セキュリティアナリストに、その職務における最大のペインポイントを尋ねると、間違いなくさまざまな答えが返ってくるだろう。 その中でほぼ間違いなく共通するのは、アラート疲れへの対処という課題です。 この分野の課題は、3つのアナリストのペインポイントに集約されることが分かっています:
- 「1日のうちで、この警戒態勢に対応できる時間はない。
- "偽陽性と真陽性の区別がつかないため、時間を効率的に使うことができない"
- 「シグナルがレガシーソリューションのノイズに埋もれてしまい、本当の攻撃を見逃してしまうのではないかと心配している。
レガシー・セキュリティソリューションに見られるペインポイントには多くの理由があるが、その大部分は以下の点に集約される:
- 単純化された条件/異常のマッチングは、偽陽性を生み出す。
- ネットワーク上のコンテキストの手がかりを活用して有効性を高めることができない。
- 検知することだけに集中し、分析者が実際に注意を払う必要のあることに集中できるように、検知結果を効率的に整理する方法には目を向けない。
セキュリティアナリストのためのより良い方法:
Vectra は設立当初から、ネットワークからのコンテキストをアルゴリズムに与えることで、誤検知の可能性を排除する検知機能を構築してきました。 従来のネットワーク・セキュリティ製品が、単にパターンや統計的な異常をコンテキストなしで探すのに対し、Vectra は、ネットワークからのコンテキストを活用し、セキュリティアナリストが行うように異常を特定するように検知を設計しています。
例えば、当社のSmash and Grab Exfil検知は、サブネット単位でどのようなデータ移動が正常であるかを学習し、お客様の環境で人気のあるサイトを考慮し、暗号化されたチャネルであってもデータの異常なアウトバウンドフローを探します。Vectra 、さらにホストとアカウントのエンティティ間で検知を相関させ、アーキタイプを学習し、各オブジェクトを識別し、実行可能なスタックランク方式でアナリストのために検知の優先順位を付けます。 これは、単に検知を生成し、その意味を見分けるのをアナリストに任せている競合他社に比べ、Vectra の操作にかかる労力を劇的に簡素化します。
しかし、トゥルー・ポジティブの扱いについては、まだ完全に満足していない部分があった。 トゥルーポジティブのすべてが悪意があるわけではないからだ。また、システムが言うとおりの動作をするアクティビティを確実に検知することもあります。イベントが発生しているコンテキストでは、悪意のあるTrue Positiveではなく、良性のTrue Positiveかもしれません。 例えば、アンチウイルス製品の中には、AVベンダへのDNSルックアップの中にファイルハッシュルックアップを埋め込むものがある。 この動作は、DNSペイロード内にデータをエンコードするコマンド&コントロール・チャネルによく似ているかもしれません。 しかし、これは真のDNSトンネルでありながら、悪意はなく、むしろ良性であるという事実は変わりません。 私たちの哲学は、攻撃者の行動や手法に関するこのような質の高い検知を可視化する一方で、信頼性が高く、相関性のある、ホストまたはアカウントレベルでの検知のみを優先的にユーザーに知らせ、注意を喚起することでバランスをとるというものです。
このことから私たちは考えました。私たちが世界クラスのML/AIアルゴリズムに使用しているのと同じテクニックのいくつかを、悪意のあるTrue Positiveと良性のTrue Positiveを区別するのに役立てる方法はないだろうか? 目標は、お客様が良性のTrue Positivesを分析する必要性をほぼなくす一方で、悪性のTrue Positivesに優先順位をつけてすぐに対応できるようにすることでした。 こうしてAIトリアージが誕生しました。
検知結果の作成プロセスと同様に、私たちはまず、実際のアナリストがこれらの問題を解決するために適用している手法を分析することで、AIトリアージ機能を追加しました。 そして、最も信頼性の高いシナリオの解決を自動化するために、ML/AIシステムをトレーニングしました。
AIトリアージの仕組み
Vectra プラットフォームに内在する AI トリアージ機能は、システム内のすべてのアクティブな検知を 自動的に分析し、個々の検知のコンテキストや検知間の共通点を活用して、お客様に代わって自動的 にトリアージできる良性検知のインスタンスを探します。 例えば、少なくとも 14 日間、他の侵害のインジケータを使用せずに、同じ宛先への同じ隠された HTTPS トンネルの検知を数十のエンドポイントがすべて生成している場合、私たちはこれを良性のトゥルーポジティブと確信を持って識別できます。 その後、AI-Triage は顧客に代わって自動的にトリアージ・ルールを作成し、アナリストの貴重な時間を必要としません。 アナリストがこれを確認したい場合、そのアクティビティはプラットフォーム内で利用可能ですが、アナリストのアクションを必要とせず、ホストやアカウントのスコアに影響を与えません。
私たちは当初、C2およびExfilベースの検知に対するAI-Triageのサポートを導入しましたが、今度のリリースでは、この素晴らしいフレームワークを基に、Lateralベースの検知にもAI-Triageを拡張します。 私たちは、AI-Triageによって、アナリストが調査する必要がある検知全体の80%以上が削減されることを確認しています。これは、アナリストの注意が必要なイベントに集中する時間を増やすことができることを意味します。
ワンクリック・デプロイメント
AI-Triageが提供するすべての利点がお分かりいただけたところで、ワンクリックで機能を有効化できることをお喜びいただけるでしょう。 AI-Triageは、お客様によるチューニングや管理は一切必要ありません。 設定]->[AI-トリアージ]を選択し、機能を有効にするだけです。この時点で、AI-トリアージはバックグラウンドで実行を開始し、信頼性の高い良性の真陽性検知を識別し、お客様に代わってトリアージを行います。
リリースから30日間で、すでに半数以上のお客様がAIトリアージをオンにしています。大半のお客様において、良性の真陽性は大幅に減少しています。 しかし、これはセキュリティアナリストをより効率的にするための私たちの旅の始まりに過ぎません。 今後のリリースでは、AI-Triageの機能を拡張し、新たなシナリオや他の製品もカバーする予定です。
AIトリアージの詳細については、KBの記事「AIトリアージの詳細」をご覧ください: https://support.vectra.ai/s/article/KB-VS-1582
VectraのワールドクラスのML/AI検知の詳細については、https://support.vectra.ai/s/article/KB-VS-1285 をチェック。