このギャップの中で、攻撃者は従来の防御ベースのセキュリティ製品に対して大きな優位性を持っている。今日、防御ツールや技術は広く使用されているが、サイバー犯罪者は複雑かつインテリジェントに構築された攻撃手法を使用することで、日常的にこれらを凌駕している。
サイバー攻撃はもはや、あらかじめプログラムされたmalware 。高度に熟練した、創造的で知的な人間によって制御されている。継続的な連携により、人間の攻撃者は標的のネットワークについて徐々に学び、あらゆる防御策に適応し、時間をかけて攻撃を進めることができる。
攻撃は進化的に複雑さを増しているが、セキュリティ防御はそうではない。既知の脅威の高速パターンマッチング・シグネチャやmalware を使用して脅威を見つけようとする防御は圧倒されている。
脅威がよりインテリジェントになり、時間の経過とともに高度に進化するにつれ、従来のセキュリティは、不完全な情報に基づいて即座に判断することに依存したままである。
従来のセキュリティは、不完全な情報に基づく即断即決に依存していた。
今日、この不均衡は攻撃者に大きな優位性を与えている。この状況を打開するためには、組織はセキュリティに対してよりインテリジェントなアプローチをとる必要がある。
この論文では、過去から学んだことや地域の状況に基づいて脅威を特定し、時間の経過とともに出来事をつなげて攻撃の進行を明らかにする新しい手法の要件を示す。
セキュリティ防御は、より多くのシグネチャを使用し、より高速に配信することで、歩調を合わせようとしてきた。シグネチャは従来のセキュリティ技術の基盤であり、エクスプロイトや悪意のあるURL、既知のmalware を識別するために書かれている。
シグネチャは既知の脅威を迅速に特定し、大規模にブロックすることができる。しかし、その弱点は本質的に還元的であることです。つまり、アプリケーション・トラフィックの流れを遅くしないように、マイクロ秒以内にイエスかノーかの答えを出すために、既知の脅威を最も単純なフィンガープリントに還元してしまうのです。
このような即効性のある単純な答えへの還元的な焦点は、適応を厭わない攻撃者にとって有利な状況を作り出している。シグネチャは既知の脅威をフィンガープリントすることによってのみ機能し、攻撃者は新しい未知の脅威を使用することによってシグネチャを回避することを学んだ。
2015 Verizon Data Breach Investigation Report(2015年ベライゾン・データ侵害調査報告書)は、この傾向を如実に示しており、データ侵害で使用されたmalware の70-90%は、感染した組織に固有のものであったことを示している。
つまり、すべての組織が自組織を保護するために独自のシグネチャ・セットを必要とすることになる。しかし、攻撃者が未知の脅威、つまりゼロデイの脅威を使用する場合、検知 、シグネチャは存在しない可能性がある。シグネチャを回避することの重要性と容易さは、攻撃者にも失われていない。
攻撃者はシグネチャの先を行くことができるが、真に逆転したのは継続的な攻撃の持続性である。いったん組織の外側の防御が侵害されると、攻撃者はネットワークに紛れ込み、徐々にスパイ活動を行い、盗んだり破壊したりする価値の高い資産を見つけるまで、より深く拡散することができる。
このプロセスには通常、複数の侵害されたホスト、さまざまなツールとmalware 、有効なユーザー認証情報の窃取と悪用が含まれる。重要な点は、攻撃者がその活動を進化させ、時間の経過とともに適応していく一方で、脅威そのものは進行中であるということです。
攻撃者がその活動を進化させ、時間の経過とともに適応していく一方で、脅威そのものは進行している。
原子レベルで脅威を識別するシグネチャーの還元的な性質は、脅威の周囲で起こっているより複雑な化学反応を認識するのには特に適していない。このインテリジェンス・ギャップこそが、脅威検知のための新しいセキュリティ・モデルが極めて重要な理由である。
