以下の記事は、TAGインフォスフィアの創設者兼CEOであるEd Amoroso氏が最近行ったインタビューを基にしています。 Vectra AI の製品担当副社長であるMark Wojtasiakが、今日のハイブリッド攻撃を防御するために組織が適切なAIアプローチを使用する方法について語っています。
Amoroso氏:Vectra AI のように人工知能 (AI) をサイバーセキュリティに適用する深い経験を持つサイバーセキュリティ企業はほとんどありません。 AI を使用してサイバー攻撃を正確に検知し、調査して対応を開始する強力な機能を開発しました。これは、防御力を向上させ、攻撃に対する回復力を向上させようとしている現代の組織のニーズに一致しています。
最近、Vectra AI チームと時間を過ごし、サイバーセキュリティの検知と軽減を高速化するために AI をどのように活用しているか、また顧客が自動化された攻撃に対する防御の非常に重要なコンポーネントとして AI への依存をどのように高めているかについて理解を深めました。
Amoroso氏:Vectra AIの AI 主導のプラットフォーム は、組織のサイバー脅威をリアルタイムで検知して対応する能力をどのように強化しますか?
Wojtasiak:私たちはこれを最も基本的な観点から考えます。 根本的に、組織がサイバー脅威をリアルタイムで検知して対応できるかどうかは、「発見できるのか?阻止できるのか?どれだけ早く発見し、阻止できるのか?」という3つの問いにかかっています。 アタックサーフェスが絶えず拡大し、攻撃者の手法が進化し、新たな脅威が出現し、大量のアラートが発せられる中、従来の脅威の検知と対応方法は過度に手動で複雑で、待ち時間が長くなります。 それに加えて、SOC のリソースとスキルの不足が問題を悪化させていることでしょう。「どれだけ早く発見し、阻止できるのか?」という問いの答えとしては「十分な速さではない」となるでしょう。
現代の企業はハイブリッドであるため、したがってすべての攻撃はハイブリッド攻撃になります。私たちは、現代のハイブリッド企業では、ハイブリッド攻撃が従来の脅威検知とレスポンス のアプローチを非効率的で非効果的なものにしていると主張しています。SOCチームにとって、ハイブリッド攻撃を検知することは、ほぼ不可能です。唯一の方法としては、ハイブリッド攻撃者のように考えることです。今日、私たちはエンドポイント、ネットワーク、アイデンティティ、クラウド、電子メール アプリケーションなど、管理すべき個別の攻撃面があると考えていますが、ハイブリッド攻撃者は 1 つの巨大な統合された攻撃面を見ています。「統合」がキーワードであり、当社のプラットフォームは防御者にハイブリッドアタックサーフェス全体にわたる攻撃の統合ビューをリアルタイムで提供するように設計されています。 これにより、検知、調査、レスポンスプロセスの複雑さと遅延が解消され、SOC アナリストの作業負荷が大幅に軽減されます。
Amoroso氏:ネットワークの動きを分析し、悪意のある振る舞いを特定するために、Vectra AI が採用している具体的なAI技術や方法論について詳しく教えてください。
Wojtasiak:脅威検知のためのVectra AI アプローチは、人間の専門知識と幅広いデータサイエンスおよび高度な機械学習技術を融合させたものです。このモデルは、セキュリティ研究、グローバルおよびローカル学習モデル、ディープラーニング、ニューラルネットワークに基づく攻撃インテリジェンスの継続的なサイクルを提供します。当社のサイバーセキュリティ AI は、振る舞い検知アルゴリズムを使用してキャプチャされたパケットのメタデータを分析し、トラフィックが暗号化されているかどうかに関係なく、隠れた未知の攻撃をリアルタイムで検出します。 当社のAI は、詳細なパケット検査を実行するのではなく、パケットから取得したメタデータのみを分析することで、機密ペイロードを詮索することなくユーザーのプライバシーを保護します。
グローバルな学習は、Vectra AI Threat Labsから始まります。専任のサイバーセキュリティ専門家および脅威リサーチャーは、マルウェア、攻撃ツール、テクニック、手順を継続的に分析して、脅威の状況における新たな変化する傾向を特定します。これらの研究成果は、当社のデータサイエンスモデルに反映されています。 教師あり機械学習を含む、Attack Signal Intelligenceで使用されるデータ サイエンス モデルに情報を提供します。 これは、非常に大量の攻撃トラフィックを分析し、悪意のあるトラフィックを独特なものにする重要な特徴を抽出するために使用されます。
ローカル学習により、企業のネットワーク内で何が正常で何が異常であるかを特定し、攻撃パターンを明らかにします。 使用される主な技術は、教師なし機械学習と異常検知です。 Vectra AI は、データ サイエンティストによる直接の監視なしに、教師なし機械学習モデルを使用して特定の顧客環境について学習します。 Vectra AI は、異常の発見と報告に集中するのではなく、攻撃者がネットワークを探索し、攻撃対象のホストを評価し、盗んだ資格情報を使用している兆候など、攻撃の重要な段階や攻撃手法の指標を探します。
当社のAI主導の優先順位付けエンジンは、数千のイベントとネットワーク特性を 1 つの検知に組み合わせます。 イベント相関やホスト スコアリングなどの技術を使用して、当社の AI はすべての検出イベントを、脅威の振る舞いの兆候を示す特定のホストに関連付けます。 次に、独自の脅威確実性インデックスを使用して、脅威の重大度と確実性の観点から、すべての検知とホストを自動的にスコア付けします。
最後に、攻撃者にとって戦略的価値のあるエンティティに特に焦点を当て、サイバー攻撃のライフサイクルのあらゆるフレーズを通じて各イベントを長期にわたって追跡します。
Amoroso氏:AI主導のサイバーセキュリティ、特に拡張性と進化する脅威への適応性において、Vectra AI の特徴は何ですか?
