.jpg)
セキュリティアナリストに、その職務における最大のペインポイントを尋ねると、間違いなくさまざまな答えが返ってくるだろう。 その中でほぼ間違いなく共通するのは、アラート疲れへの対処という課題です。 この分野の課題は、3つのアナリストのペインポイントに集約されることが分かっています:
- 「1日のうちで、この警戒態勢に対応できる時間はない。
- "偽陽性と真陽性の区別がつかないため、時間を効率的に使うことができない"
- 「シグナルがレガシーソリューションのノイズに埋もれてしまい、本当の攻撃を見逃してしまうのではないかと心配している。
レガシー・セキュリティソリューションに見られるペインポイントには多くの理由があるが、その大部分は以下の点に集約される:
- 単純な条件と異常の照合では、誤検知が発生する。
- ネットワーク上のコンテキストの手がかりを活用して有効性を高めることができない。
- 検知することだけに集中し、分析者が実際に注意を払う必要のあることに集中できるように、検知結果を効率的に整理する方法には目を向けない。
セキュリティアナリストのためのより良い方法:
Vectra AIは創業当初から、最新のネットワークから得られるコンテキストをアルゴリズムに活用することで、誤検知の可能性を排除する検出機能を構築してきました。従来のネットワークセキュリティ製品が、コンテキストなしでパターンや統計的異常のみを探すのに対し、Vectra AIは、セキュリティアナリストのようにネットワークのコンテキストを活用し、異常を特定する検出機能を設計しています。
例えば、当社の「Smash and Grab」型データ流出検知機能は、サブネットごとにどのようなデータ移動が正常であるかを学習し、お客様の環境内でアクセスが多いサイトを考慮に入れ、暗号化された通信経路であっても、異常なアウトバウンドデータフローを検知します。Vectra AI ホストやアカウント単位で検知結果を相互に関連付け、典型的なパターンを学習して各オブジェクトを特定し、分析担当者が即座にアクションを起こせるよう、優先順位を付けたリストとして検知結果を提示します。 これにより、単に検知結果を生成し、その意味を分析者に判断させるだけの競合Vectra AI の運用にかかる労力が劇的に軽減されます。
しかし、真陽性(True Positive)の扱いに関しては、依然として完全に納得のいくものではなかった。というのも、すべての真陽性が悪意のあるものとは限らないからだ。システムの判定通りに行動しているアクティビティを確実に検知することもあるが、そのイベントが発生している文脈においては、悪意のある真陽性ではなく、無害な真陽性である可能性もある。例えば、一部のアンチウイルス製品では、AVベンダーへのDNSルックアップの中にファイルハッシュの照会を組み込んでいる。 この動作は、DNSペイロード内にデータをエンコードするコマンド&コントロール(C&C)チャネルと非常によく似て見えます。実際、まさにそれだからです。 しかし、これは真のDNSトンネルである一方で、悪意のあるものではなく、むしろ無害であるという事実に変わりはありません。当社の哲学は、攻撃者の行動や手法に関するこうした高品質な検知情報を可視化しつつ、ホストまたはアカウントレベルでの信頼性が高く、相関関係のある検知のみを優先してユーザーに通知することで、バランスを取るというものです。
そこで私たちは考えました。世界トップクラスの機械学習/AIアルゴリズムを支える技術の一部を応用し、悪意のある真陽性と無害な真陽性を区別する方法はないだろうか、と。その目的は、お客様が無害な真陽性を分析する必要性を大幅に減らし、一方で悪意のある真陽性については直ちに対応できるよう優先順位をつけることでした。こうして「AIトリアージ」が誕生したのです。
検知ルールの作成プロセスと同様に、まず実世界のアナリストがこれらの問題を解決するために用いる手法を分析し、AIによる優先順位付け機能を追加しました。その後、信頼度の高いシナリオの解決を自動化できるよう、ML/AIシステムを学習させました。
AIトリアージの仕組み
Vectra AI 組み込まれたAIトリアージ機能は、システム内のすべてのアクティブな検知結果を自動的に分析し、個々の検知結果のコンテキストや検知結果間の共通点を活用することで、顧客に代わって自動的にトリアージできる無害な真陽性事例を特定します。 例えば、少なくとも14日間にわたり、他の侵害の兆候がない状態で、数十のエンドポイントすべてが同じ宛先への同一の「隠されたHTTPSトンネル」検出を生成している場合、これを良性の真陽性であると確信を持って特定できます。その後、AI-triageはアナリストの貴重な時間を割くことなく、顧客に代わって自動的にトリアージルールを作成します。 アナリストがこれを確認したい場合でも、そのアクティビティはプラットフォーム内で引き続き確認可能ですが、アナリストによる対応は不要であり、ホストやアカウントのスコアにも影響を与えません。
AIによるトリアージにより、アナリストが調査する必要があった事象の総数が80%以上削減されることが確認されています。つまり、アナリストは、アナリストの対応が必要な事象に注力する時間をより多く確保できるようになります。
ワンクリック・デプロイメント
AI-triageがもたらすメリットをすべてご理解いただいたところで、その機能をたった1回のクリックで有効化できることをお伝えできて幸いです。AI-triageは、お客様による調整や管理を一切必要としません。「設定」→「AI-triage」と進み、機能を有効にするだけで、AI-triageがバックグラウンドで動作を開始し、信頼度の高い良性の真陽性検出を特定して、自動的に選別を行います。
リリースから30日間で、すでに半数以上の顧客がAIトリアージ機能を有効にしました。大多数の顧客において、無害な誤検知が大幅に減少しています。しかし、これはセキュリティアナリストの業務効率化に向けた取り組みの始まりに過ぎません。今後のリリースでは、AIトリアージの機能を拡張し、新たなシナリオや当社ポートフォリオ内の他の製品にも対応していく予定です。
AIトリアージの詳細については、KBの記事「AIトリアージの詳細」をご覧ください: https://support.vectra.ai/s/article/KB-VS-1582
VectraのワールドクラスのML/AI検知の詳細については、https://support.vectra.ai/s/article/KB-VS-1285 をチェック。