ブログ一覧へ戻る

Vectra Attack Signal Intelligence

著者
Kevin Kennedy
|
2022-10-12

Vectraの調査において、72%のセキュリティ実務者は、「侵入されたかもしれないが、それを認識できていない」と回答しています。別の言い方をすれば、4分の3近くのセキュリティチームが、今、どこに侵入されているのか把握できていないということです。私たちはこれを「未知の脅威」と呼んでいます。そしてこの脅威は、ハイブリッドクラウドサービス、ストレージ、アプリケーション、IDへの急速な移行を背景に、ここ数年で勢いを増してきています。クラウドベース、アカウントの乗っ取り、サプライチェーンへの攻撃など、未知の脅威が組織内部に侵入し、横移動する方法はたくさんあります。これが、未知の脅威が現在、最大のサイバーセキュリティリスクであると考える理由です。

 

このことは、IBM社の「データ侵害のコストに関する調査(Cost of a Data Breach 2022 Report)」において、侵害の約半分(45%)がクラウドベースであることからも明らかです。また、Verizon社の「2022年データ漏洩/侵害調査報告書(2022 Data Breach Investigations Report)」では、半数近くが、盗まれた認証情報に起因する情報漏えいであることが示されています。さらに、Verizon社は、サプライチェーンを攻撃するAPTが、システム侵入インシデントの62%を占めていることも発見しています。

 

なぜ企業は、未知の脅威の影響を受けやすいのでしょうか。それは、3つの要因に集約されると考えています。その要因の中心には、「もっと」に「もっと」対応しようとすることから生まれる悪循環があります。

  • 攻撃対象領域が増えるということは、それに対応するツールが増え、その分複雑さが増すことを意味します。
  • セキュリティ対策を回避する攻撃者が増えれば、ルールが増え、アラートも増え、チューニングも必要になります。
  • アラートルールの調整と保守が増えれば、アナリストの数が増え、仕事量も増え、担当者は限界まで追い込まれてしまいます。

残念ながら、セキュリティ業界は「もっと」に「もっと」で対抗しようという傾向にあります。しかしこれが正しい方向性ではないのは明らかです。「もっと」では未知の脅威に対抗できないばかりか、逆効果となり得ます。セキュリティリーダーが自信を喪失する原因の根底にも「もっと」があるのです。

 

「もっと」のスパイラルからの脱却

2つの要因が 「もっと」のスパイラルを引き起こしている。

 

1つ目は、セキュリティ業界の構造的な問題です。脅威の検知とレスポンスのためのポイントソリューションが多すぎるのです。これに対する唯一の現実的な解決策は、攻撃対象領域を幅広くカバーし、ネイティブに統合・シンプル化できる脅威の検知とレスポンスプラットフォームです。この点については、XDRに関する別のブログ記事で詳しく紹介したいと思います。

 

2つ目は、現在でもっとも一般的な検知ツール(特にIDSとSIEM)が検知に使用している言語です。それは、C2ドメイン、ファイルハッシュ、悪意のあるプロセス名、レジストリキー、パケット内の正規表現など、既知のIoCについて迅速に通信し、発見するための脅威インテリジェンス機能の構築に数十年にわたって注力してきたことに起因しています。検出ルール言語は、当然ながら、これらの既知のIoCを検知するように最適化されています。

 

状況は変化しており、今までのアプローチでは追いつけません。

  • 現代の脅威はあまりにも動きが速く、防御側は常に最新の脆弱性やドメインを追い続けることになります。
  • 現代の攻撃者の手法は、シグネチャや単純なルールによる特徴付けを無視します。
  • 現代の回避型の脅威は、防御を回避し、数ヶ月間検知されないことがあります。

 

Windowsの管理者プロトコルで横移動するために、盗んだ管理者認証情報を使用している攻撃者を見つける場合を例にしてみましょう。適切なデータがあれば、リモートでコードを実行するためのWindows管理ツールを介して、管理者認証情報が使用されるたびに、ルールとシグネチャから情報を得ることができます。しかし、潜在的な攻撃活動は、管理者のアラートの中に埋もれてしまうことでしょう。だからと言って、ルールを調整するとなると、それが効果的か否かの見極めを何度も行うなど終わりが見えないプロセスが続きます。これは、「もっと」の盲点を生み出し、さらに「もっと」限界まで追い込まれることにつながります。未知の脅威が勝利するためのシナリオと言えます。

 

優れたML/AIモデル:悪循環から抜け出す唯一の方法

Vectraは10年以上にわたって、セキュリティAIの研究、特許取得、開発、開拓に取り組んできました。これは、未知の脅威をなくすことを「もっと」ではなく、少ない労力で実現するためです。Vectra Security AIのコアとなる前提として、より多くのデータを収集することではなく、正しいデータを正しい方法で収集し、分析することに重点を置いています。

 

正しいデータを収集し、正しい方法で分析することで、セキュリティチームは、より少ないツール、より少ない作業、より短い時間で、より多くのことを行うことができるようになります。Vectraでは、未知の脅威を排除するために、AI/MLによってセキュリティチームを強化し、3つの簡単なことを効果的かつ効率的に行えるようにする必要があると考えています。

  • 攻撃者の目線で考えることで、シグネチャや異常値だけではなく、攻撃者の振る舞いを理解し、サイバーキルチェーン全体の攻撃者のTTPを特定するAI駆動型の検知を行うことができます。
  • 組織環境に特有の検知パターンを分析することで、関連するイベントを明らかにし、ノイズを減らし、脅威を把握します。
  • 緊急性に焦点を当てます。AI駆動型の優先順位付けにより、脅威の深刻度と影響度を表示することで、重大な脅威への対応に集中でき、ビジネスリスクを軽減することができます。

 

AttackSignal Intelligenceの導入

セキュリティに必要な「もっと」は、Attack Signal Intelligenceによる強化だけ

 

既知の脅威に対する脅威インテリジェンスに対して、Attack Signal Intelligenceは、未知の脅威に対するものです。他のAIアプローチは、単純に異常を探すことで、何が「異なる」のかを伝えるものですが、VectraのAttack Signal Intelligenceは何が「重要」なのかを伝えます。

 

これを実現するために、Vectraは、攻撃者のTTP(MITREATT&CKなど)を理解し、プログラムされた一連のセキュリティAIモデルにより、攻撃者の手法を継続的かつ自動的に監視します。次に、結果は、組織環境の理解と、脅威モデルおよび人による脅威インテリジェンスを組み合わせたAIの別のレイヤーに送られ、深刻度と影響に基づいて脅威が自動的に表面化します。その結果として、実際の脅威を特定する効率が85%向上し、セキュリティ運用の生産性を2倍以上高めることができます。    

 

脅威インテリジェンスは、既知の脅威を軽減できるという自信を組織に与えますが、Vectra Attack Signal Intelligenceによって、未知の脅威を軽減できる自信も持つことができます。Vectraの特許取得済みAttack Signal Intelligenceを活用することで、未知の脅威を排除し、攻撃者に対抗し、世界をより安心かつ安全な場所にするための力を得ることができるのです。

それが、私たちVectraのコミットメントです。

 

このミッションの実現方法の詳細については、以下のリソースをご覧ください。

このブログ記事は「Vectra Attack Signal Intelligence」の翻訳版です。翻訳は英語版発行時点での原文の通りです。英語版との相違がある場合は、英語版を優先させてください。