ラスベガスでのブラックハットの反省(と回復)。今年はいつもと違って、よりエネルギッシュで、会話もより有意義で、実践的で、正直なものだった。以下は、私が自分を通して物事を見ることで得たものだ。 Vectra AI緑の色眼鏡を通してではあるが、私が得たものは以下の通りだ:
1.AIは今や武器であると同時に標的でもある。エージェント型AI(自律型システム)は、偵察やデータ流出、さらには攻撃者の検知逃れのために乗っ取られている。malware 必要ない。防御側が使用するAIが、攻撃者と同じように考え、攻撃者がネットワーク、ID、クラウドを横断して移動するのと同じ速さで移動できるように構築されていなければ、攻撃時間と防御時間の差は拡大する。
2.真実はパケットの中にあるプライベート・ネットワークへのトンネリングに関する研究を見た。ひとたび内部に侵入すれば、攻撃者は「通常の」トラフィックに紛れ込み、暗号化されたフローに身を隠し、姿をくらますことはない。これが、東西と南北のトラフィックをカバーすることがオプションではなく、基本的な理由です。
3.アイデンティティが狙い目 クラウドにおけるトークンの盗難、連携された信頼の乱用、特権の昇格は、新しい常識である。攻撃者はハッキングするのではなく、ログインするのだ。そして、アイデンティティの活動をリアルタイムで監視していなければ、見逃してしまうだろう。
4.コンバージドリスクは実在する。ネットワーク、アイデンティティ、クラウド、SaaS、IoT、OT-セキュリティには複数の攻撃対象領域があるが、攻撃者は1つの巨大な攻撃対象領域(我々はこれを現代のネットワークと呼んでいる)を見ている。現代の攻撃者に必要なのは侵入経路(アイデンティティ)だけであり、いったん侵入すれば、紛れ込み、身を隠し、摩擦なく移動する。疑問が湧くかもしれないが、私たちは侵害の前(予防)と同様に、侵害の後(検出)の態勢にも目を向けるべきなのだろうか?
もしかしたら、私や私のバイアスが聞きたいことを聞いているのかもしれないが、私はブラックハットで解決すべき問題は、現代のネットワーク、現代の攻撃、そしてそれらに対する防御であり、3つのシンプルな質問に集約されると信じている:
1.見えるか?(取材)
2.止められるか?(コントロール)
3.どれくらいのスピードで彼らを見つけ、止めることができるか?(クラリティ)