AI についてよく質問されます。 主にサイバーセキュリティに関するものですが、たまに「それで、いつ AI があなたの仕事を引き継ぐのですか?」とも聞かれます。今回この記事は確かに私が書きましたが、次はどうでしょうか......
セキュリティバイヤーは賢明です。 また、企業のセキュリティ チームがスタック内で 70 を超えるセキュリティ ツールを管理できることを考慮すると、AI に関しては、セキュリティチームにベンダーの責任を負わせるべきだという主張が数多くあります。
AI は 10 年以上にわたってVectra AIが行ってきたことすべての中核です。そこで「AI」を主張するベンダーがどの程度効果的かを知るために役立つ質問のリストを以下にまとめました。 さて、よく聞かれるAIに関する質問についてですが「はい、仕事を楽にしてくれます」(詳細は後ほど) 「いいえ、特に情報を与える必要はありません」(ただし、信じられないほど速い速度で情報を消化します)、そして「SOCの素晴らしい相棒になります」。
1. AIを使って統合攻撃シグナルを生成する
質問:サイバー攻撃 (特にハイブリッド攻撃) を検知し、阻止するためにAIをどのように活用していますか?
重要性: 一部のベンダーが何を言おうと、あらゆる問題を解決できる特効薬として機能する単一のアルゴリズムや学習モデルは存在しません。むしろ、サイバーセキュリティで攻撃シグナルを生成する各問題に最適なアルゴリズムが存在します。
サイバー攻撃への対処をベンダーがどのように支援してくれるのかを明らかにしたいと考えていますが、これはシグナルを明確にすることになります。 彼らの攻撃は、侵害後の攻撃者の TTP をターゲットにしていることを示していますか? どうやって? あなたの環境に特有の検出パターンを分析しますか? どうやって? また、現在および将来のすべてのアタックサーフェス (ネットワーク、パブリック クラウド、アイデンティティ、SaaS など) にわたる検知を相互に関連付けるのでしょうか?
> AI、Machine Learning、Deep Learningをどのように使い分けるかを学ぶ。
2. 関連する攻撃者の戦術にマッピングされたAI
質問:AI主導の攻撃シグナルは、サイバー攻撃者の振る舞いをどのように把握していますか?
重要性:この質問をすることで、検知 、攻撃に優先順位をつけるために、AIが環境の舞台裏でどのように働くかについて、より深く掘り下げることができます。コマンド&コントロール、横方向への移動、偵察など、攻撃者の振る舞いを幅広くカバーしているかどうかを確認します。
防御側が攻撃側の最新の戦術やテクニックを確実にカバーできるようにするために使用できる役立つリソースがいくつかあります。 その 1 つは MITRE ATT&CKです。MITRE ATT&CK は、世界中でアクセス可能な敵対的な手法の知識ベースです。 これは 1 つのルートにすぎませんが、ベンダーに自社の検知が MITRE ATT&CK にどのようにマッピングされるかを尋ねることができます。 たとえば、Vectra Attack Signal Intelligence は、関連する MITRE ATT&CK 技術の 90% 以上をカバーしています。そこから、当社の AI がどのように特定の手法を検知できるかを顧客に示すことができます。
実際の攻撃手法がどのように検知され、優先順位付けされているかを、サイバー攻撃解剖でご確認いただだけます。
また、以下でもご参照ください。
> Machine Learningにおける最適なアルゴリズムの選択
3. リスクの優先順位付け
質問:高リスクのホストやアカウントを狙う脅威はどのように優先順位付けされ、アナリストは何が緊急なのかを知ることができるのでしょうか?
重要性:SOCチームは1日平均4,484件のアラートを受信しています。必要なのはアラートの数ではなく、どのアラートが重要かを知る方法になります。適切なAIの優先順位付けは、アナリストがどこに時間を集中すべきかを知るのに役立つのです。
この質問をすることは、ベンダーの優先順位付けモデルがどのように機能するかを判断するのに役立ちます。 どのようなデータ ソースが方程式に組み込まれているかを知りたいと思うでしょう。これは、ベンダーが自社のアルゴリズムについてどの程度透明性があり、今後どのように取り組んでいるのか、また脅威スコアをどのように導き出しているのかを知るのにも役立ちます。 AI がさまざまなアタックサーフェスにわたる脅威の検知をどのように関連付けるか、また、AI が脅威の検出をどのように評価して緊急度の評価を作成するかを知る機会があり、アナリストはこの評価を活用して、最終的に最も緊急性の高いリスクに優先順位を付けることができます。
4. アナリストの効率
質問:AIは、セキュリティアナリストの作業負荷をどのように軽減しますか?
