AIセキュリティ

AIセキュリティの理解：定義と説明

基本的なレベルでは、AIを搭載したセキュリティ・ソリューションは、環境全体のユーザーの行動を類似環境のユーザーと相互比較することによって、「安全な」行動と「悪意のある」行動を識別するようにプログラムされている。このプロセスはしばしば「教師なし学習」と呼ばれ、人間の監視なしにシステムがパターンを作成する。Vectraような一部のAI搭載サイバーセキュリティ・プラットフォームでは、「ディープラーニング」も悪意のある行動を特定するための重要なアプリケーションである。脳のニューロンの生物学的構造と機能にヒントを得たディープラーニングは、人工ニューロンの大規模で相互接続されたネットワークに依存している。これらのニューロンは層状に組織化され、個々のニューロンは、新たに入力される入力に応じて適応する重みのセットによって互いに接続されている。

洗練されたAI主導 サイバー・セキュリティ・ツールは、大量のデータを計算・分析する能力を備えており、潜在的な悪意のある行動を示す行動パターンを開発することができる。この意味で、AIは人間の脅威検知能力を模倣している。サイバーセキュリティでは、AIは自動化、トリアージ、アラートの集約、アラートの選別、応答の自動化などにも使用できる。AIは多くの場合、第一レベルのアナリスト業務を補強するために使用される。

サイバーセキュリティにおけるAIの一般的な用途

AIを活用したセキュリティ・ソリューションは、サイバーセキュリティの分野で幅広い用途がある。最も一般的な用途をいくつか紹介しよう：

1. 脅威の検出と予測：AIは大規模なデータセットを分析し、潜在的な悪意のある行動を示す行動パターンを特定することができます。過去に検知された行動から学習することで、AI主導 サイバーセキュリティシステムは、新たな脅威を自律的に予測・検知 ことができます。
2. 行動の文脈化と結論：AIは、不完全な情報や新しい情報から文脈を整理して結論を導き出し、サイバーセキュリティ事象の特定と理解を助けることができる。
3. 改善戦略の策定：AIツールは、検出された行動の分析に基づいて、脅威を緩和したり、セキュリティの脆弱性に対処したりするための実行可能な改善戦略を提案することができる。
4. 自動化と拡張：AIは、アラートの集約、選別、対応など、さまざまなサイバーセキュリティ・タスクを自動化することができる。AIは人間のアナリストの作業を補完し、より複雑な課題に集中できるようにします。

セキュリティにおけるAI活用のメリット

AIサイバーセキュリティ・ソリューションの採用は、組織とそのIT・セキュリティ・チームにいくつかの利点をもたらす：

1. データ処理の強化：AIの能力は、大量のデータを高速で処理することを可能にし、潜在的な脅威に対する包括的な洞察を組織に提供する。
2. リソースに制約のあるチームの増強：AIは、ルーチン・タスクを自動化し、継続的な保護を提供することで、小規模またはリソースの少ないサイバーセキュリティ・チームのリソース・ギャップを埋める。
3. 一貫した長期的な保護AIシステムは一貫した継続的な保護を提供し、ヒューマンエラーのリスクを低減し、進化する脅威に対する長期的な防御を提供します。

ネットワーク向けAIサイバーセキュリティ・ベンダーの評価

適切なAIセキュリティ・ベンダーを選択することは、ソリューションの有効性とネットワークとの互換性を確保する上で極めて重要です。ここでは、AIサイバーセキュリティ・ベンダーを評価する際に考慮すべき重要な質問を紹介します：

