このシリーズの最初のブログでは、AI/MLのバズワードをいくつか解読し、なぜVectra 、私たちが誇りを持って「AI」という言葉を採用しているのかを説明しました。今回は、脅威検知とレスポンスにAIを適用する方法論について詳しく見ていこう。具体的には、Vectra が開拓してきたセキュリティ主導のアプローチと、他のベンダーが採用している数学主導のアプローチを対比します。また、Vectra がどのようにデータサイエンスと AI を使用して攻撃者を検知し阻止しているかについては、ホワイトペーパー「Vectraを裏側で支えるAI」で詳しく説明しています。
セキュリティ主導と数学主導の検知
AI/MLを脅威検知に応用するには、主にセキュリティ主導型と数学主導型の2つのアプローチがある。
数学主導のアプローチで基本的な異常を検知
数学主導のアプローチは、データサイエンティストが環境に関する基本的な統計と新規性を生成することから始まる。ある宛先、ドメイン、IPはどの程度一般的なのか、あるいは稀なのか?このIPの典型的な1時間あたりのSMB接続数は?このIPからこのアカウントがログインしたことはあるか?セキュリティ研究者は、これらの統計情報を使って、基本的な異常の要素を持つ何百ものルール(まさにシグネチャ)を構築する。
例えば、コマンド&コントロール(C2)トンネルモデルの中心は、このネットワークにとって新しく、かつレアな(多くのシステムが通信していない)宛先への、一定時間内の複数の接続を探す。接続率、希少性、新規性を変化させ、カバレッジとノイズのバランスを取ろうとするこのようなモデルが数十個存在する可能性がある。
一見すると、これは合理的なアプローチに聞こえる。確かに、その結果、チームが理解し、維持し、調整するためのたくさんの狭いモデルのパッチワークとなる。そして、攻撃者が攻撃先にコンタクトし、数日待つことで破られる可能性がある。さらに、ドメイン・フロンティングのような一般的なテクニックによっても破られる可能性があり、これはレアリティ要件を回避することで検知を回避する。このような制限には悩まされるが、トレードオフとしてはまだ納得できるかもしれない。
しかし、本当の問題は、これだけ多くの制約があるにもかかわらず、これらのモデルが非常にノイジーなままであることだ。さらにフィルターを追加しなければならない。フィルターは盲点に等しい。この分野の有名ベンダーの実際のモデルは、一般的なクラウドにあるすべてのデスティネーションと、モバイル/タブレット、インフラ(ルーター、ファイアウォールなど)、IP電話のようなIoTにあるすべてのソースをフィルタリングします。システムが実行可能な程度にノイズを減らすためには、これらの大規模な死角を追加しなければならない。
それで十分だとは思っていない。
セキュリティ主導のアプローチで攻撃者の手口を発見
セキュリティ主導のアプローチは、物事をひっくり返します。統計から始めるのではなく、解決すべき問題を理解することから始めるのだ。これは、セキュリティ研究者が、MITRE ATT&CKやD3FENDのようなフレームワークに沿って、検知できるようにする必要がある重要な攻撃手法を定義することを意味する。重要なことは、これは特定のツールやエクスプロイトに焦点を当てるのではなく、その根底にある手法に焦点を当てるということである。メソッドは時間の経過とともに非常にゆっくりと変化するため、検知のための安定したアンカーとなる。
攻撃手法が明確に定義されると、セキュリティ・リサーチとデータ・サイエンスが緊密に連携して、正確な検知モデルを構築する。データの評価、データと問題に適したMLアプローチの選択、精度を確保するための継続的な構築、テスト、改良。
セキュリティ主導の手法では、C2トンネルの問題は、トンネル以外のトラフィックの大規模なコーパスとともに、さまざまなことを行うさまざまなツールから得られた数万ものトンネル・トラフィックのサンプルで訓練されたリカレント・ニューラル・ネットワーク(LSTM)で解決される。LSTMニューラルネットワークは、どのようなツールを使用しても、どのようなネットワークにおいても、トンネルが何であるかを実際に学習する(これはディープラーニングである)。暗号化されたトラフィックでも機能し、宛先やソースシステムのタイプに基づく死角はない。
直感に反するかもしれないが、セキュリティ主導の方法論を使うことで、データ・サイエンス・チームは大砲を放つことができるようになる。例えば、トンネルの検知にリカレント・ニューラル・ネットワークを使うようなものだ。一方、数学主導のアプローチは、データ・サイエンティストに最小公倍数を強いることになり、単純で一般的な統計的異常を使用することになる。
セキュリティ主導型では、より多くの領域横断的な専門知識、特別なデータ、より多くの時間、そしてこの種のモデルを高速で実行できる柔軟性を備えたプラットフォームが必要になる。そのため、より優れたセキュリティ成果をもたらすにもかかわらず、多くのベンダーがこのモデルを敬遠している。
なぜ重要なのか
脅威検知の有用性はスピードに尽きる。検知 これは、システムがほぼリアルタイムで動作しなければならないという意味だけでなく(これは重要だが)、システムが有用なものを検知する一方で、オペレーターをノイズに埋もれさせないようにする必要があるという意味でもある。
Vectraその中核となるのは、セキュリティ主導のアプローチによって、重要なものをよりよくカバーする(死角を減らす!)一方で、チームがふるいにかけるアラートの数を大幅に減らすことができることである。
次回のブログでは、現在最も重要なセキュリティ問題であるランサムウェア(正確にはransomOps)について、セキュリティ主導型と数学主導型のカバー範囲の違いを見ていこう。
Vectra 、セキュリティ・ベースのアプローチと競合他社との比較について、さらに理解を深めてください。
また、無料のホワイトペーパー「Vectraを裏側で支えるAI 」をお読みいただき、データサイエンスとAIがいかにサイバー攻撃者に対して防御側の優位性をもたらすかをご確認ください。