セキュリティ向上に AI を活用する5つの方法:脅威の検知とインテリジェンス
2024年5月31日、Christine Barry
先日、脅威アクターが人工知能(AI)技術をどのように利用して攻撃を改善し、加速させているかについてのシリーズを終えました。今回のブログは、サイバーセキュリティにおける AI の利用方法に関するシリーズの第1回目となります。このシリーズでは、まず脅威の検知とインテリジェンスについて説明します。
脅威検知と脅威インテリジェンスは密接に連携していますが、それぞれ異なる役割を担っています。まずは、それぞれがどのようなもので、どのように機能するのかを見てみましょう。
脅威の検出
脅威検知とは、ネットワーク、アプリケーション、その他のビジネスシステムを継続的に監視し、脅威と思われる不審な活動や異常な活動を検知する自動化されたプロセスです。以下に、脅威検知の対象となる脅威と指標の例を挙げました。
脅威:不正アクセス
指標:
異常なログインパターン、または異常な場所からのログインの試み。これは、クレデンシャルスタッフィング、パスワードスプレー、またはその他のクレデンシャルベースの攻撃として認識される可能性があります。
特権の昇格の試み、制限されたリソースへのアクセスの試み、ネットワークを横方向に移動してシステムやサーバーにアクセスしようとする行為。システム侵入者はしばしば、正規のシステムツールやユーティリティを通して、Living off the Land (LotL) テクニックを使用します。
脅威:マルウェア、ランサムウェア、その他の悪意のあるソフトウェア
指標:
見慣れないソフトウェアや承認されていないソフトウェアの実行、ネットワークファイルの突然の変更。ファイルの整合性が大量に変更されるのは、システム障害やサイバー攻撃の結果である可能性があるため、脅威検知システムはこの種の活動に対して警告を発する可能性が高いです。未承認または未知のソフトウェアは、マルウェアのバイナリからフリーウェアのメディアプレーヤーまで、あらゆる可能性があるため、未知のレベルのリスクをもたらします。脅威検知システムは、ネットワークで何が起きているかを把握するのに役立つため、必要に応じてセキュリティポリシーや設定を調整することができます。
ネットワーク・エンドポイントのセキュリティ設定の突然の変更。ファイアウォールの無効化やウイルス対策の削除などを含みます。多くのランサムウェアの亜種には、システムのセキュリティを無効にし、システムからのランサムウェアの削除を防ぐメカニズムが含まれています。
脅威:多くの種類の脅威に関連する不審なネットワーク動作
指標:
無許可のネットワークスキャンやマッピング。これらはしばしば、攻撃の前兆となります。ネットワーク偵察とみなされ、たいていは攻撃者がオープンポートや脆弱性、その他の潜在的な侵入口を探していることを示しています。脅威検知システムは通常、ネットワークエッジの内部スキャンであれインターネットベースのスキャンであれ、包括的なネットワークスキャンにフラグを立てます。
大量のデータ転送やネットワーク・トラフィックの異常な急増は、通常、データの流出や盗難を示します。トラフィックやリソースの使用量の急増は、クリプトマイニングやサービス拒否攻撃などのボットネットの活動を示すこともあります。
脅威検出の能力は、エンドポイント検出および応答(EDR)、侵入検出システム(IDS)などのテクノロジーに含まれています。これらのシステムを効果的に使用することで、IT チームはセキュリティインシデントを初期段階で特定し、緩和することができます。
脅威インテリジェンス
脅威インテリジェンスシステムは、脅威に関する情報を収集・分析し、この情報をアクセス可能で実行可能な形式で出力します。脅威インテリジェンスシステムから得られる情報は、ベンダーが専有する場合もあれば、すべてのシステムや利害関係者がオープンな形式で共有できる場合もあります。脅威インテリジェンスは、脅威の状況を理解し、新たな脅威を特定するのに役立ち、その結果、セキュリティ予算、購買決定、人員配置計画、事業継続計画、およびサイバー脅威の影響を受けるその他の戦略に情報を提供することができます。
脅威インテリジェンスシステムは複数の情報源からデータを収集します。
オープンソースインテリジェンス(OSINT):一般に入手可能な情報を指します。情報源は、ソーシャルメディアプラットフォーム、報道機関、公文書、政府のWeb サイト、フォーラム、ブログ、その他オープンソースと定義されるものすべてです。
ダークウェブの監視:ダークウェブは、隠されたWeb サイトに到達するためのオニオンルーターのような特定のソフトウェアなしではアクセスできないインターネットの一部です。ダークウェブは特にその匿名性とプライバシーで知られており、ランサムウェアの流出サイトや犯罪フォーラムなど多くの犯罪サイトをホストしています。
テクニカルインテリジェンス(TECHINT):このタイプのインテリジェンスは、侵害の指標(IoC)、悪意のある IP アドレス、戦術、技術、手順(TTP)などの技術的側面に焦点を当てます。テクニカルインテリジェンスは、マルウェア分析、サンドボックス、脅威フィードおよびレポート、その他の技術的データソースから得られます。IDS、IPS、その他の脅威検知システムは、この種の脅威インテリジェンスをソースとすることがあります。