1. Machine Learning アルゴリズムベンダーの製品はどのような機械学習アルゴリズムを利用しているか？これらのアルゴリズムはどれくらいの頻度で更新され、新しいものがリリースされているか？
2. アルゴリズムのパフォーマンス：機械学習アルゴリズムは、新しい環境においてどれくらいの速さで脅威を検知 できるのか？また、学習期間が必要な場合、その期間はどのくらいか。
3. 優先順位付けと統合：早急な対応が必要なクリティカルでリスクの高いホストの優先順位付けをどのように行っているか。既存の検知、アラート、インシデント対応のワークフローとシームレスに統合できるか。
4. セキュリティ・インフラとの統合：製品は、ファイアウォール、エンドポイントセキュリティ、ネットワークアクセス制御（NAC）システムと統合し、検出された攻撃をブロックまたは封じ込めることができるか。これらのプラットフォームとの統合性は？
5. 作業負荷の軽減と効率：その製品を使用するセキュリティアナリストに期待される作業負荷の軽減はどの程度か。また、どの程度の効率向上が期待できるか。
6. 実世界テスト：その製品は、実世界のシナリオで機械学習アルゴリズムの価値を実証するためのレッドチーム演習の実施をサポートしているか？製品が脅威の検知 失敗した場合、ベンダーはその費用を負担してくれるか？
7. 製品評価：評価中に人間のアナリストにリモートアクセスを提供することを推奨していますか？その理由は何ですか？

AIがサイバーセキュリティを強化する方法

人間の知性とデータサイエンスおよび機械学習技術の融合脅威検知に対するVectra AIのアプローチは、人間の専門知識と幅広いデータサイエンスおよび高度な機械学習技術を融合しています。このモデルは、最先端の研究、グローバルおよびローカル学習モデル、ディープラーニング、ニューラルネットワークに基づく脅威インテリジェンスの継続的なサイクルを提供します。

1.データの取得

センサーは、クラウド、SaaS、データセンター、エンタープライズ環境から、関連するメタデータ・トラフィックやログを抽出します。

初日から開発された独自の効率的なソフトウェア・アーキテクチャと、カスタム開発された処理エンジンにより、前例のない規模でのデータ取得と処理が可能になる。

2.データの正規化

トラフィックフローは重複排除され、カスタムフローエンジンが攻撃者の行動を検知 するためのメタデータを抽出する。すべてのフローの特徴は、パケットの干満、タイミング、トラフィックの方向、サイズなどを含めて記録されます。各フローはIPアドレスで識別されるのではなく、ホストに帰属します。

3.データの充実

当社のデータサイエンティストとセキュリティリサーチャーは、機械学習由来のセキュリティ情報でメタデータを強化する自己学習モデル (振る舞い) を構築し、継続的にチューニングしています。これらのモデルは、セキュリティ・パターン (ビーコンなど)、通常のパターン (ラーニングなど)、前兆 (弱いシグナルなど)、攻撃者の振る舞い、アカウント・スコア、ホスト・スコア、相関する攻撃キャンペーンなど、主要なセキュリティ属性でネットワーク・データを強化します。

4.検知とレスポンス

AI スコアがカスタム構築された攻撃者の行動モデル検知 脅威が被害を与える前に、自動的にリアルタイムで検知します。検知された脅威は自動的にトリアージされ、リスクレベルに基づいて優先順位が付けられ、侵害されたホストデバイスと関連付けられます。

Tier 1 の自動化は、数週間から数カ月かかる作業を数分に凝縮し、セキュリティアナリストの作業負荷を 37 分の 1 に削減する。

ホストのIDやビーコンなどの機械学習由来の属性は、攻撃の広範なスケールと範囲を明らかにする重要なコンテキストを提供します。カスタム設計された調査用ワークベンチは、セキュリティ強化メタデータ用に最適化されており、規模に応じた秒以下の検索が可能です。

AIは、脅威の終わりのない探索と検索を排除するために、実用的なコンテキストで検知を補強することにより、指先に最も関連性の高い情報を提供します。

AIを活用したサイバーセキュリティ・ソリューションを支えるデータサイエンス

振る舞い 、キャプチャしたパケットからメタデータを分析する検知アルゴリズムを使用して、当社のサイバーセキュリティAIは、トラフィックが暗号化されているかどうかにかかわらず、隠れた未知の攻撃をリアルタイムで検知します。当社のAIは、機密性の高いペイロードを詮索することなくユーザーのプライバシーを保護するために、ディープパケットインスペクションを実行するのではなく、パケットからキャプチャされたメタデータのみを分析します。

