/攻撃中/攻撃後に、ネットワークがセンサーとして機能する仕組みを示しています。
攻撃前:NetFlow ベースのセキュリティ システムは、ネットワークのベースラインを確立し、「通常の」トラフィック パターンを把握します。ベースラインは、日次/週次のパターン、ホストまたはセグメントごとのアップロード/ダウンロード制限など、さまざまなパラメータに基づいて設定されます。フロー ベースラインは、通常状態からの逸脱を検知するのに非常に有効です。逸脱の大部分は、マルウェアの活動によって発生します。また NetFlow ベースのトラフィック分析は、セキュリティ管理者が、限度や制限を適用する前にトラフィックのパターンを把握するのにも役立ちます。
攻撃中:ネットワークのベースラインを確立すれば、異常を検知するのは容易です。想定外のトラフィック パターンや、不明なターゲットへの(通常とは異なる)アップロード イベントは、ネットワークにマルウェア活動が発生している可能性を示唆しています。前のセクションで説明したように、NetFlow アナライザが検出してレポートできるサイバー脅威活動にはさまざまなものがあります。StealthWatch システムなどのソリューションには、脅威イベントのデフォルト定義がいくつか含まれています。また、インターネット上のコマンドアンドコントロール サーバの情報に関するクラウド ベースのフィードも受け取れます。サイバー脅威対策ソリューションは、適応可能なネットワークのベースライン設定に基づいて構築されます。ベースラインに基づいて異常を検知することにより、ゼロデイ攻撃からビジネスを守ります。
攻撃後:優れたソリューションは、詳細な調査結果を過去に遡って提供できます。セキュリティ ポリシーを微調整する上で重要なのは、攻撃後に得られた調査結果です。インフラストラクチャを強化して攻撃前の防御を実現し、攻撃サイクルを防ぐ上でも役立ちます。他のデータ保存方式とは異なり、NetFlow レコードは抽象化されているため、数か月または数年に渡って保持できます。インシデントが発生した際に、蓄積されたフロー情報は、攻撃の発生源、開始日、攻撃のトラバーサル、その影響など、攻撃シーケンスを遡って追跡する上で役立ちます。
Flexible NetFlow と StealthWatch を利用した脅威対策ソリューション
このソリューションは、NetFlow レコードを送信するデバイス(NetFlow エクスポータ)および StealthWatch システムという、2 つのコンポーネントを中心に構成されています。
● NetFlow エクスポータ:エクスポータは、NetFlow エクスポート パケットに関するネットワーク層とトランスポート層の詳細情報を保持します。また、エクスポート先 IP アドレス、送信元インターフェイス、UDP ポート番号(コレクタが NetFlow パケットをリッスンしているポート)、エクスポート形式などの情報も含まれます。
◦ フロー:NetFlow におけるフローは、「スイッチと同じインターフェイスに送信されるパケットの単方向シーケンス」として定義されています。各パケットには、同じ送信元 IP アドレス、宛先 IP アドレス、レイヤ 3/レイヤ 4 プロトコル、TCP/UDP 送信元ポート番号、TCP/UDP 宛先ポート番号、および TCP/UDP/IP ヘッダーごとのタイプ オブ サービス(ToS)バイトが含まれます。Flexible NetFlow は、運用コストの削減、キャパシティ プランニングおよびセキュリティ インシデント検出機能の改善、柔軟性と拡張性の向上によって、ネットワーク インフラを最適化します。
◦ フロー レコード:フロー レコードは、NetFlow 対応デバイスをパス スルーする一意のフローごとに作成されます。フロー レコードの情報は、パケット数やバイト数などの統計情報とともに、パケット ヘッダーのキーの詳細情報を示しています。
◦ アクティブ タイムアウト:フローのアクティブ状態が長時間続いた場合、エイジアウト(フロー内の後続パケットのために新しいフローを開始)が必要となります。エイジアウト プロセスによって、エクスポート データを受け取る監視アプリケーションが最新状態を維持できます。デフォルトではタイムアウト値が 1800 秒(30 分)に設定されていますが、システム要件に応じて調整できます。ほとんどの導入環境では、ベスト プラクティスとしての推奨値は 60 秒です。
◦ 非アクティブ タイムアウト:フローから一定時間アクティビティが一切検出されない場合、そのフローはエイジアウトされます。デフォルトではタイムアウト値が 15 秒に設定されていますが、想定されるトラフィックの種類に応じて調整できます。
