このブログはLinkedInに掲載されたものです。
セキュリティ業界では、異常検知をサイバー攻撃の万能薬として売り込むベンダーが横行している。これは大きな誤解を招く。
問題は、異常検知が一般化しすぎていることだ:正常な行動はすべて善であり、異常な行動はすべて悪である。異常検知では、ユーザーの行動と攻撃者の行動は根本的に異なるにもかかわらず、その区別は曖昧である。
考えてみてほしい:海外旅行中にメールを読んだり、午前3時に目が覚めてからログインしたり、スタートアップ・プロジェクトのために新しいファイルをダウンロードしたり。時には、このような善意の行動が不審に映ることもある。
同時に、洗練されたサイバー攻撃者は、一般的な慣行を模倣し、通常の行動に紛れ込むことに長けている。その結果、異常検知ベンダーは、攻撃者を特定して暴露するよりも、少し慣れない方法で仕事をしている善良な従業員にフラグを立てる可能性が高くなる。
偽陽性と言えるか?
異常検知を法執行機関のストップ・アンド・フリスクに例えることができる。例えば、2015年当時、ニューヨーク市では不審者に対するストップ・アンド・フリスクの99.5%が銃を発見していない。何万回もの捜索で、武器はほんの一握りだった。
ある観察を言い換えれば、ストップ・アンド・フリスクは、資源集約的で非効率的であることによって、その不正確さを補っている。しかし、ストップ・アンド・フリスクと、人物の熱画像を目立たないように瞬時に検知するT-ray検知を対比してみてほしい。武器を隠し持っている場合、T-rayは温かい体とは対照的に冷たい銃の形を映し出す。
例えをまとめると、異常検知は人種プロファイリングに相当するサイバーセキュリティを採用し、一般的に異なるものにフラグを立てる。
Vectra一方、T-レイは、AIを使って、過度に一般的で誤解を招きやすい異常行動と、攻撃者の行動の顕著で非常に具体的な識別子を区別する。
異常検知ベンダーは、サイバーセキュリティアナリストが疑わしいイベントを、本物かどうかにかかわらず、すべて精査することを要求する。このアプローチは、「煙あれば火あり」の対極にある。異常な行動に関しては、火のないところに大量の煙が立ちこめ、セキュリティアナリストは、あらゆるさざ波を追いかけなければならず、時間とコストを浪費して、真の脅威を見過ごしたまま、あらゆる偽の手がかりを追いかけなければならない。
誰がそんなことをする時間とお金を持っているだろうか?そしてもっと重要なことは、誰がそんな欠陥だらけのアプローチで知的財産や会社の評判を危険にさらしたいと思うだろうか?
インサイド・ジョブ
内部脅威を示す指標も、同様に誤解を招く可能性がある。たしかに、エドワード・スノーデンによる機密情報漏洩のように、異常な行動を特徴とする有名なハッキングもあった。しかし、インサイダー攻撃の大半は、通常の行動に紛れ込み、甚大な被害が発生してから初めて発見されたために成功したものである。
ウェルズ・ファーゴの不正口座スキャンダルでは、従業員たちは自分たちの仕事をこなしているように見えたが、結果的には少し「うまくやりすぎ」ていた。彼らは標準的なプロセスを知り、使用していた。クレデンシャルを適切に使用した。アクセスや権限を踏み外さなかった。
高度なサイバー攻撃も同じように振る舞う。セキュリティチームが一般的な異常ではなく、攻撃者の行動を探すことに集中しない限り、これらの攻撃に先んじる現実的なチャンスはない。
そしてそれこそが、一般化された異常検知の "醜い "真実なのだ。