‍

グローバルな学習：すべての脅威に共通する隠れた特徴を見つける。

グローバル・ラーニングは、あらゆる企業組織に共通する脅威の基本的特徴を特定する。

グローバルな学習は、malware、攻撃ツール、テクニック、手順を継続的に分析し、脅威の状況における新しいトレンドや移り変わるトレンドを特定するサイバーセキュリティの専門家と脅威研究者の専任グループであるVectra AI脅威ラボから始まります。

彼らの研究は、当社のデータサイエンス・モデルに活かされています。 Attack Signal Intelligence教師あり機械学習を含む

これは、非常に大量の攻撃トラフィックを分析し、悪意のあるトラフィックをユニークなものにする重要な特徴を抽出するために使用される。

‍

ローカル学習：ネットワーク特有の攻撃パターンを明らかにする。

ローカルラーニングは、企業のネットワークにおける正常と異常を識別し、攻撃パターンを明らかにする。

使用される主な技術は、教師なし機械学習と異常検知である。Vectra AIは、教師なし機械学習モデルを使用して、データサイエンティストが直接監視することなく、特定の顧客環境について学習する。

Vectra AIは、異常の発見と報告に集中するのではなく、攻撃者がネットワークを探索し、攻撃対象のホストを評価し、盗まれた認証情報を使用している兆候など、攻撃の重要な段階や攻撃手法の指標を探します。

‍

統合されたインテリジェンス：相関性、スコア、優先順位

Vectra AI は、何千ものイベントとネットワークの特徴を単一の検知に凝縮する。

イベントの相関関係やホストのスコアリングなどのテクニックを使用して、私たちのAIは以下を実行します：

• すべての検知イベントを、脅威行動の兆候を示す特定のホストに関連付ける。
• Vectra AI Threat Certainty Index™ を使用して、脅威の深刻度と確実性の観点からすべての検知とホストを自動的にスコア化します。
• サイバー攻撃のライフサイクルのすべてのフレーズを通じて、各イベントを時系列で追跡します。

Vectra AIは、ネットワーク内部の重要な資産を危険にさらす可能性のあるイベントや、攻撃者にとって戦略的価値のあるイベントに特に重点を置いています。また、サイバー攻撃のライフサイクルの複数のフェーズをカバーする挙動を示すデバイスは、図のように優先順位が付けられます。

‍

‍

攻撃者の振る舞いとパターンを理解することで、Vectraは不要なアラートを減らし、実際の攻撃 (真陽性) に焦点を当てます。これにより、セキュリティアナリストは、攻撃を効果的にハントし、調査し、侵害に至る前に阻止することができます。以下のセクションでは、Vectraのテクノロジーの範囲と開発プロセスについて、検知の収集と生成方法、イベントを実用的なインシデントに相関させる方法、実際の攻撃への対処方法などを、2つの具体例を交えてご紹介します。

AI主導 脅威検知のためのMLアルゴリズムの開発

Vectraの検知システムは、「異なる」ものを見つけるという異常検知だけでなく、攻撃者とその手口を実際に発見するよう特別に設計されています。多様な経歴を持つセキュリティリサーチャーとデータサイエンティストで構成される当社のチームは、複雑なデータセットから価値あるインサイトを抽出することについて深い理解を持っています。10年以上の経験を活かし、誤検知を最小限に抑えながら攻撃者の振る舞いを効果的に特定する脅威検知への共同アプローチを開発しました。