● StealthWatch システム:Cisco StealthWatch システム(図 8、シスコが買収)は、高性能のネットワーク可視化・セキュリティ インテリジェンス専用ソリューションです。StealthWatch システムにより、NetFlow データを他のコンテキスト データ ソースと合わせて収集、集約、分析し、ネットワーク上のすべてのユーザ、デバイス、トラフィックをリアルタイムに把握できます。コンテキスト データ ソースには、Cisco Identity Services Engine からの ID データ、syslog や Simple Network Management Protocol(SNMP)などのシステム固有データ、Network-Bsaed Application Recognition 2(NBAR2)や Cisco Application Visibility and Control からのアプリケーション データなどがあります。
このソリューションは、StealthWatch Management Console と、1 つ以上の StealthWatch Flow Collector という、2 つのコア コンポーネントから構成されています。追加のオプション コンポーネントには、StealthWatch Flow Sensor や StealthWatch Flow Replicator などが含まれます。
◦ StealthWatch Flow Collector:NetFlow 対応デバイスによって生成されたフロー データの一元的なコレクタとして機能します。StealthWatch Flow Collector は、ネットワーク トラフィックを監視、分類、分析して、ネットワークとホストの両レベルで包括的なセキュリティ インテリジェンスを形成します。
◦ StealthWatch Management Console:企業全体のセキュリティとネットワーク インテリジェンスを関連付けるために、すべての StealthWatch アプライアンスを管理、調整、設定します。Cisco Identity Services Engine から認証されたセッション情報を取得し、フローと ID を関連付けます。
ネットワーク デバイスで稼働する NetFlow エージェントは、各インターフェイスからサンプリングせずにフロー データをすべて収集し、フロー レコード形式で NetFlow コレクタにその情報を送信します。管理コンソールは、ネットワーク セキュリティと、コレクタ内のフローの調査分析に重点を置いています。管理コンソールは、Cisco Identity Services Engine または Windows Active Directory(ユーザ コンテキストのみ)、syslog、SNMP データなどからユーザやデバイス ID などの追加のフィードを取得できます。フロー レコードを分析して、振る舞いを分析することもできます。
アクセス レイヤ スイッチで NetFlow を有効化
NetFlow エージェントは、ネットワーク内の任意の NetFlow 対応デバイスで稼働できます。対応デバイスには、エッジ ルータ、ファイアウォール、コア スイッチ、ディストリビューション レイヤ スイッチ、アクセス レイヤ スイッチなどが含まれます。NetFlow データ収集の目的に応じて、ネットワーク上の適切な場所で有効にできるのです(図 9)。
たとえば、コア層のネットワーク キャパシティ プランニングを実施することが目的の場合、コア スイッチの NetFlow エージェントを有効にすることでネットワーク コアを通過する IP フローをキャプチャし、トラフィック パターンを判断できるようになります。ただし、セキュリティ分析、ネットワーク フォレンジック、攻撃検知に関しては、NetFlow をアクセス レイヤ スイッチで有効にする必要があります。これによって、ネットワーク内の IP フロー トラフィックから NetFlow レコードを可能な限りすべて収集できます。ディストリビューション レイヤまたはコア レイヤのスイッチは、アクセス レイヤに直接接続されたホスト間のネットワーク トラフィックによって生成された IP フロー レコードを取得できません。エンタープライズ ネットワーク内でアクセス レイヤ スイッチごとに NetFlow エージェントを有効にすれば、最も詳細かつ正確な情報を取得し、以下に関するネットワークの基準を確立できます。
● アプリケーションとネットワークの使用状況。ホスト レベルまで詳細化してトラフィック情報を取得できます。アクセス レイヤのワークステーション間(East-West)通信の詳細情報も含まれます。
● ネットワークの生産性およびネットワーク リソースの使用率。帯域幅使用状況の詳細を取得できます。集約されたアップリンク - ダウンリンクの帯域幅だけでなく、各ポートの使用状況も把握できます。
● ネットワークの設計変更の影響。エンドポイント ホスト レベルまで詳細にネットワークを可視化することで、影響を迅速に追跡・軽減できます。
● ネットワーク異常およびセキュリティ脆弱性。アクセス レイヤの NetFlow 情報を利用して、侵害されたホストを迅速に追跡できます。個別のポート レベルで異常トラフィック アクティビティを検出できます。
● 長期的なコンプライアンス問題。ネットワーク上の、コンプライアンスを遵守していないホストを追跡するのが容易になります。問題のあるホストは、ネットワーク上でコンプライアンス問題の拡散を避けるために検疫されます。