Wojtasiak:私たちのアプローチです。10年前、私たちはサイバーセキュリティのための応用AIの5つの基本原則に基づいた方法論を作りました。
1. 正しい問題提起から始める
2.正確なデータ
3. MLエンジニアリングのコンピテンシーを構築する
4.プラットフォームでMLのイノベーションを解き放つ
5.継続的な検証と改善
私たちの方法論は、セキュリティ研究、ML エンジニアリング (データ サイエンスとエンジニアリングを組み合わせたもの)、そして UX の統合に根ざしており、AI を使用してデータ内の攻撃シグナルを迅速かつ大規模に検知するという 1 つの使命に焦点を当てています。 当社は、ニューラル ネットワーク、教師あり ML、教師なし ML、新規性検出にわたる 150 を超えるモデル、MITRE D3FEND の 12 件のリファレンス (他のどのベンダーよりも多い)、および両方の AI検知を継続的に検証および改善している 1,500 を超える顧客で構成されるネットワーク効果を備えています。 既存の攻撃者のテクニックと私たちが発見した新しいテクニック。 MITRE ATT&CK で公開される前に新しい攻撃者の手法を特定し、検知を開発したケースもあります。これは、弊社のお客様が検知エンジニアリング作業を行わずに新しい攻撃手法を継続的にカバーできることを意味します。
Amoroso氏:Vectra AI は、AIを活用した脅威検知アルゴリズムにおいて、どのようにして誤検知や誤否定を最小限に抑えているのでしょうか?
Wojtasiak:私たちは、いわゆるハイブリッド攻撃をリアルタイムで検知して対応できるのは AI だけだと考えています。 AI は、SOC チームが必要とするもの、つまり統合された正確なハイブリッド攻撃信シグナルを高速かつ大規模に提供する唯一の方法です。 これをAttack Signal Intelligence と呼んでおり、AI を使用して、ネットワーク、アイデンティティ、クラウド、SaaS アプリケーションにまたがる 1 日に何千件もの検知イベントを分析、優先順位付け、相関付けします。 当社の AI プラットフォームは、個々の脅威イベントに対して数千件のアラートを配信するのではなく、攻撃を受けている優先順位の高いエンティティ (ホストとアカウントの両方) に対して 1 日あたり 1 桁のアラートを配信します。
最も基本的な言葉で言えば、当社の AI は、SOC アナリストがモニターの前に座って毎日答えなければならない 3 つの質問に答えます。「この脅威は本物か?気にすべきか? そしてそれはどれくらい緊急か? 」言い換えれば、それは私の時間と才能に見合う価値があるかということです。 当社の顧客の 1 人は、「Vectra AI プラットフォームは、当社のエンジニアやアナリストが日々のあいまいさを取り除き、重要なことに集中できるように支援します」と最高の表現で述べています。
やり方は簡単です。 事前に構築された動作ベースのドメイン固有の AI 検知を活用して、未知の攻撃を認識します。 AI を使用して脅威イベントの相関関係を統合および自動化し、検出エンジニアリングの遅延を排除します。 そして最も重要なことは、AI を使用してアナリストのエクスペリエンスをイベント中心の脅威検知からエンティティ中心のシグナルの優先順位付けに移行することで、ノイズと作業負荷を削減し、既存の SOC 人材の価値を最大化することです。
Amoroso氏:今後、サイバーセキュリティ防衛においてAIはどのような役割を果たすとお考えですか。また、Vectra AI 、この継続的な進化をリードするためにどのような位置づけにあるのでしょうか。
Wojtasiak:先ほど申し上げたように、現在、ハイブリッド攻撃をリアルタイムで検知し対応することはAIでしかできません。私たちは将来、完全にAI主導のSOCになると考えています。進化の第一段階は、攻撃者の新たな振る舞いの特定から、攻撃キャンペーンの初期段階でのエンティティの検知と優先順位付けまで、プロアクティブな防御のための応用AIの活用です。当社のAI/MLアプローチであるAttack Signal Intelligenceとエンティティ中心の優先順位付けエンジンは、この動きの最前線にあると確信しています。
AI 主導の SOC のフェーズ 2 は、脅威の調査と対応に関連する規範的防御に生成 AI を使用することになると考えています。 SOC アナリストが調査の作業負荷を軽減し、調査時間を短縮できるよう、ベンダーの導入と LLM の使用によって、このようなことがすでに起こっていることがわかります。 潜在的には、AI がさらに一歩進んで、攻撃を封じ込めたり隔離したりするための適切な対応アクションを処方したり、実行したりできる可能性があります。 Vectra AI は、最も統合された正確な攻撃シグナルを配信することに何よりも重点を置くことを選択しました。 私たちは、攻撃シグナルが正確であればあるほど、効果的な調査とレスポンスのために LLM を適用する必要性が高まると主張します。
私は、SOC の進化の第 3 段階は予測防御のための AI であると考えています。 攻撃者の振る舞いに対する当社の理解、つまり当社のアプローチと組み合わせたAttack Signal Intelligence、および 1,500 社を超える企業顧客から享受しているネットワーク効果を考慮すると、Vectra AI は予測 AI 主導の防御をリードし、革新するのに有利な立場にあります。
TAGとVectra AIの無料レポート (英語) のダウンロードはこちら:Tag Security Annual 2023: Special Reprint Edition