Akamai Guardicore Segmentation の機能紹介「Incident / Hunt」

管理画面を使ってご紹介します。以下のように対象システムで検知されたIncident一覧が表示されています。インシデントタイプなど様々な条件にてフィルタを行うことができます。検知された内容には自動的にTagが割り当てられ、リスクを可視化しやすく、かつ分類しやすく構成されています。またIncident情報はメール等の外部リソースにて受け取ることも可能です。

検知したIncidentについて詳細を確認することができます。

以下はPolicy Violations（事前定義したルールに違反した通信が発生）のタイプで検知した例となります。青い丸はサーバーや端末のデバイスを表しており、右側のjumpbox-linux01から、左側のデバイスに対して、web-attkという不正なプロセスで行った通信（右から左の赤矢印）が遮断されています。このデバイス間はcurlでも同じく443/TCP番を用いて通信（右から左の黒矢印）をしていますが、正常の通信として記録されています。通常のファイアウォールであれば判別が不可能な通信もAGSではプロセスレベルで可視化・制御が可能です。また、同時に発生している正常通信、異常通信との関連性の確認も容易に行えます。

Policy Violationsのタイプで検知した別の例をご紹介します。許可された社員は踏み台サーバー経由で他のサーバーに対してputtyによるSSHが許可されています。しかしDoug.bユーザーはポリシーによって許可されていないため、SSH通信を行おうとしたら図の通り遮断されました。このように同じデバイス間の通信であっても、ユーザーレベルで通信を検知・遮断することが可能となります。

以下は、Network Scanのタイプで検知した例となります。ネットワーク上を不正なスキャンが行われており、AGSはインシデントとして検知しました。また、自動的にInternalのTagが付与されているため内部で発生しているスキャンであることも確認ができます。このようなIncidentの通知をもとにRevealやNetwork logにより詳細な状況の確認、その他波及している通信が無いかなどを可視化することが可能です。

Huntサービスの紹介

Akamai Huntは、AGSから収集したデータを用いて、ネットワーク内で巧妙に検知を逃れようとするセキュリティリスクを検知して、次のアクションにつなげるマネージド型脅威ハンティングサービスです。Akamaiのエキスパート・セキュリティチームがセキュリティイベントをプロアクティブに検出・緩和を行うため、滞留時間を最小限に抑え、迅速に緩和します。お客様は高度な攻撃者によるランサムウェアに対する監視を効率的、効果的に実現することが可能となります。

Akamai Huntサービスは、ネットワークで収集している情報を分析し、早期段階におけるラテラルムーブメントやマルウェアの実行を検知することで、「未然に脅威から防ぐ」ことを目的としています。

AkamaiのHuntチームはAGSとAkamaiの大規模なグローバル脅威インテリジェンスを活用し、IPアドレス、ドメイン、プロセス、ユーザー、サービスに至るまで、様々な侵害に関する指標を収集しており、脅威を検知すると通知や緩和などのインシデント管理を行うことができます。

まとめ

Akamai Guardicore Segmentationを導入し、マイクロセグメンテーションによるネットワークの可視化、制御を行うことで、管理内ネットワークで常に何が行われているのかを迅速かつ詳細に可視化することができ、今までは実現できなかった柔軟できめ細かい通信制御を行うことが可能となります。またAkamai Huntサービスにより、お客様の運用をAkamaiのセキュリティスペシャリストにて支援することが可能です。ランサムウェア対策では守るべきリソースへアクセスさせないことが重要であり、Akamai Guardicore Segmentation及びAkamai Huntサービスでは、新たな解決手段として高度なセキュリティ対策を実現することができます。

AGS に関しては、以下ブログも併せてご参照ください。

・Akamai Guardicore Segmentation の機能紹介「Reveal」

・Akamai Guardicore Segmentation の機能紹介「Insight」