アクセス レイヤで NetFlow を有効化すると、先述したような複数の利点が得られます。ネットワーク管理者にとっては、ネットワーク トラフィック フローから送信者、内容、時間、宛先、送信方法を把握するのに非常に役立ちます。ネットワークの振る舞いが判明すれば、ネットワークの用途を示す監査証跡も得られます。これによってネットワークのコンテキスト認識力が向上し、中断を招く可能性のある脆弱性を軽減できます。ネットワークの運用をさらに効率化できるというメリットもあります。
ソリューションのパフォーマンスと拡張性
ソリューションを導入する際には、自社のネットワークに適したパフォーマンスが得られ、独自のニーズに応じて拡張可能なハードウェアとソフトウェアを選択することが重要です。表 4 に、ネットワーク要件に基づいて適切なコンポーネントを選択するための主な情報を示します。
表 4. シスコ デバイスの NetFlow キャッシュ サイズの制限
コンポーネント | ハードウェア | キャッシュ サイズ(フロー) |
Cisco Catalyst® 3850, 3650 | Catalyst 3850 および 3650 全モデル | 32,000 |
Catalyst 4500E シリーズ | Supervisor 8E | 128,000 |
Supervisor 7L-E | 128,000 | |
Catalyst 6500 シリーズ | Supervisor 2T | 512,000 |
Supervisor 2TXL | 100 万 |
脅威防御には Netflow と sFlow のどちらが適しているか?
SFlow システムは複数のデバイスから構成されており、パケットまたはアプリケーション レイヤ オペレーションのランダム サンプリングと、カウンタのタイムベース サンプリングという 2 種類のサンプリングを実施します。定義されているサンプリング レートを基に、n パケットまたは n オペレーションの中から平均的なものを 1 つランダムに抽出します。適切なパケット サンプリング レートを選択することは、スイッチにおける sFlow の設定で重要な部分です。sFlow は通常、10 Gbps リンク上で 2000 パケットから 1 つサンプリングするように設定されています。このレートは、大半のネットワークで一般的なトラフィック監視に適しています。表 4 の推奨レートでサンプリングすると、トラフィックの 99 % 以上は無視されることになります。
一般に、ネットワーク キャパシティ プランニングやトラフィック エンジニアリングといった用途でサンプル データを使用する場合、これは問題にはなりません。ただし、セキュリティ分析のためのパケットをキャプチャする場合、サンプリングされたパケットがインターフェイスを通過する IP フロー(通信)全体を表すわけではありません。セキュリティ分析では、すべての IP フローを詳細に分析し、侵入の可能性を示す異常なネットワーク アクティビティを検出する必要があります。こうした点から、ネットワークの異常を検出するのに適したソリューションは NetFlow だと言えます。NetFlow はすべての通信をキャプチャできるからです。sFlow も異常検知に使用できますが、サンプリングという性質から、重要なフローを逃す確率は高いと言えます。
サイバー セキュリティに使用される IP フロー エクスポート プロトコルは次の 2 つの要件を満たす必要があります。
● ネットワーク上のすべてのパケットをモニタしてデータを生成する
● モニタするデータとレポートするデータをカスタマイズできる
ここでの問題は、フローをサンプリングする(sFlow)か、サンプリングしない(NetFlow)か、という単純な選択肢ではありません。むしろ、どちらの IP フロー プロトコルが、ユーザ定義フィールドを基にフロー レコード データを提供でき、セキュリティ分析に役立つかという問題なのです。Flexible NetFlow は、その点で優れています。テンプレート ベースで、IPv6 トラフィック、MPLS ラベル、マルチキャスト トラフィック、MAC アドレス、VLAN ID、ジッター、メディア トラフィックのラウンドトリップ時間などの新しい技術もサポートしているからです。
sFlow は、キャパシティ プランニングに加え、トラフィックやアプリケーションの可視化には有効ですが、包括的なセキュリティ ソリューションとしては不十分です。次にその理由をいくつか示します。
● 誤検知の可能性が高い。sFlow はサンプリングしたパケットのみをエクスポートするため、偏りが発生し、正当なアプリケーション データに誤って不正フラグを設定してしまう可能性が高くなります。sFlow のフロー レコードでも同様で、パケット サンプリングに基づいているため偏りが発生し、誤ってフラグを設定しまうことが多くなります。