最新かつ最先端の脅威検知モデルは、従来のセキュリティ・テクノロジーのギャップを単に埋めるだけではない。それは、攻撃者があまりにも長い間享受してきた戦略的優位性をつぶすものである。
攻撃者が新しいドメインに移動したり、既知のmalware に数ビットを追加したりして適応し、シグネチャが一致しなくなると、従来のシグネチャを使用した検知は時代遅れになる。これにより、攻撃者は、最も些細な変更でさえも防御者の数歩先を行くという先行者利益を得ることができる。
新しい脅威検知モデルの中核的な目標の1つは、長期間にわたって有効な検知結果を提供することである。そのためには、脅威の個々のインスタンスをフィンガープリントすることから、すべての脅威に共通する基本的な攻撃特性を認識することへとシフトする必要がある。
パケットレベルのトラフィックに適用すると、データサイエンスと機械学習は、脅威と通常のトラフィックを区別する基本的な特性を特定するための非常に強力なツールとなります。
従来の検知モデルは、エクスプロイトコードのスニペット、malware の既知のサンプル、または悪意のあるドメインを見つけようとします。これは、常に無限の悪意のある発生を発見し、フィンガープリントを作成するという難解な仕事につながります。この作業に終わりはなく、攻撃者は常に新しいエクスプロイトを使用して一歩先を進んでいます。
このサイクルを断ち切るために、新しい脅威検知モデルは、ありとあらゆる悪事を挙げることから、攻撃行動やアクションのユニークな指標を特定することに焦点を移す。
言い換えれば、その目的は、あるものが何であるかを特定することから、そのものが何をするのかを特定することへと移行する。攻撃者は、malware に少し変更を加えたり、新しいドメインを購入したりすることで、脅威を隠すことができるが、攻撃の行動と目的は常に同じである。
例えば、事実上すべての攻撃は、悪意のある行為者が攻撃を調整し管理するために、何らかの形で隠れた通信を確立する必要がある。また、攻撃は内部で拡散し、より多くの内部デバイスや認証情報を侵害し、最終的に資産を破壊するか、ネットワークからそれらを流出させる必要がある。
事実上すべての攻撃は、攻撃を調整し管理するために、何らかの形で隠れた通信手段を確立しなければならない。
攻撃行動に焦点を当てることで、防御側はセキュリティの計算を自分たちに有利な方向にシフトさせることができ、非対称なサイバーセキュリティ戦争に勝利することができる。何千ものシグネチャを使用して脅威のすべての亜種を見つける代わりに、攻撃者が成功するために実行しなければならない数十の主要な行動に焦点を当てることができます。
現代のネットワーク・データ侵害の最も顕著な特徴の1つは、時間とともに進化するということだ。このロー&スロー・アプローチは、洗練された攻撃の標準的な操作手順となっているが、それには理由がある。従来のセキュリティは、短期記憶と侵害後の完全な記憶喪失に悩まされていた。
従来のセキュリティは、短期記憶と侵害後の完全記憶喪失に苦しんでいた。
新しい脅威検知モデルは、脅威をリアルタイムで認識し、時間とともに進化する攻撃の兆候を特定する。一方が他方を排除するわけではない。例えば、ネットワーク・セッション内の小さなタイミングの異常やケイデンスは、攻撃者が使用する隠れたトンネルやリモート・アクセス・ツールを明らかにすることができる。
逆に、従業員の認証情報が侵害されたことを認識するには、数日、数週間、数カ月にわたるユーザーの通常の行動を学習する必要があるかもしれない。時間スケールは非常に小さい場合も非常に長い場合もあるが、どちらの場合も時間との関係で脅威を鋭く理解する必要がある。
価値を提供するためには、セキュリティは単にアラートのリストを提供するだけでなく、組織にとっての真のビジネス・リスクを特定しなければならない。そのためには、個々のイベントがどのように相互に関連し、それらの脅威が組織の資産に与える影響を理解するセキュリティ・ソリューションが必要となる。
