Vectraの調査において、72%のセキュリティ実務者は、「侵入されたかもしれないが、それを認識できていない」と回答しています。別の言い方をすれば、4分の3近くのセキュリティチームが、今、どこに侵入されているのか把握できていないということです。私たちはこれを「未知の脅威」と呼んでいます。そしてこの脅威は、ハイブリッドクラウドサービス、ストレージ、アプリケーション、IDへの急速な移行を背景に、ここ数年で勢いを増してきています。クラウドベース、アカウントの乗っ取り、サプライチェーンへの攻撃など、未知の脅威が組織内部に侵入し、横移動する方法はたくさんあります。これが、未知の脅威が現在、最大のサイバーセキュリティリスクであると考える理由です。
このことは、IBM社の「データ侵害のコストに関する調査(Cost of a Data Breach 2022 Report)」において、侵害の約半分(45%)がクラウドベースであることからも明らかです。また、Verizon社の「2022年データ漏洩/侵害調査報告書(2022 Data Breach Investigations Report)」では、半数近くが、盗まれた認証情報に起因する情報漏えいであることが示されています。さらに、Verizon社は、サプライチェーンを攻撃するAPTが、システム侵入インシデントの62%を占めていることも発見しています。
なぜ企業は、未知の脅威の影響を受けやすいのでしょうか。それは、3つの要因に集約されると考えています。その要因の中心には、「もっと」に「もっと」対応しようとすることから生まれる悪循環があります。
残念ながら、セキュリティ業界は「もっと」に「もっと」で対抗しようという傾向にあります。しかしこれが正しい方向性ではないのは明らかです。「もっと」では未知の脅威に対抗できないばかりか、逆効果となり得ます。セキュリティリーダーが自信を喪失する原因の根底にも「もっと」があるのです。
2つの要因が 「もっと」のスパイラルを引き起こしている。
1つ目は、セキュリティ業界の構造的な問題です。脅威の検知とレスポンスのためのポイントソリューションが多すぎるのです。これに対する唯一の現実的な解決策は、攻撃対象領域を幅広くカバーし、ネイティブに統合・シンプル化できる脅威の検知とレスポンスプラットフォームです。この点については、XDRに関する別のブログ記事で詳しく紹介したいと思います。
2つ目は、現在でもっとも一般的な検知ツール(特にIDSとSIEM)が検知に使用している言語です。それは、C2ドメイン、ファイルハッシュ、悪意のあるプロセス名、レジストリキー、パケット内の正規表現など、既知のIoCについて迅速に通信し、発見するための脅威インテリジェンス機能の構築に数十年にわたって注力してきたことに起因しています。検出ルール言語は、当然ながら、これらの既知のIoCを検知するように最適化されています。
状況は変化しており、今までのアプローチでは追いつけません。
Windowsの管理者プロトコルで横移動するために、盗んだ管理者認証情報を使用している攻撃者を見つける場合を例にしてみましょう。適切なデータがあれば、リモートでコードを実行するためのWindows管理ツールを介して、管理者認証情報が使用されるたびに、ルールとシグネチャから情報を得ることができます。しかし、潜在的な攻撃活動は、管理者のアラートの中に埋もれてしまうことでしょう。だからと言って、ルールを調整するとなると、それが効果的か否かの見極めを何度も行うなど終わりが見えないプロセスが続きます。これは、「もっと」の盲点を生み出し、さらに「もっと」限界まで追い込まれることにつながります。未知の脅威が勝利するためのシナリオと言えます。
Vectraは10年以上にわたって、セキュリティAIの研究、特許取得、開発、開拓に取り組んできました。これは、未知の脅威をなくすことを「もっと」ではなく、少ない労力で実現するためです。Vectra Security AIのコアとなる前提として、より多くのデータを収集することではなく、正しいデータを正しい方法で収集し、分析することに重点を置いています。
正しいデータを収集し、正しい方法で分析することで、セキュリティチームは、より少ないツール、より少ない作業、より短い時間で、より多くのことを行うことができるようになります。Vectraでは、未知の脅威を排除するために、AI/MLによってセキュリティチームを強化し、3つの簡単なことを効果的かつ効率的に行えるようにする必要があると考えています。
セキュリティに必要な「もっと」は、Attack Signal Intelligenceによる強化だけ
既知の脅威に対する脅威インテリジェンスに対して、Attack Signal Intelligenceは、未知の脅威に対するものです。他のAIアプローチは、単純に異常を探すことで、何が「異なる」のかを伝えるものですが、VectraのAttack Signal Intelligenceは何が「重要」なのかを伝えます。
これを実現するために、Vectraは、攻撃者のTTP(MITREATT&CKなど)を理解し、プログラムされた一連のセキュリティAIモデルにより、攻撃者の手法を継続的かつ自動的に監視します。次に、結果は、組織環境の理解と、脅威モデルおよび人による脅威インテリジェンスを組み合わせたAIの別のレイヤーに送られ、深刻度と影響に基づいて脅威が自動的に表面化します。その結果として、実際の脅威を特定する効率が85%向上し、セキュリティ運用の生産性を2倍以上高めることができます。
脅威インテリジェンスは、既知の脅威を軽減できるという自信を組織に与えますが、Vectra Attack Signal Intelligenceによって、未知の脅威を軽減できる自信も持つことができます。Vectraの特許取得済みAttack Signal Intelligenceを活用することで、未知の脅威を排除し、攻撃者に対抗し、世界をより安心かつ安全な場所にするための力を得ることができるのです。
それが、私たちVectraのコミットメントです。
このミッションの実現方法の詳細については、以下のリソースをご覧ください。
このブログ記事は「Vectra Attack Signal Intelligence」の翻訳版です。翻訳は英語版発行時点での原文の通りです。英語版との相違がある場合は、英語版を優先させてください。
Attack Signal Intelligence を活用して、既知および未知の脅威をリアルタイムで検知、追跡、調査することで、セキュリティチームは可能な限り早い段階で攻撃を特定し、侵害となる前に阻止できるようになります。
© 2023 Vectra AI, Inc. All rights reserved.
