日本語 
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
正確な IoT デバイス識別のためのパッシブ OS フィンガープリンティングの力
企業ネットワークおよびインターネット上の IoT デバイスの数は、2030 年までに 290 億に達すると予測されています。この急激な増加により、意図せず攻撃対象領域が増加しています。 相互接続された各デバイスは、サイバー攻撃やセキュリティ侵害の新たな経路を生み出す可能性があります。 Mirai ボットネットは、数千の脆弱な IoT デバイスを使用して、重要なインターネット インフラストラクチャや人気のある Web サイトに対して大規模な DDoS 攻撃を開始することで、まさにそのことを実証しました。
IoT のスプロール化のリスクを効果的に保護するには、継続的な監視と絶対的な制御が重要です。 ただし、これには企業ネットワーク内のすべての IoT デバイスとオペレーティング システム (OS) を正確に識別する必要があります。 この知識がなければ、IT チームとセキュリティ チームは、対象を絞ったセキュリティ制御を効果的に実装し、ネットワーク アクティビティを監視し、異常を特定し、潜在的な脅威を軽減するために必要な可視性と理解を欠いています。
通常、管理者は、ネットワーク エンドポイント上で実行され、デバイス識別のための情報を収集するソフトウェア エージェントによって割り当てられた一意のデバイス ID を通じてデバイスと OS を識別できます。 ただし、このようなエージェントをすべてのオペレーティング システム、特に組み込みシステムや IoT デバイスで使用されるオペレーティング システムにインストールすることは不可能または実現可能ではありません。 それは、IoT デバイスは特定の機能を実行するように設計されており、多くの場合、処理能力、メモリ、ストレージなどのリソースが限られているためです。 多くの場合、追加のソフトウェア エージェントをサポートする機能が不足しています。
これらの理由から、ソフトウェアのインストールを必要とせず、特定の IoT デバイス要件を満たすためにカスタマイズおよび機能を削減したシステムでも同様に機能する、受動的な識別アプローチが必要です。 そのような方法の 1 つは、ネットワークベースのフィンガープリンティングとパッシブ OS フィンガープリンティングです。
実際には、パッシブ OS フィンガープリンティングは、直接的な対話を行わずに、単に外見や行動から人々のプロファイリングを試みることに似ています。 同様に、デバイスがネットワークと対話する方法によって、そのアイデンティティ、機能、潜在的なリスクについて多くのことがわかります。 ソフトウェア エージェントをインストールする代わりに、パッシブ OS フィンガープリンティングでは、デバイスによって生成されるネットワーク トラフィック パターンと動作を分析して、オペレーティング システムを特定します。
この方法は、確立された技術と、さまざまなオペレーティング システムに固有のトラフィック パターンと動作を保存するフィンガープリント データベースに依存しています。 たとえば、TCP ヘッダーまたは動的ホスト構成プロトコル (DHCP) 要求に設定される特定のオプションは、オペレーティング システムによって異なる場合があります。 OS フィンガープリンティングは基本的に、デバイスのネットワーク トラフィック パターンと属性を既知の OS プロファイルと照合し、それに応じてトラフィックを分類することです。
OS フィンガープリントにはいくつかのネットワーク プロトコルを使用できます。
制限はありますが、ネットワーク層全体にわたるいくつかのプロトコルの動作と属性を分析することは、正確なデバイスの識別に役立ちます。 管理者は、OS フィンガープリントを使用して、アクセス制御とセキュリティ ポリシーに関して情報に基づいた決定を下すことができます。
IoT ネットワークの急速な拡大と、それによってもたらされる脆弱性を考慮すると、OS フィンガープリントは受動的なデバイスの識別に役立ちます。 ただし、手動による OS フィンガープリンティングは、広範な分野の知識と専門知識を必要とする困難な作業です。
主な課題はスケーラビリティです。 企業ネットワーク全体にわたる何千ものトラフィック フローにわたって一意の識別子を手動でマッピングすることは不可能です。 この課題を克服するために、組織はクラウドベースの統合ネットワークとセキュリティ スタックのリソースと規模を活用できます。 SASE (Secure Access Service Edge) や SSE (Secure Service Edge) などのクラウドネイティブのセキュリティ スタックは、必要なリソースにアクセスし、機械学習アルゴリズムと統計分析を有効にして、大量のネットワーク トラフィック データからパターンと動作を抽出できます。
ネットワーキングとセキュリティ機能を統合することで、侵入検知システム、ファイアウォール ログ、エンドポイント セキュリティ ソリューションなどの複数のソースからネットワーキングとセキュリティ データを自動的に収集および関連付けることができ、ネットワーク アクティビティとオペレーティング システムおよび IoT デバイスとの関係の概要を提供できます。 。