企業間とアプリ間の SASE 正確な可観測性を実現
Wikipedia を引用すると、「可観測性」は制御理論に由来しており、システムの状態をその出力からどの程度適切に決定できるかを測定します。 同様に、ソフトウェアにおける可観測性は、メトリクス、ログ、トレース、プロファイリングなどの取得されたテレメトリからシステムの状態をどの程度理解できるかを指します。
現在の可視性と監視には行動インテリジェンスが欠けています
従来の監視は、パフォーマンス、健全性、ユーザー エクスペリエンス、セキュリティ、復元力に関するアプリケーション、ネットワーク、エンドポイントに関連する問題を視覚的に監視し、特定するために一般的に使用されています。 アラートと監視を組み合わせて、電子メール、SMS、ダッシュボードを通じて重要なイベントを迅速に通知します。 APM、NPM、SIEM によって使用されるこの従来の監視は、リスクが事前にわかっているものの、具体的な発生時刻は不明なままである「既知の未知」に基づいて動作します。 このような監視は、エンティティの数が限られている単純なシステムでは十分であり、トラブルシューティングは簡単かつ明白です。
ただし、erp分散アプリケーション、マルチアーキテクチャなどの複数のアーキテクチャの出現により、システムはさらに複雑になってきました。cloud 導入、エッジ コンピューティング、および多数のパートナーとのコラボレーション アプリケーション。 さらに、これらのアーキテクチャに関連する攻撃対象領域の拡大により、従来の監視や単純な相関関係では不十分になっています。 「既知の未知のもの」に対処するだけでは不十分です。
可観測性プラットフォームは、これまで考慮されていなかった予期せぬリスクを特定することで飛躍的に進歩します。 これらのプラットフォームは、「未知の未知のもの」を処理し、パフォーマンス、健全性、セキュリティ、動作を詳細に可視化することで、システムのトラブルシューティングとデバッグをより迅速かつ正確に行うように設計されています。
この投稿では、から収集された入力を通じて最適に達成される可観測性に焦点を当てます。 SASE (Secure Access Service Edge) ネットワーキングおよびセキュリティ コンポーネント。 具体的には、ユーザー、ネットワーク、アプリケーション エンティティ、インターネット アクセスの異常な動作を特定するために、動作の異常に関連する可観測性のユースケースを調査します。
可観測性プラットフォームは、受信する入力データの品質に大きく依存します。 この文脈で、どのようにして SASE ソリューションは、ログ、メトリクス、トレースの形式で豊富なデータを提供し、可観測性システムがこのデータをどのように活用してさまざまなユースケースに対処できるかを示します。 からの洞察を活用することで、 SASE 可観測性ソリューションはその機能を強化し、その結果、監視の向上、プロアクティブなリスク検出、および堅牢なシステム分析が可能になります。 組み合わせる SASE 可観測性により、最新の ent を監視および保護するための強力なフレームワークが提供されます。erpシステムを効果的に上昇させます。
SIEM、NPM、NDR、APM、XDR – 異常検出は制限されています
今日の状況では、それぞれの機能に精通した多数の可視化および監視ツールが利用可能です。 ただし、主に動作ベースの異常検出と限定的なイベント相関関係に関して、特定の制限があり、詳細な可視性と根本原因分析を提供する機能が妨げられています。 私たちの見通しは、これらのツールが最終的には行動分析/予測分析、およびより深い可視性を包含し、パフォーマンス、セキュリティ、および回復力システムの要件を満たすべきであるということです。
完全性を達成するには、これらのツールにユーザーおよびエンティティ行動分析 (UEBA) 機能を追加することが重要になります。 さらに、可観測性を成功させるには相関機能の向上が必要であると強く信じています。 より適切な相関関係を実現するには、ネットワーク デバイス、セキュリティ デバイス、アイデンティティ システム、およびアプリケーション インフラストラクチャから関連データが必要です。 それにもかかわらず、さまざまなベンダーのデバイスやシステムにわたってこの情報を一貫して取得することは、ログの内容、メトリクス、ログのスキーマと形式が異なるため、課題が生じます。 最大の課題は、包括的な分析に必要な情報が一貫性がなく欠落していることです。
企業間とアプリ間の SASEは、単一ベンダーの複数のネットワーク機能とセキュリティ機能を一貫したアーキテクチャの下で統合するため、相関分析と行動分析に関するこれらのツールの負担を軽減できます。これについては後のセクションで詳しく説明します。
UEBA をさらに深く掘り下げて、統合されたデータ プレーンから期待されるログとメトリックの種類を調べてみましょう。 SASE.