ヒューマンインテリジェンス(HUMINT):人的情報源は、技術的情報源ではアクセスできないような状況や洞察を提供します。このような情報は、情報提供者、監視、法執行機関への潜入、他の情報源との協力などからもたらされます。クロノス作戦のような世界的な取り組みは、法執行グループ間で人的情報を共有した例です。
シグナルの共有:これは、セキュリティベンダー、政府機関、その他の業界関係者間で脅威情報を共有することを指します。シグナルとは、人的または技術的な情報です。研究者やアナリストによるインシデント対応レポートや出版物は、遠隔測定や脆弱性データとともに共有されます。シグナルの共有は、脅威インテリジェンスの深さ、正確さ、適時性を大幅に向上させます。
脅威インテリジェンスとは、未加工のデータを取り込み、私たちが自分自身を守るために使えるものに変えることです。AI はこのプロセスをより強力なものにしています。
脅威検知と脅威インテリジェンスにおける AI の役割
上記の詳細から、脅威検知とインテリジェンスは重複し、互いに影響し合っていることがわかります。しかし、両者は異なる機能を持つ別個の存在です。どちらもインシデントレスポンス(IR)を実行しないことに注意してください。IR は、このシリーズの後半で説明する別の機能です。多くのセキュリティソリューションは、これらのすべての機能を一元管理ダッシュボードに搭載しているので、まるで1つのセキュリティ製品のように感じるでしょう。Barracuda Cloud Control もこのような仕組みになっており、だからこそ高度なテクノロジーがあらゆる規模と予算の企業にとって利用しやすいのです。バックグラウンドで多くの自動化とオーケストレーションが行われているため、使いやすく、また大きな予算を必要としません。ベンダーは、これらのオペレーションをコスト効率よく拡張し、その節約分を顧客に還元することができるのです。
では、AI が最も力を発揮する場所を見てみましょう。人工知能には、機械学習(ML)や生成 AI(GenAI)など、いくつかのサブセットがあることを覚えているでしょうか。ここでは、我々が脅威検知で特定した機能に ML と生成 AI がどのようにマッピングされるかを説明します。
脅威 | 機械学習(ML) | 生成 AI |
不正アクセス | 異常検知:通常のログイン動作からの逸脱を認識します。 行動分析:ユーザーとシステムの行動を監視し、異常な行動を検出します。
| シミュレーションとテスト:セキュリティシステムをテストするための合成攻撃シナリオを生成します。 シナリオ生成:LotL テクニックを含む仮想の攻撃シナリオを作成します。 |
マルウェア、ランサムウェア、その他の悪意のあるソフトウェア | ファイル整合性監視:ファイルの整合性とソフトウェア実行の変化を追跡し、異常を検出します。 設定の監視:ランサムウェアを示す突発的な変更がないか、セキュリティ設定を継続的に監視します。
| マルウェアシミュレーション:マルウェアや未承認ソフトウェアの実行をシミュレートして、システムを訓練します。 ランサムウェア攻撃シミュレーション:ランサムウェア攻撃をシミュレートし、システムが攻撃を認識できるよう訓練します。 |
さまざまな種類の脅威に関連する不審なネットワーク動作 | ネットワークトラフィック分析:ネットワークトラフィックを分析し、不正なスキャンやマッピングを検出します。 トラフィック分析:ネットワークトラフィックを監視し、悪意のある活動を示す異常なスパイクを特定します。 | 偵察シミュレーション:ネットワークのスキャンとマッピングをシミュレートし、検出能力をテストします。 合成データ生成:検出システムをテストするために、大規模なデータ転送のシナリオを作成します。 |
では、インテリジェンス収集と分析についても同様のことをします。
方法 | 機械学習(ML) | 生成 AI |
オープンソースインテリジェンス(OSINT) | データアグリゲーションとフィルタリング:膨大な量のデータを処理し、関連する脅威情報を特定します。 センチメント分析:ソーシャルメディアやフォーラムのセンチメントを分析します。 パターン認識:大規模データセットのパターンと異常を識別します。 | コンテンツの生成:潜在的な脅威シナリオをシミュレートします。 データ拡張:トレーニング用の合成データを生成します。 自動要約:レポートや記事の簡潔な要約を作成します。 |
ダークウェブ監視 | 異常検知:異常な活動や傾向を特定する。 エンティティの認識:ダークウェブのフォーラムやマーケットプレイスからエンティティを抽出し、分類する。 行動分析:脅威アクターの行動を追跡・分析する。 | 脅威エミュレーション:脅威アクターの行動をシミュレートします。 コンテンツの合成:詳細なレポートやアラートを作成します。 翻訳と解釈:ダークウェブの情報を翻訳し、文脈を考慮して解釈します。 |
テクニカルインテリジェンス(TECHINT) | マルウェア分析:マルウェアサンプルを分類・分析します。 脅威の検知:リアルタイムの脅威検知と対応を強化します。 予測分析:新たな脅威を予測します。 | 自動レポート生成:詳細な技術レポートを作成します 攻撃のシミュレーション:サイバー攻撃のモデリングとシミュレーションをします。 ツール開発:新しい分析ツールの開発を支援します。 |