検知の開発プロセス全体を通じて、当社のセキュリティ研究チームが主導します。 特定のツールや攻撃グループではなく一般的な手法に焦点を当て、実際の攻撃者が使用する手法を常に監視およびレビューしています。 たとえば、Cobalt Strikeビーコンのみを分析するのではなく、このテクノロジーの動作を抽象化し、攻撃者の全体的な制御方法を研究します。 これにより、同様のメソッドを実行する現在あるツールと今後出てくるであろうツールをカバーできるようになります。

攻撃者の手法が特定されると、当社のセキュリティリサーチャーがデータサイエンスチームと協力して、悪意のあるサンプルと無害なサンプルのコーパスを収集します。 悪意のあるサンプルは、匿名化されたメタデータ、公的に文書化されたサイバーインシデント、合成データ作成アルゴリズム、内部ラボ攻撃などを自発的に共有する顧客など、さまざまな場所から入手されます。 良性のサンプルは、匿名化された顧客メタデータの広範なデータセットから収集されます。

攻撃者の手口とそれを裏付けるデータを手元に置き、当社のセキュリティリサーチャーとデータサイエンスチームは、これらの手口を検知するために最適化されたしきい値を持つプロトタイプモデルを開発します。プロトタイプはサイレントベータモードで展開され、オプトインの顧客ベースからのフィードバックを収集し、モデルの微調整を行います。観測された攻撃手法のすべてのインスタンスと、しきい値をわずかに下回るイベントが報告され、データサイエンティストはモデルをさらに改良することができます。

この反復プロセスは、厳格な品質基準を満たすまで続けられ、それによって実世界のシナリオにおけるモデルの性能が保証されます。最終段階では、特定された攻撃手法の完全な文脈を、問題のシステムにとって何が正常であるかについての関連情報とともに提示する専用のユーザーインターフェースを作成します。その後、モデルは実稼働環境に導入され、その有効性を確保するために継続的に監視。必要な改良は、データ収集に使用したのと同じパイプラインを使用して検知システムに施されます。

その結果、頻繁なチューニングを必要とせず、現在および今後出てくる攻撃者ツールを効果的に検知することができます。私たちのセキュリティ主導のアプローチは、異常なイベントを検知する以上に、攻撃者の行動を検知することに優れています。

リアルタイム・ストリーミング・エンジンによる実用的な結果

組織を守るためには、一刻を争います。そのため、アラートの遅延は攻撃者に有利になる可能性がありますが、Vectraのリアルタイム・ストリーミング・エンジンなら、先手を打った対策ができます。

従来のバッチ処理とは異なり、Vectraのアルゴリズムはストリーミングデータ上で実行されるため、遅延なく即座に検知することができます。つまり、攻撃を実行できる時間が短縮され、攻撃を阻止する十分な機会が与えられます。

しかし、スピードだけでなく、スケールも重要です。企業ネットワーク、クラウドデプロイメント、SaaSサービスの規模と複雑さが増すにつれ、処理すべきデータ量も増え続けています。ここでも、Vectraのリアルタイム・ストリーミング・エンジンが威力を発揮します。

グローバルで活躍する大企業をサポートするために設計されたVectraのストリーミングエンジンは、非常に大量のデータを扱うことができます。データサイズに左右されることなく、長期的な学習モデルを構築するために必要な情報を抽出します。

そして今まで積み上げてきた歴史も重要です。教師なし学習を使用するアルゴリズムが真に効果的であるためには、豊富なデータが必要です。ストリーミングデータから学習することで、Vectraのアルゴリズムは数ヶ月の履歴データと数百万のイベントを考慮することができます。これは、業界最高品質のアラートと最も正確な検知を意味します。

脅威相関のための人工知能

Vectra AI主導 プラットフォームは、個々の攻撃手法を特定するだけではありません。当社の高度なAI技術により、行動を相関させ、活発に進行する攻撃を迅速に検知、分類、優先順位付けします。ベクトラの相関アルゴリズムは、アカウント、ホスト、ネットワーク、クラウドにわたる行動を分析し、あらゆるセキュリティインシデントの明確なシグナルを提供します。