そのためには、脅威のコンテキストと組織のコンテキストを組み合わせる必要がある。攻撃のフェーズを点と点で結ぶ能力こそが、標的型攻撃と日常的にネットワークに氾濫するコモディティな脅威の流れを区別するものである。
これらの要件を満たすために、データサイエンスと機械学習技術をネットワーク・トラフィックに直接適用することができる。最新の脅威検知モデルは、この2つを利用して、ネットワーク内部の隠れた攻撃をプロアクティブに発見します。
データ・サイエンスと機械学習は、業界におけるバズワードとなり、無限の主張と応用があるように見える。これらは単なるツールであり、あらゆるセキュリティ問題を解決する万能薬ではないことを理解することが重要である。
マーケティングの誇大広告を避けるためには、これらのアプローチが何をもたらすのか、他のアプローチとどう違うのか、そしてそれらがもたらす長所と短所を正確に理解することが不可欠である。
データサイエンスは、セキュリティにおける根本的な転換を意味する。脅威と対策を1対1で対応させるシグネチャ・ベースのアプローチとは異なり、データ・サイエンスは過去に観測されたすべての脅威の集合的な学習を用いて、これまでに見られなかった新たな脅威をプロアクティブに特定する。
生徒が学校で新しい科目を学ぶようなものだ。テストの答えを丸暗記すれば合格点を取れるかもしれないが、問題の解き方を学ぶとなると、このやり方は的外れだ。
長期的には、何を、いつ、なぜ、どのように理解することが不可欠である。これまでに遭遇したことのない新しい問題を評価し、解決するには、実際の知識と知性の方がはるかに有利である。
これは、データ・サイエンスを検知 脅威に利用する際に決定的に重要な違いである。従来のモデルが機能するためには、すべての答えが前もってわかっていなければならない。例えば、ACME.comというドメインは過去に悪さをしている。
データサイエンスは、実際に質問されることを期待し、未知のものを評価するために集団学習を適用する。
別のシナリオでは、ACME123.comは過去に一度も悪さをしたことがないが、このドメインへのトラフィックとこのドメインからのトラフィックは4つの異なる動作を示しており、その組み合わせはコマンド&コントロール攻撃の動作と一致している。
実世界から収集した脅威の集合知から、その行動に基づいてドメインが悪さをしていると特定することができる。
データ・サイエンス・モデルは、当然ながら分析するデータの質に左右されるが、サイバーセキュリティ分野では特にそうである。サイバーセキュリティ・ソリューションにとって、従来の制御をすり抜けるステルス性の脅威を見つけることは不可欠であり、この仕事にはすべてのネットワーク・トラフィックに直接、直接アクセスする必要がある。
データサイエンスを用いて検知 脅威に対処するアプローチの大半は、イベントログの大規模なデータベースに対してデータマイニングを実行する。このアプローチでは、以前は見逃されていたログ間の相関関係を見つけることができるかもしれないが、いくつかの厄介な限界がある。
ログは、ある出来事を簡潔に要約した二次的なデータ源である。ログにない情報は失われ、分析には利用できない。さらに、ログは、それを生成するシステムと同程度にしか有効ではありません。上流のファイアウォールやセキュリティ・デバイスが脅威を検知 、分析するためのログはありません。
ログデータの限界に愕然とする。サイバーセキュリティ・ソリューションの役割は、標準的な防御層を回避する脅威を検知 。すでに検知 、脅威に失敗したデバイスからのサマリーを再分析することは、論理的とは言い難い。
検知 脅威に失敗したデバイスのログを再分析することは、論理的とは言い難い。
NetFlowや他のフロー・サマリーも同様の制限に苦しんでいる。フロー・データはネットワーク配管のパフォーマンスを監視・追跡する。これらの要約は、ネットワーク・トラフィックの方向と量を追跡することに限定されており、隠れた高度に回避的な脅威を発見するために必要な直接的で直接的な可視性を欠いています。