● ネットワーク スロー スキャン攻撃を検知できない。従来のワームによるネットワーク スキャン攻撃であればサンプリング手法でも特定できますが、攻撃手口はより巧妙になり、攻撃頻度が下がり、より体系的になっており、サンプリング方式の検知ソリューションを回避できるようになっています。
● アトミック アタック。進化したコード攻撃では 1 パケットのみを送信するため、sFlow のようなサンプリング パケット キャプチャ ソリューションでは検知できません。フロー サンプリングは、ネットワーク管理目的には有効な方式ですが、セキュリティにとっては多くの問題が残ります。
フル フロー エクスポートベースのソリューション
IP フロー 監視(NetFlow)に、StealthWatch システムのようなセキュリティを重視した NetFlow コレクタを組み合わせることで、通常とは異なる不審なアクティビティや異常な振る舞いをすばやく特定できます。フル NetFlow によって、IP フローが有効化されたインターフェイス上で、ネットワーク アクティビティ全体をアカウンティングできるため、相関関係付けやデータの分析に役立ちます。重要なことは、フローをサンプリングせずに収集することで、サンプリングによるパケット キャプチャ ソリューションよりも誤検知が減るということです。さらに、フローを完全に可視化できるため、他のセキュリティ ソリューションでは特定できなかったネットワーク スロー スキャンやアトミック アタックまでも特定できます。StealthWatch ソリューションと合わせて、Netflow のようなフル フロー エクスポート技術をネットワーク要素で使用することで、進化するサイバー攻撃を検知して軽減できるクラス最高レベルのソリューションが実現します。
Flexible NetFlow の脅威防御設定
シスコ スイッチ/ルータの Flexible NetFlow は、次の 4 つのステップで設定します(図 10)。
フロー レコードを作成する:フローを作成するためにトランザクションから抽出するデータを定義します。
1. フロー エクスポータを定義する:フロー レコードの宛先と送信方法を設定します。
2. フロー モニタを設定する:フロー レコードとフロー エクスポータを結びつけます。キャッシュ タイマーを定義します。
3. フロー モニタを適用する:必要なインターフェイス、VLAN、または SSID に対してフロー監視を有効にします。
このセクションでは、Cisco IOS ソフトウェアベースのスイッチに Flexible NetFlow を順番に設定します。Flexible NetFlow の脅威軽減ソリューションは StealthWatch コレクタにレコードを送信できます。
ステップ 1. パケットの特定フィールドを対象に、ユーザ定義のフロー レコードを設定します。match ステートメントでは特定フィールドをキー フィールドに指定します。コレクションのキーワードを使用し、フローに追加され、フローに合わせてエクスポートされる非キー フィールドまたは情報を指定します。以下の例のフロー レコードは、IPv4 情報、宛先 IP アドレス、レイヤ 4 情報、宛先ポートを対象に設定されています。さらに、タイムスタンプとバイト/パケット カウンタも送信されます。
Switch# configure terminal
Switch(config)# flow record my-flow-record
Switch(config-flow-record)# description Collect Flow Data
Switch(config-flow-record)# match datalink mac source address input
Switch(config-flow-record)# match ipv4 tos
Switch(config-flow-record)# match ipv4 protocol
Switch(config-flow-record)# match ipv4 source address
Switch(config-flow-record)# match ipv4 destination address
Switch(config-flow-record)# match transport source-port
Switch(config-flow-record)# match transport destination-port
Switch(config-flow-record)# match interface input
Switch(config-flow-record)# match flow direction
Switch(config-flow-record)# collect transport tcp flags
Switch(config-flow-record)# collect interface output
Switch(config-flow-record)# collect counter bytes long
Switch(config-flow-record)# collect counter packets long