ユーザーとエンティティの行動分析
サイバーセキュリティ業界は、「ユーザーおよびエンティティの行動分析」(UEBA) という用語を作りました。 異常または疑わしいものを検出するために、組織のネットワーク内のユーザー (従業員、請負業者、パートナーなど) およびエンティティ (デバイス、アプリケーション、ネットワークなど) の動作を監視および分析することを指します。cio私たちの活動。
UEBA ソリューションは通常、高度な分析と機械学習を使用します (AI/ML) 各ユーザーおよびエンティティの通常の動作のベースラインを確立する技術。 ベースラインが確立されると、システムはリアルタイムの動作をこのベースラインと継続的に比較して、潜在的なセキュリティ上の脅威や異常なアクティビティを示す可能性のある逸脱や異常を検出します。 また、ベースラインは時間の経過とともに変化し続けるため、ベースラインの更新とそれに対応する継続的なモデル トレーニングが必要であることに注意することも重要です。
UEBA は、従来のセキュリティ対策では気づかれない可能性のある異常なパターンや動作を特定し、組織が内部関係者の脅威、アカウントの侵害、不正アクセス、その他の疑わしいものを検出できるようにすることを目的としています。cio私たちの活動。 UEBA は動作を分析することで、潜在的なセキュリティ インシデントに関する追加のコンテキストと洞察を提供し、セキュリティ チームが迅速かつ効果的に対応できるようにします。
UEBA はサイバー セキュリティのコンテキストで定義されていますが、動作の異常検出はサイバー セキュリティに限定されず、アプリケーションやネットワークなどのエンティティのパフォーマンス面にも適用されます。
業界関係者の中には、サービス メッシュまたはサービス メッシュを使用してゼロ トラスト アーキテクチャ (ZTA) を実現すると言う人もいます。 SASE テクノロジーは、その製品に UEBA が含まれている場合にのみ完成します。
UEBA は異常について話しているので、まず「異常検出」という用語、さまざまな種類の異常、および異常の検出に使用される技術について理解しましょう。
サイバーセキュリティのための異常検出
このブログ投稿、 異常検出とは何ですか? 異常検出の優れた概要を提供します。 簡単に言えば、異常検出には、データセット内の異常な点またはパターンを特定することが含まれます。 事前定義された許容範囲内で確立されたベースラインから逸脱するものはすべて、異常とみなされます。 異常は良性で懸念される場合もありますが、悪意のあるものを検出すると、cio私たちの異常は、サイバーセキュリティ業界において最も重要です。
監視されていない異常検出は、事前の知識に頼ることなく、これまで目に見えなかったイベントを特定できるため、サイバーセキュリティにとって特に重要です。 言い換えれば、この教師なしアプローチは、セキュリティ脅威のコンテキストにおける「未知の未知のもの」を検出するために不可欠です。
異常検出には、統計ツールを活用することもあれば、機械学習アルゴリズムを必要とすることもあるさまざまな手法を使用してアプローチできます。 異常検出に使用される機械学習アルゴリズムには、次の XNUMX つの一般的なタイプがあります。
- クラスタリング: クラスタリングは、類似性または距離に基づいてデータ ポイントをグループ化する手法です。 クラスタリングでは、どのクラスターにも属していないデータ ポイント、または最も近いクラスター中心から大幅に離れたデータ ポイントを検出することで、異常を特定できます。 クラスタリング アルゴリズムの例には、K 平均法が含まれます。
- 密度推定: 密度推定は、データの確率分布を推定する手法です。 異常は、密度推定を使用して、確率密度が低いデータ ポイント、または低密度領域に存在するデータ ポイントを見つけることで検出できます。 一般的な密度推定アルゴリズムには、分離フォレスト、カーネル密度推定などが含まれます。
記述的分析については、多くの監視システムがすでにサポートしているため、ここでは取り上げません。 ここでの主な焦点は、予測分析の一分野である行動分析です。 前述したように、異常検出はサイバーセキュリティに関連しているため、ここでは異常検出について説明します。