しかし、これらの振る舞いを、アカウントやホストマシンのような安定したアンカーにどのように帰属させるのでしょうか？ネットワークやハイブリッドクラウド環境では、host-idと呼ばれる画期的なアルゴリズムを利用しています。このアルゴリズムにより、Kerberosホストプリンシパル、DHCP MACアドレス、クッキーなどの観測されたアーティファクトに基づいて、一時的なIPを安定したホストマシンに帰属させることができます。この帰属により、IPだけでなく、特定のホストマシンに関連する攻撃者の振る舞いやメタデータの流れを正確に特定し、追跡することができるのです。

しかし、AWSにおけるアトリビューションには独自の課題があります。イベントはAWSのコントロールプレーンに記録され、基本的なユーザーアカウントではなく、想定されたRoleに関連付けられます。これは、任意の数のアカウントが与えられたRoleを仮定できることを意味し、攻撃の起源を追跡することを困難にします。そこで、当社の独自に構築したテクノロジーであるKingpinの出番となります。Kingpinは、Roleの連鎖を解き、観測された攻撃を根本的なユーザに帰属させることができ、効果的なレスポンス に必要な重要な情報を提供します。

攻撃者の振る舞いを安定した指標に帰属させたら、次にそれらを関連付け、システムの根底にある振る舞いプロファイルを特定します。これにより、進行中の脅威にラベルを付け、優先順位を付けて、直ちに注意を喚起することができます。当社の相関アルゴリズムは、当社の専門アナリストやセキュリティリサーチャーの行動を模倣しているため、お客様は同レベルの脅威の分類と分析を受けることができます。

Vectra AIが脅威の優先順位を決定する方法

Vectra AIは、脅威の行動をホストまたはアカウントに関連付け、4つの重大度ランキングのいずれかに優先順位を付けます：クリティカル（Critical）、高（High）、中（Medium）、低（Low）です。このランク付けは、集合的な攻撃者の行動が実際のエスカレートした攻撃とどの程度一致しているかというVectraスコアリングモデルの理解に基づいています。Vectra コンソールを監視しているセキュリティチームは、算出された重大度ランキングに基づいて、どのホストまたはアカウントを最初にレビューすべきかを主に判断する必要があります。

深刻度ランキング

• 重大度または高重度：「重大度または高重度」に分類されたホストおよびアカウントは、業務に損害を与える可能性が高く、積極的に展開される攻撃に関連する行動を示しており、調査が必要です。
• 重要度が「低」または「中」：深刻度が「低」または「中」に分類されたアカウントは、直接的に観察されるリスクが低く、すぐに調査するよりも脅威を発見するための取り組みの出発点として活用することができます。

脅威スコアと確実性スコア

重大度ランキングに加え、相関する行動に基づいて優先順位付けされた各アカウントに対して脅威スコアと確信度スコアが計算され、より細かい順序付けが可能になる。検出はまた、関連する行動の脅威と基礎となる検出モデルの確実性に基づいて、検出固有の重大度を特徴付ける脅威スコアと確実性スコアを受け取ります。各検出の脅威と確実性がどのように計算されるかの詳細は、各検出のワンページに記載されています。

Vectra AIのディテクションについてもっと知る

悪意ある行為者はどのようにAIを活用しているのか？

企業がサイバーセキュリティのためにAI技術を採用するにつれ、悪意のある行為者も検知を逃れるためにその手法を適応させている。彼らは、AIソリューションが採用する脅威フラグシステムを学習することで、攻撃戦略を修正し、悪意のある活動を加速させることができます。

AIを活用したサイバーセキュリティのメリットとは？

AIサイバーセキュリティ・ツールは、自動検出機能を提供し、企業が効率的に脅威を特定し、場所を特定し、隔離し、修復することを可能にする。また、インシデントレスポンスの全体的な有効性とスピードも向上します。

