サイバー攻撃の防御は壊れているのか?Vectra AIのプロダクト・マーケティング・マネージャーとして、先日ロンドンで開催されたガートナー・セキュリティ&リスク・サミットに初めて参加し、これが最初の質問だった。最初の基調講演の直後、私はサイバーセキュリティにおいて、より多くのスパイラルが現実に起きていることを確認した。より多くの攻撃、より多くのツール、より多くのアラート、そしてより多くの燃え尽き症候群。
会議を通して、私は繰り返し同じ3つのテーマに遭遇した:
- どうすれば、資源や能力を持て余すことなく、効果的かつ効率的な安全保障の成果を達成できるか?
- AIを活用し、進化する攻撃者から身を守るには?
- セキュリティ・オペレーション・センター(SOC)は、攻撃者に利用されないように、どのようにアイデンティティを保護するのか。
このブログポストでは、サミットで得た重要な収穫のいくつかと、これらの質問に対処するためのVectra AI独自のアプローチを紹介する。
最低限効果的なマインドセット
最初の収穫は、"minimum effective mindset "という概念で、これはセキュリティとシンプルさの最適なバランスを見つけるという考え方である。
最小有効ツールセット
ツールが増えれば保護が強化されるわけではない75%の組織がベンダーの統合を進めているが1、最終的にはより多くのツールやテクノロジーを利用している。セキュリティチームは、悪用の試みを観察し、防御し、対応するために必要な最小限のテクノロジを目指すべきである。ツールの有効性を評価する場合、セキュリティチームは、ツール間の相互運用性と、ツールの管理、保守、使用に必要な時間と労力を考慮することが推奨される。
最低限有効な専門知識
サイバーセキュリティの専門家が増えても、必ずしも保護が強化されるとは限らない。すでに340万人の人材不足に陥っている市場で、サイバーセキュリティの人材に対する需要が65%増加している34。専門家の数を増やしても、高度化する攻撃の問題に対する解決策にはならない。したがって、セキュリティチームは、最小限の効果的な専門知識を身につけることに重点を移すべきである。その一例が、AIを活用して反復的で面倒な作業を減らすことである。
Vectra AIの統合型ハイブリッド攻撃脅威検知システムレスポンス
Vectra AIのプラットフォームにより、攻撃者の行動はネットワーク、ID、パブリッククラウド、SaaS を横断して可視化される。検知、調査、レスポンス の各プロセスにおける遅延をなくすため、シグナルはドメイン間で統合されます。当社のソリューションは、アラートノイズを80%削減することで、SOCアナリストの生産性を2倍以上向上させます。また、150以上の事前構築済み検知モデルを活用することで、検知のエンジニアリング時間を数ヶ月から数日に短縮します。当社のツールは、EDR、SIEM、SOAR、ITSMツールにまたがる40以上の事前構築済み統合機能を備えており、お客様の既存ツールとの相互運用性を保証します。
AI攻撃に対するAIの防御
2つ目のポイントは、悪意のある活動を自動化・最適化するためにAIを導入し、ますます巧妙化する攻撃者から身を守るために、AIを効果的に活用する必要性である。ほとんどのセキュリティ・ベンダーは、自社のテクノロジーにAIを使用していると主張しているが、セキュリティチームが批判的な姿勢を保ち、ツールを評価するために適切な質問をすることがより重要である。例えば、そのAI/MLアプローチは、単に検知 、常に人によるチューニングやメンテナンスが必要なだけなのか。特定のツールや攻撃グループに焦点を当てた研究しか行っておらず、新しい技術への適用が難しいのではないか?そのアルゴリズムは定期的なバッチで実行されるため、警告が遅れ、攻撃者に攻撃をさらに進展させる機会を与えてしまう可能性はないか?ベンダーが完璧な回答をしたとしても、検証はベンダーが過大な約束をし、過小な約束をするのを防ぐ鍵である。セキュリティチームは、攻撃シミュレーション・ツールやサード・パーティの検証サービスなど、内部と外部の両方の方法を利用して検証を行うことが推奨される。
Vectra 他では見つけられないサイバー攻撃を発見するAI独自のアプローチ
AI攻撃を効果的に防御するためには、AI防御において攻撃者の視点に立つ必要があります。Vectra AI は、AI主導の脅威検知において35件の特許を取得しており、MITRE D3FENDによって最も参照されているベンダーです。当社の検知は、単なる異常ではなく、攻撃者を発見し、攻撃者の手法を特定することに明確に焦点を当てています。当社のセキュリティ主導のAIアルゴリズムは、単一のイベントが実用的なセキュリティインシデントとどのように相関するかを研究しています。当社の特許取得済み Attack Signal IntelligenceTMは、AI/MLを使用して、お客様の環境に固有の攻撃者の行動とトラフィックパターンを分析し、アラートノイズを低減し、関連する真のポジティブイベントのみを浮上させます。当社の研究開発チームは、攻撃者の手法を常時監視しレビューするだけでなく、攻撃者が使用している一般的な手法も研究しています。これにより、Vectra AI 、現在攻撃を実行しているツールと将来開発されるツールの両方に対するカバレッジを構築することができます。検出のスピードが重要であるため、当社のアルゴリズムは、攻撃者の進行を阻止するための十分な時間を確保するために、定期的なバッチで実行するのではなく、ストリーミングデータで実行されます。
SOCにおけるアイデンティティ・ファブリック
AIを活用することで、最も早く価値を生み出すことができるのはどこだろうか。SOCチームは、アイデンティティ攻撃の検知とレスポンス にAIを活用すべきである。組織の84%がアイデンティティ関連の侵害に悩まされている5。攻撃者は多くの場合、ユーザー、特にスーパーアドミニストレータの認証情報と権限を狙って、ネットワークにアクセスし、横方向に移動する。最新のMGMとシーザーズ・パレスの侵害は、その典型的な例である。これに対処するためには、予防の枠を超えて考える必要がある。特に人間はサイバーセキュリティの最も弱いリンクであることが多いからだ。私の同僚は最近、元雇用者のスーパー管理者アカウントへのアクセスが、彼女が会社を辞めてから6カ月後に失効させられただけだと話してくれた。攻撃者に何ができるか想像してみてほしい。最初のIDアクセスから攻撃者が王冠の宝石に到達するまでの間の攻撃者の行動を可視化する必要がある。特権アカウントが狙われているときや、攻撃者がネットワークやクラウド環境を横切って移動しているときに、検知 する必要があります。
Vectra クラウンジュエルに到達する前に攻撃を阻止するAIのIDR
Vectra AIの IDR ソリューションは、ネットワーク (ActiveDirectory) とクラウド (Azure AD および M365) 環境の両方で検知 の脅威を検知し、統合されたハイブリッド可視性を提供します。特許取得済みの Privilege Account Analytics は、アカウントの権限を学習し、攻撃者にとって最も有用なアカウントをセキュリティアナリストが自動的に発見し、焦点を当てることを支援します。
3日間のカンファレンスを振り返ってみると、より多くのスパイラルに取り組むためには根本的な転換が必要だと実感している。効果的なAI防御の旅に乗り出すための最小限の効果的な考え方で、より多くのセキュリティチームとパートナーシップを組み、攻撃者が組織に影響を与えるのを阻止し続けられることを願っています。
Vectra AIがお客様のサイバーセキュリティの旅にどのようにお役に立てるかについては、当社のプラットフォームページをご覧いただき、今すぐデモをご依頼ください。