72%のセキュリティ担当者は、「侵入されたかもしれないが、それを知らない」と考えている。言い方を変えれば、セキュリティチームの4分の3近くが、自分たちが今どこで侵害されているのか分かっていないということだ。 私たちはこれを「未知の脅威」と呼んでいるが、サービス、ストレージ、アプリケーション、アイデンティティのハイブリッド化 (クラウド) が急速に進んでいることから、この2、3年でその勢いは増している。クラウド、アカウント乗っ取り、サプライチェーンへの攻撃など、未知の脅威は、組織内部への侵入や横方向への移動の方法が単純に多くなっています。これが、未知の脅威が今日最大のサイバーセキュリティリスクであると考える理由です。
IBMの「2022年データ侵害のコスト」レポートでは、半数近く(45%)がクラウドベースでした。また、ベライゾンの2022年データ侵害調査報告書では、侵害の約半数が盗まれた認証情報に起因していることが判明している。さらに、ベライゾンは、サプライチェーンを攻撃するAPTがシステム侵入インシデントの62%を占めていることを明らかにした。
では、なぜ組織は未知の脅威にさらされやすいのだろうか?私たちは、それは3つのことに集約されると考えている。この3つのことの中心にあるのは、"より多く "でより多くに対処しようとする悪循環のスパイラルである。
- 攻撃対象が増えるということは、ツールが増えるということであり、それは複雑さを意味する。
- 回避的な攻撃者が増えるということは、ルールが増えるということであり、それはアラートとチューニングが増えることを意味する。
- チューニングとメンテナンスをしなければならないアラート・ルールが増えるということは、アナリストが増え、仕事が増え、燃え尽き症候群になることを意味する。
がっかりさせられるのは、セキュリティ業界がより多くのものでより多くのものと戦おうとし続けていることだ。しかし、それが解決策にならないことは明らかだ。未知を助長するのだ。 セキュリティリーダーが直面する自信の問題の原因は、「より多く」にあるのだ。
"もっと "のスパイラルからの脱却
2つの要因が "もっと "のスパイラルに拍車をかけている。
1つ目は、セキュリティ業界の構造的な問題である。脅威検知とレスポンスのためのポイント製品が多すぎるのだ。これに対する唯一の現実的な解決策は、アタックサーフェスを広くカバーし、ネイティブに統一して簡素化できる脅威検知とレスポンスプラットフォームである。これについては、今後のブログ[XDR]で詳しく説明する予定である。
2つ目は、現在でも一般的な検知ツールが検知に使用する言語、特にIDSとSIEMである。これは、C2ドメイン、ファイルハッシュ、悪意のあるプロセス名、レジストリキー、パケット内の正規表現など、既知のIoCについて迅速に通信し、発見するための脅威インテリジェンス機能の構築に数十年にわたって注力してきたことに起因する。検知ルール言語は、当然のことながら、これらの既知のIoCを検知するように最適化されています。
今日、状況は変わり、こうしたアプローチでは追いつけなくなっている:
- 現代の脅威は動きが速すぎるため、防御者は常に最新の脆弱性やドメインを追い求めることになる。
- 最新の攻撃手法は、シグネチャや単純なルールによる特徴付けを拒む。
- 現代の回避的な脅威は防御を回避し、何カ月も発見されない。
一つの簡単な例は、盗んだ管理者クレデンシャルを使ってWindows管理者プロトコルで横移動している攻撃者を見つけることだ。適切なデータがあれば、リモートでコードを実行するために使われるWindows管理者ツールで管理者クレデンシャルが使われるたびに、ルールとシグネチャが教えてくれる。潜在的な攻撃活動は、自分の仕事をしているすべての管理者のアラートに埋もれてしまうだろう。今、このルールを調整する試みが始まり、そして終わることはないだろう-ルールは効果的かもしれないし、そうでないかもしれない。これは盲点を増やし、燃え尽きさせるレシピだ。未知の妥協が勝つためのレシピだ。
優れたML/AIモデルは、この悪循環から抜け出す唯一の方法である。
10年以上にわたり、Vectra 、未知のものを消し去り、より多くのものでそれを行うのではなく、より少ないものでそれを行うことを中心に、セキュリティAIの研究、特許取得、開発、開拓を行ってきた。Vectra セキュリティAIの大前提は、より多くのデータを収集することではなく、適切なデータを適切な方法で収集・分析することに重点を置いている。
適切なデータを収集し、適切な方法で分析することで、セキュリティチームは、より少ないツール、より少ない作業、より短い時間で、より多くのことを行うことができます。Vectra 私たちは、未知の脅威を排除するためには、AI/MLがセキュリティチームを3つの単純なことを効果的かつ効率的に実行できるようにするべきだと考えています:
- 攻撃者のように考えることで、シグネチャやアノマリーを超えて攻撃者の行動を理解し、サイバーキルチェーン全体にわたる攻撃者のTTPをゼロにする。
- お客様の環境に固有の検知パターンを分析することで、関連するイベントを浮き彫りにし、ノイズを減らすことで、何が悪意あるものかを知ることができます。
- アナリストが重要な脅威への対応に集中し、ビジネスリスクを低減できるように、脅威の深刻度と影響度別に表示することで、緊急性に焦点を当てます。
入るAttack Signal Intelligence
安全保障に必要なのは、"もっと "である。Attack Signal Intelligence
Attack Signal Intelligence スレット・インテリジェンスは、既知のものに対する脅威インテリジェンスと同じように、未知のものに対するものです。セキュリティチームに何が違うかを伝えるために単純な異常を探す他の「AI」アプローチとは異なり、Vectra「Attack Signal Intelligence 」はセキュリティチームに何が重要かを伝える。
これは、攻撃者のTTP(MITRE ATT&CKを想定)を理解し、貴社独自の環境を学習できるようにプログラムされた一連のモデルで、攻撃者の手法が使用されていないか継続的に監視することで実現します。そして、その結果を別のAIレイヤーで実行します。このAIレイヤーでは、お客様の環境を総合的に理解し、脅威モデルと人間の脅威インテリジェンスを組み合わせて、お客様のビジネスにとって最も重要な脅威を自動的に検知します。その結果、お客様は実際の脅威を特定する効率が85%向上し、セキュリティ運用の生産性が2倍以上向上しました。
脅威インテリジェンスが既知の脅威を軽減する自信をセキュリティに与えるとすれば、攻撃シグナルインテリジェンスは未知の脅威を軽減する自信をセキュリティに与えます。Vectra特許取得済みのAttack Signal Intelligence を活用することで、セキュリティチームは未知のものを消し去り、攻撃者の立場を逆転させ、世界をより安全で公平な場所にすることができます。
それが私たちのコミットメントだ。
私たちがどのように使命を果たしているかについては、以下の資料をご覧ください:
- Vectra セキュリティAI主導のAttack Signal Intelligence :その仕組み
- Vectra Attack Signal Intelligence ソリューション概要
- Vectra 脅威検知とレスポンスプラットフォーム
- ホワイトペーパーVectraを裏側で支えるAI