AKIBA.SAAS #3 で ExtraHop というセキュリティ製品について語ってきた。#AKIBASaaS
2023年1月11日に新年一発目のイベントとして、AKIBA.SaaS ONLINEというイベントに登壇してきました。
登壇資料
本イベントで紹介させていただいた、セキュリティ製品は、わたしも現地参加させていただいた AWS re:Invent 2022 の Expo ブースで見てきた製品で「ExtraHop」というNDR製品になります。[re:Invent 2022 でのExpo会場 現地レポート動画]
ExtraHopとは
ネットワーク上に流れるパケットデータやフローデータ(NetFlowやVPC flow dataなど)を解析して、セキュリティ上の脅威がないかを検知するサービスになります。
特徴として、データベース上のシグネチャベースのマッチングだけではなく、機械学習エンジンを使ったデータの属性や異常性の特徴からの検出、ExtraHop独自の脅威インテリジェンスからの脅威検出ができる製品となっています。また、パケットデータを復号し検査することも他の製品にはない特徴の一つとなっています。
まとめ
今回のイベントでは、ExtraHopが用意しているシミュレーションを使ったデモの内容も紹介しました。
NDR製品は Network Detective & Response というその名の通り、「対処すること」に重きを置いた製品となっております。ExtraHop では単発の検知情報だけでなく、前後の検知情報との結びつきを簡単にトラックすることが容易となっていて、検知まで至らなかったイベントの検索やその検索性も非常に長けた製品となっていました。
今後ますます高度な攻撃が増えていく一方である中、境界型のセキュリティの考え方のように入り口・出口だけではなく、侵入されてしまってからの可視性と高度な分析力を持ったセキュリティ製品として、ExtraHopは非常に有効なのではないでしょうか。