あなたの組織が侵害の危機に瀕しているとき、それを阻止する可能な限り最善の機会を持つために、これが実際に何を意味するのかを覚えておこう。どのような方法であれ、犯罪者が貴社の環境にアクセスした後は、くつろいで目標に向かう時間が必要だ。これは、ランサムウェアの爆発をセットアップしたり、アカウント乗っ取りの準備をしたりすることを意味するが、いずれにせよ、彼らは内部で時間を必要とする。実際、このDarkReadingの記事によると、攻撃者が検知されるまでに環境内に滞在する時間は、世界平均で24日にまで減少している。
滞留時間中に何が起きているかについては、さまざまな視点を集めることができるが、攻撃者が環境内で過ごす時間が減り続けていることを考えれば、時間は侵害を検知する上で最も重要な要素である。滞留時間が短ければ短いほど、何か悪いことが起こる前に攻撃者を検知 。組織がSOCの効率を高め、攻撃を素早く発見して阻止する準備を整えるにはどうすればよいかを知るため、Vectra のAI研究チームにいくつかのヒントを聞いた。AIがどのようにSOCに新たなパワーを加えることができるのか、詳しく見てみよう。
AIによるアラート精度の向上と誤検知の最小化
しかし、適切なデータを収集し、意味のあるAIを活用することで、早急な対応が必要な攻撃やセキュリティイベントを特定することができます。最近のSpotlightレポート「ビジョンと可視性」:Top 10 Threat Detections for Microsoft Azure AD and Office 365」では、適切なデータの収集とAIを活用した脅威検知により、サプライチェーン攻撃のようなイベント時に敵の活動を特定する方法を詳しく紹介している。AIは、許可されたユーザーの行動と攻撃者による行動の違いを検知する最も効果的な方法です。
AI主導の分析に基づく調査の最適化
調査は SOCにとって負担が大きく、一般的に時間のかかる手作業で行われるため、すでに境界制御をバイパスした攻撃者を特定する現実的なアプローチにはなりません。調査には、マルウェア、ログ、フォレンジックパケットを分析する能力、幅広いソースからの膨大なデータを関連付ける能力など、専門的なスキルが必要なため、ここでも時間が問題となります。多くの場合、セキュリティイベントの調査は数時間で終わり、高度な脅威の完全な分析には数日、数週間、数カ月を要することさえあります。これらの調査シナリオはすべて、通常ティア1アナリストが行う脅威の検知、レポート作成、トリアージ機能など、有意義なAIによって自動化できるため、貴重な時間を他の活動に振り向けることができます。また、アナリストは、特定の攻撃行動や攻撃に関与する侵害されたホストデバイスの詳細など、悪意のある通信に関するより深く有意義なコンテキストを得ることができます。
AIによる脅威ハンティングの自動化
脅威ハンティングはSOCに課せられたもう一つの課題であり、攻撃者の先を行くために今日の環境では確実に必要とされている。AIは、他のツールや担当者がその存在を知る前に、隠れた攻撃者を早期に発見するのに役立ちます。例えば、AIを活用してアカウントベースの調査を強化し、アナリストが侵害された可能性のあるアカウントの用途や振る舞いを特定するために必要な詳細を把握したり、通信を追跡して特定のドメインやIPを持つホストデバイスを特定したりすることもできます。他の調査と同様に、通常実行される検知、レポート、トリアージ機能を完全に自動化することができます。
検知AIを利用してリスクの高い脅威をスコア化し、優先順位をつける
SOCチームが貴重な時間を失う最も手っ取り早い方法の1つは、最も適切な情報が表示されるかどうかわからない、あらゆるセキュリティツールやアラートに目を通すことです。上記のような理由でAIを適切に活用すれば、SOCは、攻撃の兆候を示す重要な資産や修復が必要な異常など、最も高いリスクをもたらす脅威に関する優先順位付けされた情報を受け取ることができます。これは、SOCチームが時間をかけるべき場所の優先順位付けに大いに役立つ。
もちろん、SOCは各組織で異なります。これらは、AIが手を貸してリソースを解放し、チームが攻撃者の先手を取って侵害が発生する前に阻止できるようにする方法のほんの一部です。これまで述べてきたように、環境を防御する際に最も貴重な資産である時間を取り戻すことが重要なのです。
AIが組織のSOCにどのように役立つかをお知りになりたい方は、今すぐデモをお申し込みください!