Forrester Researchが2019年に実施した調査によると、グローバル企業のネットワークセキュリティの意思決定者の52%が、過去12カ月間に自社が機密データの侵害を少なくとも1回は経験したと報告している。そして、機密データの侵害の半数近くは、不適切な判断または悪意のいずれかによって、内部関係者の手によってもたらされた。セキュリティチームは通常、アクセスを監視・監査することで内部脅威への備えを行い、事前の検知に失敗しても、インシデント発生時に少なくともフォレンジック分析ができるようになることを期待しています。
明らかに、このアプローチでは、被害が発生する前に阻止するために必要なリードタイムをセキュリ ティチームに提供することはほとんどできない。インサイダーの脅威に対するレジリエンスの聖杯には、脅威が発生する前から検知 を検知する能力が含まれる。しかし、悪意のあるインサイダーの病理は非常に複雑である。インサイダーは通常、検知を逃れるために予防策を講じる。では、どのようにすればソフトウェア・ソリューションは、何が脅威で何が脅威でないかを確実に識別できるのだろうか?
最近の技術の進歩は、以前は困難と考えられていた人間の嗜好や性質、そしておそらく行動までも予測することに大きな進歩を示している。アレクサ、シリ、コルタナのようなシステムは、ユーザーのニーズを声に出す前から定期的に予測しているようにさえ見える。
たくさんのデータ
振る舞い 予測のバックエンドには、膨大な量のデータと、そのデータを処理するのに必要な大量の計算リソースがある。似たような例としては、音声認識や画像分析がある。その核心は、データサイエンスという学問分野の応用である。データサイエンスは、少なくとも以下の3つの方法で内部脅威に対して適用できることが判明している:
第一のアプローチは、内部脅威を示す既知の行動を学習することである。例えば、Dropboxアカウントへのデータのアップロード、USBメモリの多用、機密性の高い場所や大量に転送されたデータなどの流出行動です。これらの指標は、進行中の攻撃を捕捉するのに十分具体的ですが、事前に分かっているものだけに限定されます。
第二のアプローチは、観察された振る舞いの異常に注目し、標準的、正常、または期待されるものから、何らかの顕著な逸脱があるケースを探すものである。インサイダーの脅威は、個人における振る舞い の変化と対になっていることを知っていれば、このアプローチは脅威の初期段階さえも発見できる可能性があることを意味する。残念ながら、このアプローチによる偽陽性の数はとてつもなく多い。職務やチームの変更、休暇後の復職、単なるオフの日など、行動における良性の変化はすべて、大量の異常を引き起こす可能性がある。そのため、そこそこ複雑な環境であっても、異常は行動を予測する先行指標ではなく、調査をサポートする後続指標として役立つことが多い。
第3の、より高度なアプローチは、第1と第2のアプローチの出力からナラティブを生成する:強力なシグナルとしての既知の指標と、より弱くノイズの多いアノマリーベースのアプローチからの適切に重み付けされた入力を組み合わせる。このアプローチは、ドメインの専門知識を介して利用可能な既知の指標から安定性を提供する一方で、アノマリーベースのアプローチを駆動する巨大なデータセットのフルパワーを活用する。そして、実際にはこれは困難であり、これらのアプローチをバランスさせる具体的なメカニズムは時間とともに進化していくだろうが、現実には、このアプローチは将来性を示し続け、真のインテリジェント・マシンに向けて進歩している。内部脅威でない限り、未来は明るい!
全国インサイダー脅威啓発月間です。Vectra がどのように役立つかをお知りになりたい場合は、デモをご予約ください。