異常検出のいくつかの例は、異常検出から期待される情報の種類を理解するのに役立ちます。 SASE ソリューション、特にユーザーおよびエンティティ行動分析 (UEBA) と可観測性全般。 次のセクションでは、サイバーセキュリティおよびネットワーキング業界に必要な異常検出について説明します。
前述したように、事前に不明な検出タイプを識別するために、複数の機能を備えた汎用の異常検出システムを用意することも重要です。 未知の検出タイプを識別するための重要な考慮事項は、入力ログとメトリクス データが包括的であることです。
異常検出の例をいくつか示します。
ユーザーの行動の異常:
- インターネットにアクセスするユーザー、 SaaS、およびエントerp通常のパターンとは異なる場所からアプリケーションを起動します。
- ユーザーが通常の使用パターンと比べて異常な時間にサービスにアクセスする。
- ユーザーが短時間に複数の場所からアプリケーションにアクセスすることは、ありえないことのように思えます。
- ユーザーは匿名プロキシ経由でサービスにアクセスするため、セキュリティ上の懸念が生じます。
- suspi からサービスにアクセスするユーザーcioマリに関連付けられている可能性がある米国の IP アドレスcio私たちの活動。
- サスピにアクセスするユーザーciousドメインまたは URLs、潜在的なセキュリティ上の脅威を示します。
- ユーザーdispファイルの異常なダウンロード/アップロード動作が発生するため、注意が必要です。
- アプリケーション、インターネット サイト、または SaaS 分野の様々なアプリケーションで使用されています。
異常なユーザーアクティビティ:
- ユーザーによる異常なサインイン数。これは、資格情報の侵害または不正なアクセス試行を示している可能性があります。
- 異常な数のサインイン失敗。ブルート フォース攻撃または認証の問題の可能性を示唆しています。
- さまざまなアプリケーション URI への異常なアクセス。さらなる調査が必要になる可能性があります。
- 異常なリモートアクセス数 VPN 特定のユーザーから、またはユーザー間でグローバルにトンネルします。
アプリケーションアクセスの異常:
- 不慣れなユーザーによるアプリケーション アクセス。正当性の検証が必要です。
- ユーザーによるアプリケーション内のさまざまなセクションまたはスペースへの異常なアクセス。
- ユーザーによる異常なデータのダウンロード/アップロード。データの漏洩または不正なデータ転送を示す可能性があります。
- これまで見たことのない場所からの異常なアクセス。セキュリティ上の懸念が生じる可能性があります。
- ユーザーまたは特定のユーザーによる予期せぬ時間のアプリケーションへの異常なアクセス。調査が必要です。
- からの異常なアクセス ISPs これまでに見られなかった、不審な兆候を示している可能性がありますcio私たちの活動。
- アプリケーション リソースへのアクセス中の異常な HTTP リクエスト ヘッダーの検出。
- アプリケーションリソースにアクセスする際の異常な URI 長の検出。
- マリに関連する可能性のあるさまざまなユーザー エージェントの異常な使用cio私たちの意図。
- HTTP レベルのトランザクションの異常な遅延。
ネットワークの異常: インターネットはネットワークの XNUMX つとみなされます。
- 特定のネットワークの受信トラフィック、送信トラフィック、またはそれらを組み合わせた値の異常。
- さまざまなプロトコル セットのトラフィック量の異常。
- ネットワーク内のリソースへの接続数の異常。
- ネットワーク内のリソースに対するトランザクション数の異常。
- 接続ごとのトランザクション数の異常。
- ネットワーク内のリソースにアクセスする際の遅延の異常。
- ネットワーク間のトラフィックの異常。
脅威の異常:
- 疑わしいセッション数の異常cio米国の IP アドレス。マリと通信しようとする可能性を示します。cio私たち実体。
- 疑わしいセッション数の異常cious ドメイン名。これは、信頼できないドメインまたは侵害されたドメインとの接触を示している可能性があります。
- 疑わしいセッション数の異常cious URLs、Web トラフィックにおける潜在的な脅威を指摘します。