Switch(config-flow-record)# collect timestamp absolute first
Switch(config-flow-record)# collect timestamp absolute last
Switch(config-flow-record)# collect counter bytes layer2 long
ステップ 2. フローのエクスポート先(コレクタの IP アドレス)とポート番号を定義します。
Switch(config)# flow export my-flow-export
Switch(config-flow-exporter)# destination <IP address of Flow Collector>
! {flow-collector IP address}
Switch(config-flow-exporter)# transport udp 2055
!{The UDP number of the Flow collector}
Switch(config-flow-exporter)# source <interface>
!{source IP to use to send flows to the Flow collector}
Switch(config-flow-exporter)# template data timeout 60
!{frequency of template exchange with FC}
ステップ 3. フロー モニタを設定し、フロー レコードとフロー エクスポートを関連付けます。フロー モニタをインターフェイスに設定し、入力(イングレス)トラフィックを追跡します。
Switch(config)# flow monitor my-flow-monitor
Switch(config-flow-monitor)# record my-flow-record
Switch(config-flow-monitor)# exporter my-flow-export
Switch(config-flow-monitor)# cache timeout active 60
ステップ 4. フロー モニタをレイヤ 2 およびレイヤ 3 インターフェイス、スイッチ仮想インターフェイス(SVI)、VLAN、または SSID に適用します。
Switch(config)# vlan configuration <access VLAN>
Switch(config-vlan-config)# ip flow monitor my-flow-monitor input
Flexible NetFlow をサポートするシスコのポートフォリオについて
シスコのルータおよびスイッチで NetFlow をサポートするものを表 5 に示します。ほとんどのシスコのルータ、スイッチ、および他のネットワーク デバイスが、NetFlow をサポートしています。詳細については、次のホワイト ペーパーをご覧ください:http://www.cisco.com/c/dam/en/us/td/docs/security/network_security/ctd/ctd2-0/design_guides/ctd_2-0_cvd_guide_jul15.pdf
表 5. シスコ デバイスの NetFlow サポート マトリックス
プラットフォーム | NetFlow のバージョン |
Catalyst 3000-X | バージョン 9 |
Catalyst 3850/3650 シリーズ スイッチ | バージョン 9 |
Catalyst 4500E | バージョン 9 |
Catalyst 6500E | バージョン 9 |
Catalyst 6800 | バージョン 9 |
5760 ワイヤレス コントローラ | バージョン 9 |
5520、8510、8540 ワイヤレス コントローラ | バージョン 9 |
シスコ第 2 世代サービス統合型ルータ(ISR) | バージョン 9、従来の NetFlow |
Cisco 4000 シリーズ ISR | バージョン 9 |
Cisco ASR 1000 シリーズ | バージョン 9 |
Cisco Cloud Services Router 1000V | バージョン 9 |
ASA 5500/5500-X シリーズ | バージョン 9 |
Cisco Nexus 7000 シリーズ | バージョン 9 |
Cisco NetFlow Generation Appliance | バージョン 9 |
Cisco UCS® 仮想インターフェイス カード(VIC) | バージョン 9 |
従来の NetFlow:IP 情報の固定の 7 項目を使用し、ほぼ常にフローを特定する。
Flexible NetFlow:テンプレート ベースでユーザが定義可能。
ネットワーク セキュリティ イベント ロギング(NSEL):イベント ベースの NetFlow。Cisco ASA 製品でのみサポート。
Netflow ベースの分析は次世代型侵入防御システム(IPS)ソリューションに代わり得るか?
