AIの活用によってSOCの効率を高める4つの方法

組織が侵害の危機に瀕したとき、現状を把握することで、攻撃を阻止できる確率が高まります。どのような方法であれ、攻撃者が組織の環境にアクセスした後は、本来の目的に向かって行動するための時間が必要です。これは、ランサムウェアを起動させる準備をしたり、アカウント乗っ取りの準備をしたりすることが含まれます。実際、DarkReadingの記事によると、攻撃者が検知されるまでに環境に滞在する時間は、世界的に平均24日で、この期間は短縮傾向にあります。

滞留期間に何が起こっているかについては、さまざまな見解がありますが、一つ明らかなのは、その期間が短縮し続けていることを考えると、侵害を検知するためには、「時間」が最も重要な要素であるということです。当たり前のことですが、滞留期間が短ければ短いほど、攻撃者を事前に検知できる時間は短くなります。SOCの効率性を高め、攻撃を素早く発見して阻止するための準備とは、何をすればばよいのでしょうか？Vectra AIのAI研究チームによる見解を、SOCにおけるAIの活用に焦点を当てていくつかご紹介したいと思います。

‍

アラートの精度向上と誤検知の低減

1日に作業できる時間には限りがあり、無害な内容のアラートに時間を費やす余裕はありません。適切なデータを収集し、実用的なAIを活用することで、直ちに注意を払う必要のある攻撃やセキュリティイベントをピンポイントで特定することができます。最新のスポットライトレポート「ビジョンと可視性：Microsoft Azure ADと Office 365の脅威検知トップ10」では、適切なデータを収集し、AIによる脅威検知を行うことで、サプライチェーン攻撃などのイベント時に攻撃者の振る舞いを特定する方法を、詳しく紹介しています。攻撃者のスキルはより高度化し、特定することが非常に難しくなっています。そんな中、AIの活用は、許可されたユーザーの振る舞いと、攻撃者による振る舞いの違いを検知する最も効果的な方法なのです。

‍

分析に基づく調査の最適化

SOCにとって調査は大きな負担となります。一般的に、時間のかかる手動プロセスで行われ、しかも境界線の制御をすでに回避した攻撃者を特定するためのアプローチとしては、現実的ではありません。調査には、マルウェア、ログ、フォレンジックパケットの分析能力や、さまざまなソースからの大量のデータを関連付ける能力など、一連の専門的なスキルが必要です。そして、ここでも時間との戦いが課題としてあります。多くの場合、セキュリティイベントの調査には数時間、高度な脅威の完全な分析には数日から数ヶ月かかります。これらの調査シナリオは、Tier 1アナリストが通常行っている工程である、脅威の検知、報告、トリアージ機能などですが、幸いなことに実用的なAIによって、すべて自動化することができます。さらに、悪意のあるコミュニケーションについて、特定の攻撃の振る舞いや攻撃に関与した危険なホストデバイスに関する詳細がわかるなど、より深く、より意味のあるコンテキストも入手することができるようになります。

‍

手間のかかる脅威ハンティングの自動化

脅威ハンティングも、SOCにとって課題の一つで、現在、攻撃者の一歩先を行くために確実に必要とされるものです。AIは、他のツールや担当者がその存在を知る前に、隠れた攻撃者を早期に発見するのに役立ちます。例えば、AIを活用してアカウントベースの調査を強化することで、侵害された可能性のあるアカウントの用途や振る舞いを特定するために必要な情報を得ることができます。さらに、コミュニケーションを追跡して特定のドメインやIPを持つホストデバイスを特定することもできます。他の調査と同様に、通常行われる検知、報告、トリアージの機能を完全に自動化できるのです。

‍

高リスクの脅威検知、スコアリング、優先順位付け

SOCにて最も時間が必要となるタスクは、すべての異なるセキュリティツールや生成されたアラートの中から、真に対応が必要な脅威を見分けることです。すでに述べた通り、AIを適切に活用すれば、SOCは、攻撃の兆候を示す重要な資産や、修復が必要な異常など、最も高いリスクをもたらす脅威に関する情報を優先的に受け取ることができます。これは、SOCチームの作業の優先順位付けに大いに役立ちます。

もちろん、SOCは組織ごとに異なります。今回ご紹介したのは、AIによってリソースを解放し、攻撃者の一歩先を行き、侵害が発生する前に阻止できるようにするための方法の一部でしかありません。しかしすべては、環境を守るための最も貴重な資産である「時間」を取り戻すことにつながることは明確です。

AIが御社のSOCにどのように貢献できるか、ぜひデモを体験しご確認ください。

‍