- マルウェアに感染したファイルのダウンロード/アップロード数の異常。潜在的なサイバー攻撃を浮き彫りにします。
- 不正またはマリへのセッション数の異常cious SaaS & Cloud サービスを提供しています。
- 拒否されたセッション数の異常。セキュリティ対策が機能している可能性があります。
- 拒否されたトランザクション数の異常。セキュリティ上の脅威または不正行為の可能性を示唆します。
UEBA を備えた可観測性プラットフォームは、上記の検出を提供する傾向があります。 一般的なクラスタリング モデルを未知のリスクに対して使用して、監視する必要がある新しい異常を検出できます。 この汎用モデルには複数の機能が組み込まれている必要があります。
上記の異常のほとんどは、異常を正確に特定するためにベースライン データを必要とするため、可観測性プラットフォームが学習モードを有効にすることが重要です。 場合によっては、学習を動的に行うことができ、構成で過去 X 日間のデータに基づいて当日の異常をチェックできるようになります。
複数のモデルが必要になる可能性があることを考慮すると、可観測性プラットフォームはスケーラブルであり、複数のモデルをトレーニングして対応するための負荷を処理できる必要があります。
正確な脅威インテリジェンス
行動上の脅威の異常を正確に検出するには、脅威インテリジェンス プロバイダーからの最新情報が必要です。 その間 SASE システムはトラフィック時に最初の脅威検出を実行しますが、その時点で収集された脅威インテリジェンスは古くなってしまう可能性があります。 脅威インテリジェンスプロバイダーは、IP アドレス、ドメイン名、 URL、ファイル、 SaaS サービスを更新し、最新情報でフィードを更新します。 ただし、これにより、実際の脅威の出現と脅威インテリジェンス フィードの更新との間に時間差が生じる可能性があります。
その結果、これらのフィードが更新される前に接続やトランザクションが発生すると、データ プレーンでトラフィックの正しい分類が失われる可能性があります。 この課題に対処するために、UEBA ベースの可観測性プラットフォームは、以前のアクセスを積極的に継続的に検査し、新しい脅威インテリジェンスでデータを強化します。 これらのプラットフォームは、IT 脅威ハンティング チームにインテリジェンスの変化を通知し、脅威ハンターが潜在的な脅威をより深く調査できるようにします。
企業間とアプリ間の SASE ログ、メトリクス、トレースを正確に集約します
記述的、予測的、診断的、処方的分析を含むあらゆる分析の包括性と正確さは、可観測性プラットフォームが受信するログの品質に大きく依存します。 ここが統一された場所です SASE ソリューションは本当に優れています。
従来の可観測性プラットフォームは、ファイアウォール アプライアンス、UTM アプライアンス、アプリケーション、アイデンティティ サービス、Web アプリケーション ファイアウォール、IDS/IPS システム、 DNS セキュリティシステムなど。 ただし、複数のベンダーからのログを管理すると、次のようないくつかの課題が生じます。
- ログの情報が不十分です。
- 異なるログ形式/スキーマ。
- ベンダーによるログ メッセージと形式の継続的な変更。
- ネットワーキング/セキュリティ デバイスからのログを特定のトラフィック セッション、ユーザー、またはアプリケーションに一貫して関連付けることが困難です。
- 重複した情報を含むログが大量に存在し、ログボムやログドロップにつながります。
- ログの関連付けと大量のログの処理に過剰な計算能力が必要です。
SASE ソリューションは、統合されたアプローチを通じてこれらの課題に効果的に対処します。 SASE 複数のネットワーク機能とネットワーク セキュリティ機能を単一のサービスに結合し、包括的なソリューションとして提供します。 ただし、注意が必要ですので、 SASE ソリューションは複数の方法で構築できます。 単一ベンダー SASE サービスは、XNUMX つのベンダーからの組み合わせ製品として提供されますが、複数のコンポーネント ベンダーの個別のセキュリティ コンポーネントとネットワーキング コンポーネントで構成されている場合があります。 したがって、そのような単一ベンダーからのログとメトリクスは、 SASE ソリューションも同様の課題に直面する可能性があります。