ヒューマンインテリジェンス(HUMINT) | データの相関:人的情報源からのデータを他の情報源と関連付けます。 パターン認識:人間が提供したデータからパターンを識別します。 予測的洞察:過去のHUMINTデータを用いて将来の脅威を予測します。 | シナリオ作成:潜在的な脅威のシナリオを作成します。 言語処理:情報レポートを解釈・要約します。 インタラクティブアシスタント:処理と分析でアナリストをアシストします。 |
シグナルシェアリング | データ統合:複数のソースからの脅威データを統合および関連付けします。 リアルタイム分析:共有信号をリアルタイムで処理します。 リスク評価:共有信号のリスクレベルを評価します。 | レポート生成:インシデントレポートとアセスメントを自動作成します。 コラボレーションプラットフォーム:リアルタイムサマリーによるコラボレーションプラットフォームを強化します。 コミュニケーションの強化:実用的なインテリジェンスブリーフィングでコミュニケーションを改善します。 |
次に、これがどのように連動するのかを見ていきましょう。
AI による脅威の検知とインテリジェンスが企業を守る
脅威の検知とインテリジェンスのシステムには、4つの大きなコンポーネントがあります。
予測分析:過去の脅威データを分析することで、将来の脅威を予測ししようとしています。これは、大規模データセットから学習し、複雑なパターンを識別するために機械学習を使用します。生成 AI は、過去のデータと合成(フェイク)データを使用して将来の攻撃シナリオをシミュレートすることで、予測分析に貢献します。これは将来の脅威ベクトルの予測や攻撃傾向の予測に役立ちます。
行動分析:予測分析に似ていますが、ユーザーの行動に焦点を当てています。ユーザーの異常な行動から、標準的なセキュリティプロトコルが見逃している潜在的な脅威が明らかになる可能性があります。機械学習はデータ分析を自動化し、セキュリティ脅威を示す可能性のある異常を特定します。これらの異常は非常に微妙なものである可能性があり、手作業によるレビューでは簡単に見逃されてしまいます。生成 AI は正常な行動と異常な行動をモデル化して分析を改善し、無害な行動と悪意のある行動をより正確に区別します。行動分析は、検知システムが内部脅威を識別し、侵害されたアカウントを特定するのに役立ちます。
異常検知:このコンポーネントは、標準から逸脱した異常なパターンや挙動がないかどうか、ネットワークを監視します。機械学習は既知のデータから学習し、時間の経過とともに新しいタイプの異常に適応することでシステムを改善します。生成 AI は、検知モデルを改善し、新たな脅威に対してシステムをより強くするために、合成異常を作成します。ゼロデイ攻撃や通常とは異なるログインパターンがここで検出されるかもしれません。
パターン認識:ご想像の通り、これはデータ内の規則的なパターンや構造を識別するもので、既知のタイプのサイバー脅威を分類して検出するのに役立ちます。機械学習はこのプロセスを自動化し、認識の精度を向上させます。生成 AI は新しい攻撃シミュレーションのパターンを作成し、学習を向上させます。これは、マルウェアの種類の分類、脅威アクターの関係の特定、スピアフィッシング活動の認識に使用されることがあります。
脅威の自動検知とインテリジェンスを利用したセキュリティシステムは、企業のセキュリティを大幅に向上させます。インテリジェンスはシステムをより賢くします。脅威の検出は、現在または潜在的な脅威を常に探し、自動化はセキュリティプロセスを全社的に一貫したものにします。残念ながら、サイバー犯罪者はすでに AI を利用して攻撃を仕掛けてきています。受ける側も、AI を駆使したシステムを使って防御する必要があります。
バラクーダがサポート
バラクーダは、AI を搭載したセキュリティで、今日の複雑な脅威に存在するすべての主要な攻撃ベクトルを防御する包括的なサイバーセキュリティプラットフォームを提供しています。受賞歴のあるセキュリティおよびデータ保護製品の詳細については、http://www.barracuda.co.jp/ まで。
新しい e-Book も
バラクーダはこのほど、「Securing tomorrow: CISO’s guide to the role of AI in cybersecurity(明日をセキュアにする:サイバーセキュリティにおけるAIの役割に関するCISOのガイド)」と題した e-Book を出しました。この e-Book では、セキュリティリスクを調査し、サイバー犯罪者が攻撃の規模を拡大し、成功率を向上させるために AI の助けを借りて悪用する脆弱性を明らかにしています。今すぐ e-Book の無料コピーを入手して、最新の脅威、データ、分析、ソリューションのすべてをご自身の目でお確かめください。
原文はこちら
5 ways AI is being used to improve security: Threat detection and intelligence
May. 31, 2024 Christine Barry
https://blog.barracuda.com/2024/05/31/5-ways-security-ai-detection-intelligence