重要性:最近のVectra AI の調査によると、SOCアナリストの過半数が、組織のアタックサーフェスの大きさ (63%)、管理するセキュリティツールの数 (70%)、アラートの数 (66%) が過去3年間で大幅に増加したと回答しています。
脅威の検知に関して言えば、AI は単により多くの脅威を検知するだけではありません。 すでに毎日受信している 4,000 件を超えるアラートをどうするか、さらにアラートを追加しますか? 結構です。 代わりに、AIを活用すべきです。 AI 主導の攻撃シグナルは、環境に固有の検知を自動的にトリアージして優先順位を付けることができるため、検出/アラート ノイズを大幅に (最大 80%) 削減できると同時に、攻撃の緊急度評価を生成できるため、SOC は最善の行動を取れるようになります。 アラートに対処するのではなく、攻撃を阻止します。
5. 調査とレスポンス
質問:AIは、インシデントを調査し、より効率的に対応するためにどのように役立ちますか?
重要性:レイテンシはハイブリッド攻撃者の味方です。 AI ソリューションでは、自動および手動の対応オプションを使用して、優先順位の高いエンティティに対する攻撃に関するコンテキストを共有することで、アナリストが有利なスタートを切れるようにする必要があります。
人材、プロセス、テクノロジーを含むインシデント対応プロセスがすでに存在します。 AI は、チームが現在取り組んでいるインシデント対応プロセスと統合する必要があります。 適切な AI ソリューションは、独自のインターフェイスまたは既存のツール (できれば両方) 内で調査の開始点とガイダンスを提供するため、必要に応じてインテリジェントなアクションを実行するための完全な攻撃ストーリーを得ることができます。
6. スタック統合
質問:このソリューションは、現在のセキュリティスタックとどのように統合されますか?
重要性:AIシグナルが既存のセキュリティ投資とどのように統合されるかを理解します。既にチームが活動している場所で活用できるのでしょうか?
ベンダーが自社のシグナルの有効性について責任を負うのと同様に、実装プロセスのあらゆる側面を確実にカバーして、可能な限り明確かつシームレスにする責任も負う必要があります。 特に脅威の検知とレスポンスにおいて、AIソリューションは既存のインフラストラクチャにインテリジェンスを提供し、現在の投資を最大限に活用しながら、チームが緊急の脅威に簡単に対応できるようにする必要があります。
7. レッドチームとペンテスト
質問:攻撃シグナルをさらに検証するために、レッドチーム演習や侵入テストサービスを提供していますか?
重要性:AI の有効性を検証するには、現実世界でのテストが不可欠です。 ベンダーの信頼は、製品のパフォーマンスが低下した場合のテスト費用の負担にも及ぶべきです。
脅威検知とレスポンスに使用される AI テクノロジーは、今日のハイブリッド攻撃者が使用する TTP を理解する必要があります。 ソリューションが目的を達成しているかどうかを確認する最良の方法の1つは、一般的な攻撃方法と高度な攻撃方法の両方をエミュレートして、実際のハイブリッド攻撃をシミュレートすることです。 ハイブリッド攻撃のシグナルが正確であればあるほど、SOC アナリストは時間と人材をどこに集中させるべきかを知ることができます。
8. AIの運用
質問:導入、アナリストの経験、投資の観点から何を期待できますか?
重要性:これら 3 つの分野におけるチームの成功とはどのようなものかをベンダーに相談してください。
ツールを使用するチーム メンバーの学習曲線がどのようになるかを理解します。 XDR などの脅威の検知およびレスポンスツールは、複雑すぎるという理由でよく指摘されます。 アナリストは答えを求めて働く必要はなく、むしろその逆であるべきです。 優れたソリューションとは使い込まれるものであるため、SOC ワークフローに適合することを確認してください。これが最終的には優れた投資につながります。
9. 今日のハイブリッドSOCにおけるマネージド・サービス
質問:現在のSOCで、どのようなワークロードをオフロードできますか?
重要性:ガートナーによると、2025年までに、G2000のSOCの90% が、運用ワークロードの少なくとも50%をアウトソーシングすることでハイブリッド モデルを使用することになります。
より多くの SOC アナリストのワークロードが拡大し続ける場合、タスクのどの部分をマネージド サービスに任せることができるでしょうか? AI が高品質の脅威シグナルを生成することで SOC チームのレイテンシとワークロードを削減するのにどのように役立つかについて説明しましたが、そのシグナルにマネージド サービスを追加するオプションがあることで、24 時間 365 日の脅威監視、検知調整、トリアージなどのタスク、またはその他の重要なタスクの負荷を軽減できます。 アナリストの時間を減らしながら、AI やプラットフォームの専門家とのチームを拡大することもできます。
AIはSOCに統合された攻撃シグナルとなるのか?
確かに、ここ数年、AI はあらゆる種類の謳い文句と共に全速力で迫ってきました。多くの場合、遅れをとるわけにはいかないという理由でベンダーがそれに飛びついたものです。 しかし、適切な質問をすることで、単にスタック内の別のツールに過ぎないベンダーや、SOC での遅延、ワークロード、バーンアウトなどのハイブリッド攻撃の課題を防御者が先回りするのに実際に役立つツールになるベンダーからの道を切り開くことができます。 攻撃を阻止するのに役立つ攻撃シグナルを送信するのはベンダーの責任であり、ベンダーとしてもその責任を負うべきなのかもしれません。
統合された攻撃シグナルで提供される高度なAIが、今日の最も困難なハイブリッド・サイバー攻撃をどのように阻止できるかをご覧ください。