データ・サイエンス・モデルは、より質の高いデータに適用することで、より優れた性能を発揮します。新しい脅威検知モデルは、単に欠陥のあるソースからデータをマイニングするのではなく、データサイエンスと機械学習をパケットレベルでネットワーク・トラフィックに適用します。
トラフィックへの直接アクセスは、まったく新しいスタイルの脅威検知を意味します。イベントの相関関係や単純なベースラインの学習ではなく、高度な脅威検知は悪意のあるトラフィックの挙動を認識するリアルタイムモデルを構築します。
サイバー攻撃は常に進化している。しかし、トラフィックを直接可視化することで、新しい脅威検知モデルは常に新しい攻撃手法や戦略を特定するために適応することができる。これは、常に上流のデータソースに依存しているログやフローベースのシステムとは対照的です。
データサイエンスと機械学習の人気と関心は、この2つの言葉を巧みなキャッチフレーズに変え、どちらか一方を区別することを難しくしている。
データサイエンスは、データから知識を抽出する様々な方法に広く関係している。その広範な視点は、数学、統計学、機械学習、様々な分析を含む幅広い学問分野に及んでいる。
機械学習はデータサイエンスのサブセットであることに注意することが重要である。新しい脅威検知モデルは、教師あり・教師なしの機械学習、検知の数学的ヒューリスティックモデル、統計的モデリング、振る舞い 分析など、幅広いデータサイエンス技術を活用している。
機械学習は、ソフトウェアがデータから反復的に学習し、明示的にプログラムされることなく適応することを可能にする。脅威の検出という文脈では、機械学習は攻撃を明らかにする行動パターンを特定し、学習する。
脅威の検出という文脈では、機械学習は攻撃を明らかにする行動パターンを特定し、学習する。
脅威の検出には2種類のハイレベルなデータセットが必要である。1つ目は、脅威が通常のトラフィックや良性のトラフィックとどのように異なるかを示すグローバルな経験の集合である。もう1つは、特定の環境における異常または異常な動作を明らかにするローカルな経験の集合である。
最初のアプローチは、それが発生するネットワークに関係なく、常に悪い行動を明らかにするもので、2つ目はローカルなコンテキストに基づいて脅威を明らかにするものである。どちらも脅威を検知するために極めて重要であり、協調して機能しなければならない。
教師あり機械学習は、既知のマルウェア、脅威、攻撃手法を分析することで、最初のアプローチに対処します。これは、すべての亜種に一貫している基本的なエクスプロイト後の動作を特定するセキュリティリサーチャーやデータサイエンティストによって導かれます。この分析結果は、ネットワーク・トラフィックにおける根本的な悪意のある行動を特定するアルゴリズム(検知 )に反映されます。
グローバル・インテリジェンスは非常に有用であるが、攻撃によってはターゲット・ネットワークのローカル・コンテキストを理解することによってのみ明らかになるものもある。教師なし機械学習とは、特定のネットワークにとって何が正常で、いつ行動がその規範から逸脱するかを積極的に認識するモデルを指す。
どちらのスタイルの機械学習も必要不可欠であり、検知 、隠れた脅威と連携する。同様に、どちらのスタイルも、長期間にわたって観察された情報に基づく検出アルゴリズムをサポートする。
新しい脅威検知モデルは、単一のパケットやデータフローに基づいて数ミリ秒で検知するのではなく、数秒から数週間にわたる攻撃行動パターンを学習して特定する。
最新かつ最先端の脅威検知モデルは、業界をリードするインテリジェンスと検知技術を幅広く組み合わせ、あらゆる角度からリアルタイムで脅威を検知します。これは、従来のセキュリティモデルでは見逃していた脅威を、データサイエンスを活用して検知 、より効果的で高度に熟達した新たな検知手法を意味します。