それはできません。NetFlow ベースの分析とシグネチャ ベースの境界 IPS ソリューションは非常に上手く相互に補完します。NetFlow ベースの分析がヘッダー情報に基づいて広範囲を対象にする一方で、シグネチャ ベースの境界 IPS ソリューションは特定の場所に導入され、ファイル レベルでより詳細にチェックします。2 つのソリューションの違いについては、表 6 を参照してください。
表 6. NetFlow 分析と次世代型 IPS ソリューションの比較
機能 | NetFlow 分析 | 次世代型 IPS |
脅威の検出 | フロー分析 | ファイル分析 |
配置 | コレクタは一般に中央に配置され、エクスポータは UDP でフローを送信 | インラインから保護されたゾーンまで |
インスペクション | 広範囲(ヘッダー情報に基づく) | 詳細。ファイル レベルの分析 |
プライバシー | ヘッダー レベルのみ確認。ユーザ データは検査の対象外 | ファイルやアプリケーションを検査 |
ストレージ | フロー情報は少なく、調査のために数か月から数年保管可能 | パケットまたはファイルをすべて格納することは非現実的。ログのみ長期間保存可能 |
ホストベース分析 | フロー ベース。クライアントは不要 | FireAMP のようなクライアント ベースにも対応 |
NetFlow は異常検知に有用なネットワーク振る舞い分析(NBA)には有効ですが、攻撃の実行を防ぐことはできません。その代わり、セキュリティ インシデントの発生時に警告します。シグネチャベースの IPS ソリューションは、シグネチャをトリガーしたフローを阻止することで潜在的なセキュリティ攻撃を防げます。ただし、フローを分析して、標準的なネットワーク アクティビティからの逸脱を発生時に特定することはできません。
包括的なサイバー脅威対策ソリューションには、どちらの分析も含まれています。可能な限りすべてのアラートを関連付けることで、脅威をすばやく絞り込み、リアルタイムに防御します。Cisco Cyber Threat Defense 2.0 の詳細については、 http://bit.ly/cisco-ctd-2-0 をご覧ください。
まとめ
NetFlow とは
NetFlow は、ネットワーク セキュリティ分析とサイバー フォレンジックの重要なツールです。リアルタイムにネットワークを監視し、既知および未知のゼロデイ DoS 攻撃、ウイルス、ワームを特定して分類します。NetFlow データを調べれば、ネットワークの振る舞いにおける変化を把握し、データ フロー内の異常を検出できます。フロー データは、セキュリティ侵害の過程を調べ、再現するための貴重な調査ツールでもあります。NetFlow データは、PCI、HIPAA、SOX など各種の業界標準に関するセキュリティ コンプライアンス要件を満たすためにも使用できます。
(サンプリングしていない)フル NetFlow を使用する理由
サンプリング技術である sFlow とは異なり、フル NetFlow は、インターフェイスを通過する IP フロー情報をすべてキャプチャし、トランザクションを欠くことなく全トラフィック データをレポートします。フロー サンプリングはネットワーク管理には有効ですが、セキュリティ確保には不十分です。一定のフローを除外するため、本来であればキャプチャすべき部分からネットワークの侵害を許す危険性があるためです。フル NetFlow によって、IP フロー対応インターフェイス上でネットワーク アクティビティをすべて(サンプリングではなく)フル アカウンティングできるため、イベントの相関関係付けやデータの分析といったセキュリティ面で効果を発揮します。
Flexible Netflow はセキュリティ面で優れている
従来の NetFlow は、IP フローの 5 つのフィールド(IP アドレス、ポート、プロトコル番号、TCP フラグ、インターフェイス)を追跡します。Flexible NetFlow では、これを拡張して、IP パケットのほぼすべてのフィールド(各種の TCP フラグや VLAN タグなど)を選択できるようにしています。これはセキュリティ面で有利です。フォレンジック分析で重要となる IP フローの情報フィールドの特定ビットをカスタマイズしてキャプチャできるからです。たとえば Flexible NetFlow では、IP フローの詳細なパケット分析に使用できます。その際、セキュリティ脅威分析に重要な特定ビットのみを抽出できます。
Lancope と Flexible NetFlow は、サイバー脅威を軽減できる最適なソリューションです。
サイバー脅威は変化が激しく、攻撃手口はさらに洗練されています。IT 部門はプロアクティブな警戒態勢を敷き、あらゆる種類のサイバー攻撃を迅速に特定して、発生する前に防御する必要があります。フル NetFlow と、セキュリティ重視の NetFlow コレクタとして機能する StealthWatch システムを組み合わせて導入することで、サイバー脅威を迅速に検知して軽減できます。StealthWatch システムは、ネットワークを詳細に可視化することで、高度な脅威から保護できます。攻撃を検知するためにシグネチャの更新に頼る必要はなく、高度な振る舞い分析によってフロー データを最大限に活用します。NetFlow と StealthWatch を組み合わせたソリューションは、NBA 能力を拡張します。ネットワーク異常の検出時に警告し、潜在的なセキュリティ インシデントをプロアクティブに特定できるため、より詳細な調査を可能にします。
詳細については、http://cisco.com/jp/go/enterprise をご覧ください。