脅威の検知にAIはどのように使われているのか？

AIは、膨大な量のデータを分析し、潜在的なセキュリティ脅威を示すパターンや異常を特定することで、脅威の検知において重要な役割を果たしています。機械学習アルゴリズムにより、AIシステムは過去のデータから学習し、継続的にモデルを適応させることで、新しく出現する脅威を認識することができます。AIを搭載した脅威検知システムは、ネットワーク・トラフィックを監視し、行動パターンを分析し、悪意のある活動をリアルタイムで検知 ことができるため、企業は潜在的な脅威にプロアクティブに対応し、緩和することができます。

AIを活用した脅威インテリジェンスとは何か？

AI脅威インテリジェンスとは、セキュリティログ、脆弱性データベース、ダークウェブ・フォーラム、ソーシャルメディア・プラットフォームなど、さまざまなソースから膨大な量のデータを収集、分析、解釈するための人工知能技術とテクノロジーの使用を指す。AIアルゴリズムを活用することで、脅威インテリジェンス・プラットフォームは、データの収集と関連付け、潜在的脅威の特定、組織への実用的な洞察の提供のプロセスを自動化することができます。AI主導の脅威インテリジェンスは、脅威分析のスピード、精度、拡張性を高め、セキュリティチームが進化するサイバー脅威の先を行く力を与えます。

サイバー防衛におけるAIの活用

AIは、組織のセキュリティ態勢を強化するため、サイバー防衛に広く利用されている。AIアルゴリズムは、ネットワークログ、システムイベント、ユーザー行動、malware 大量のセキュリティデータを分析し、疑わしい活動や潜在的な脆弱性を特定することができる。AIを搭載したシステムは、リアルタイムでセキュリティ・インシデントを検知 対応し、脅威の探索を自動化し、セキュリティ運用の効率を高めることができる。さらに、行動ベースの異常検知、適応型アクセス制御、インテリジェントな脅威対応システムといった高度なセキュリティ・メカニズムの開発にもAIを活用することができ、高度な攻撃に対するサイバー防御を強化することができる。

VectraAIセキュリティ・ソリューションの詳細はこちら

AIはハッカーを防げるか？

AIはサイバーセキュリティ対策を大幅に強化することができるが、単独ですべてのハッカーを防ぐことはできない。AI技術はある種の脅威を検知・軽減するのに有効だが、サイバー攻撃者は検知を逃れるために常に戦術を進化させている。AIを搭載したシステムは、応答時間の短縮、脆弱性の特定、パターンの分析に貢献できるが、効果的なサイバー防衛には人間の専門知識と協力が不可欠である。AI機能と熟練したサイバーセキュリティの専門家を組み合わせることで、プロアクティブな脅威ハンティング、脅威インテリジェンス分析、インシデント対応を含む強固な防御戦略を構築することができ、最終的にハッカーの成功をより困難にすることができる。

Vectra：AIでセキュリティチームを強化する

ネットワーク検知・応答（NDR）ソリューションのリーディングプロバイダーであるVectra AIは、AI技術を活用して、システム、データ、インフラストラクチャに最大限のセキュリティを提供します。オンプレミスとクラウドの両方で不審な活動を検出し、セキュリティ・オペレーション・センター（SOC）チームに警告することで、Vectra AIは潜在的な脅威に対する迅速かつ的確な対応を可能にします。AI主導 真の脅威識別により、チームは誤報から解放され、重要なタスクに集中することができます。

AIがサイバーセキュリティの展望を再構築し続ける中、組織のセキュリティを強化するためには、課題を克服しながらこれらの技術を受け入れることが不可欠です。Vectra AIは、AIをサイバーセキュリティ・ソリューションに統合する最前線にあり、AIを活用した高度な脅威検知・対応機能を提供しています。当社のAI主導 ソリューションがどのように貴社のサイバーセキュリティ戦略を強化し、高度なサイバー脅威から守ることができるか、ぜひお問い合わせください。