対照的に、ユニファイド SASE 通常、ソリューションは、シングルパス アーキテクチャと実行から完了までのアーキテクチャの原則に準拠した、統合された包括的なデータ プレーンとして提供されます。 これは統合を意味します SASE 各セッションまたはトランザクション、および適用される関連セキュリティ機能の全体的なビューが表示されます。 その結果、統一されました SASE ソリューションは、ファイル、トランザクション、またはセッションごとに、必要な情報をすべて含むログを XNUMX つだけ生成します。 たとえば、統合 SASE アクセス ログには、次のような包括的な詳細が含まれます。
- 5 タプル情報 (送信元 IP、宛先 IP、プロトコル、送信元ポート、宛先ポート)
- セッション/トランザクションの開始時刻と終了時刻
- TLS接続の場合のドメイン名
- ホストヘッダー値と URL HTTPトランザクションの場合のパス
- 接続が安全かどうか (TLS)
- HTTP メソッド (GET/POST/DELETE/PUT)、URI クエリ パラメーター、HTTP リクエストとレスポンスのヘッダーと値、主に X- で始まるヘッダー
- ファイル ハッシュ (XNUMX つの HTTP トランザクションで複数のファイルが送信された場合、複数のアクセス ログが存在する可能性があります)
- クライアントからサーバーへ、またはその逆に送信されたバイト数
- 適用されたアクセス ポリシーとセキュリティ ポリシー、およびユーザー クレーム (プリンシパル名、グループ、ロール、認証サービス、発行者)、IP レピュテーション カテゴリとスコア、ドメイン カテゴリ、レピュテーション スコアなどのポリシーの詳細とトラフィック セッションからの一致した値。 URI カテゴリとレピュテーション スコア、 SaaS サービス カテゴリと評判スコア、および実行されたアクション。 複数のセキュリティ エンジンがセッションまたはトランザクションへのアクセスに対する同意を提供することに注意することが重要です。 これらのセキュリティ エンジンには、IP レピュテーション エンジン、ドメイン レピュテーション エンジン、 URL 評判エンジン、 SaaS レピュテーション エンジン、アクセス コントロール エンジン、マルウェア対策エンジン、IDPS エンジンなど。 各セキュリティ エンジンは独自のポリシー セットを適用し、結果に基づいて適切なアクションを実行します。 さまざまなエンジンが存在し、それぞれがポリシー テーブルと、トラフィックまたはトラフィック エンリッチメントからの一致した値の固有のセットを備えているため、一致するポリシー名と、ポリシーの一致につながったパラメータを記録する必要があります。
アクセス ログは可観測性プラットフォームにおいて重要な役割を果たし、正確な分析を可能にします。 ただし、可観測性プラットフォームにとっては他のログも同様に重要であり、「統合されたログ」 SASE」ソリューションは、すぐに使えるようにそれらを提供します。 これらのログは、包括的な洞察を得るためにプラットフォームの機能を強化するのに役立ちます。 Unified によって提供される重要なログの一部 SASE 解決策には次のものが含まれます。
- ID ブローカー機能を介したユーザーのサインインおよびサインアウトに関連するログ。
- ユーザーのサインイン失敗に関連するログ。潜在的なセキュリティ脅威の監視に役立ちます。
- ユーザーのサインインに関連するログ。次のような包括的なユーザー クレーム情報が充実しています。
- ユーザーのメールアドレス
- 発行者 (ID プロバイダー)
- ユーザーが所属する複数のグループとロール
- ユーザーを認証した認証サービス
- 多要素認証 (MFA) が適用されたかどうか
- ユーザーがサインインしたソース IP
- ユーザーアプリケーションが使用する認証プロトコル
- ユーザーがサインインした場所
ユーザー認証関連のログとアクセス ログを含めることで、動作の異常を効果的に特定するための貴重な入力を可観測性プラットフォームに提供できます。
