セキュリティ・ベンダーは、「人工知能」(AI)や「機械学習」(ML)をあまりにも軽々しく口にするため、多くの実務家にとってその用語は意味を失っている。さらに悪いことに、この分野全体の信用を失墜させるほど過大な約束をするところもある。(完全に自律的な検知とレスポンス を主張したがるベンダーが思い浮かぶ!)。
AIは、セキュリティチームが最新の攻撃を早期に発見し、阻止するのに役立つ非常に強力なツールです。これには、現在最も注目されているランサムウェアやランサムオプス攻撃を阻止する能力も含まれる。
このブログ・シリーズでは、バズワードにとどまらず、AIを活用した脅威検知とレスポンスがもたらす基礎、方法論、そして最も重要な成果を解説する。
流行語を超えて
「AIはBSだが、MLは素晴らしい。」 この感情は珍しいものではない。しかし、この言葉は何を意味し、なぜ、どのように違うのだろうか?
「人工知能」とは1950年代に作られた造語で、人間の思考に近似したシステムを指す。一般的なAIは、人間ができる知的作業を学習できる知的エージェントを指す。2001年宇宙の旅』のHAL9000を思い浮かべてほしい。多くの人がこの定義にすぐに飛びつくが、今日でもほとんど研究所の中にとどまっている。
事実上すべての商用アプリケーションは応用AIであり、特定の問題を解決するものである。例えば、言語の翻訳、自動車の運転、顔の認識、セキュリティ上の脅威の検知などである。セキュリティAIはすべて応用AIである。
AIシステムはさまざまな手法で構築できる。エキスパート・システムと呼ばれる初期のものは、基本的に巨大なCASE文だった。今日、AIを構築するための最も一般的なアプローチは、機械学習である。大量のデータを見て、新たに到着したデータについて予測を行うように学習するアルゴリズムである。
利用可能なアルゴリズムやMLテクニックは多種多様です。どのテクニックが他のテクニックより優れているということはありません。すべては解決しようとする問題と利用可能なデータに依存します。実際、私たちの製品では50以上の異なるML技術を使用しており、それぞれがユーザーのセキュリティ結果を最適化するように選択されています。
教師あり学習技術は、ラベル付けされたデータ上で動作する。猫」と「犬」とラベル付けされた写真群で訓練すれば、まだ見たことのない写真が猫か犬かを判断できる。
教師なし学習技術は、ラベル付けされたデータがない場合に有用であり、必要である。教師なし技術は、ラベル付けができなくても、似たようなものをクラスタリングし、データの構造を見つける。動物の写真を使って訓練すれば、ライオン、シマウマ、クマがクラスタリングされる。
では...Vectra 、なぜ「AI」を使うのか?
すべてのAIはMLではないし、すべてのMLはAIではない。では、線引きはどこにあるのか?あるレベルでは、その区別は無意味だが、本当に重要なのはセキュリティの成果だ。しかし、我々はAIを使うことに傾倒しているので、説明しよう。
私たちのシステムには、セキュリティ研究者やアナリストの専門知識が組み込まれています。システムは彼らのように「考える」のです。これが私たちのセキュリティ主導の方法論の核心です。各検知モデルは、セキュリティ・リサーチャーが問題文(発見する必要のある攻撃手法)を定義することから始まります。そして、攻撃手法を正確に発見するために、データからアルゴリズム、結果に至るまで、モデルを一から特別に設計します。優先順位付けのアルゴリズムを構築する際には、アナリスト・チームがインシデントをレビューする際に行う優先順位付けを再現するように設計されています。
すべてのシステムがこの方法をとっているわけではない。実際、このような方法をとっているベンダーを私たちは他に知りません。費用はかかるし大変だが、顧客にふさわしい結果を提供する最善の方法だと強く感じている。そして私たちはそれを誇りを持って "AI "と呼んでいる。
次回のブログでは、検知方法についてさらに深く掘り下げ、Vectraのユニークなセキュリティ主導のアプローチと、他のベンダーが採用している数学主導の基本的なアノマリー・アプローチを対比してみたい。
その間に、 Vectra AI プラットフォームで私たちのやり方をご覧ください。