さらに、統一された SASE ソリューションは、マルウェア、エクスプロイト、サスピなどの脅威が検出されるたびにログを提供します。cio私たちの活動。 これらのログには、5 タプル情報 (送信元 IP、宛先 IP、プロトコル、送信元ポート、宛先ポート)、日付/時刻、脅威検出時の既知のユーザー クレーム情報が含まれます。 これは、脅威をそれが観察されたセッションまたはトランザクションと関連付けることに役立ち、インシデントへの対応と軽減に役立ちます。
ここではそれらについては説明しませんが、他にも多くのログが関連しています。 SASE システム カーネル、プロセス、コンテナー、およびハードウェアは、診断分析に役立ちます。
ログの生成に加えて、統合 SASE ソリューションは、カウンター、ゲージ、ヒストグラムなどのさまざまなメトリックも提供します。 これらのメトリクスは、システムのさまざまなコンポーネントを可視化することで、統計的異常の特定やトラブルシューティングに非常に役立ちます。 SASE 建築。
全体として、アクセス ログ、認証関連ログ、脅威ログ、さまざまな種類のメトリクスを含む診断ログなど、さまざまな種類のログが統合されます。 SASE は、記述的および診断的分析だけでなく、行動的/予測的分析も提供する可観測性プラットフォームを提供します。
企業間とアプリ間の SASE と Integrated Observability はヒップで結合されます。
これまで説明してきたように、統合 SASE エクスポートされた豊富なデータセットを使用してさまざまな分析ツールを有効にすることで際立っています。
私たちはまた、統一されたことを認識しています。 SASE ソリューションには、前述したさまざまな分析、特に行動分析を含む包括的な可観測性プラットフォームが含まれます。 初期段階では、統合可観測性プラットフォームは主に以下に限定されていました。 SASE エンドツーエンドの可観測性を備えたソリューションは、多くの場合、Splunk、Datadog、Elastic、New Relic、およびエンドツーエンドの脅威 XDR プラットフォームからの可観測性サービスに依存します。
本質的には、統一された SASE には、独自の統合された可観測性プラットフォームが組み込まれていると同時に、高品質のログとメトリクスをさまざまな外部可観測性ツールに提供します。
企業間とアプリ間の SASE 可観測性能力を高める鍵となります。
従来の監視および可視化ツールは、複雑な機能では不十分ですerp分散した労働力を特徴とする環境が台頭し、複数のcloud/edge アプリケーションの展開、複数のアプリケーションの広範な使用 SaaS サービス、拡大し続ける脅威の状況、マイクロサービスベースのアプリケーション アーキテクチャ。 さまざまなネットワーキング、セキュリティ、アプリケーション ソースからのログやメトリクスに依存すると、これらのツールが実用的な洞察や効率的な相関関係や根本原因の分析機能を提供することが妨げられることがよくあります。 今、求められているのは「観察性」です。
多くの従来の分析ベンダーは、UEBA や関連する異常検出機能などの可観測性機能で自社の製品を強化し始めています。 ただし、これらの分析ツールの有効性は、受信するログとメトリクスの品質に大きく依存します。 統合された SASE は、行動分析を含むあらゆるタイプの分析のための包括的で高品質なログの生成に関連する課題を克服する可能性を秘めています。
統一されたアプローチと包括的なデータ エクスポートを提供することにより、Unified SASE 組織の可観測性機能を大幅に強化し、プロアクティブな脅威の検出、正確な分析、より適切な意思決定を促進します。 Unified 内での複数の分析ツールと可観測性機能の統合 SASE 現代の ENT の複雑さに対処するための強力なソリューションを提供しますerp環境を向上させ、サイバーセキュリティ防御を強化します。
-
CTO の洞察ブログ
Aryaka CTO Insights ブログ シリーズでは、ネットワーク、セキュリティ、およびセキュリティに関するソート リーダーシップを提供します。 SASE トピック。 のために Aryaka 製品仕様を参照してください Aryaka データシート。