エグゼクティブインサイト:AIを活用したサイバー犯罪の優位性のリバランス

私はサイバーセキュリティのランドスケープ全体を注意深く観察してきましたが、そこには現在、厄介なトレンドがあります。対処されなければ、これまでにない深刻なレベルの損害と極めて不安定な状況を生み出す可能性があると考えています。サイバー犯罪者はデジタルトランスフォーメーションに伴うアタック・サーフェスの拡大、既製のマルウェアと新たな利益を得るマルウェアの卓越した容易さとアクセスのしやすさを活用します。さらに、ITチームが変更管理に忙殺されるなか、適切なパッチを更新しシステムを強化し続けるために必要なリソースが不足している状況も彼らにとっては好都合です。

厳しい問題ではありますが、賢明で体系的なアプローチを取れば、解決に天才は必要ありません。結局のところ、天才は1%のひらめきと99%の努力なのです。


問題

単にスピードを上げる以外の方法で追いつく

マルウェアの速度と種類の増加はサイバー防衛を危機にさらしますが、これはクモが後で捕食するために完全武装の犠牲者を捕まえる方法と非常に良く似ています。私たちはこれらの攻撃に対抗する新たな方法を見つけなければなりません。明らかな選択肢は、敵のスピードに自分のスピードに合わせることです。しかし、それは処理能力を抑制することになり、重要ではありますが、不完全なこともある提案です。デジタルトランスフォーメーションを何とか達成すべく変化のスピードについて行くだけですでに疲弊しきっているITチームは、システムに適切なパッチを当て強化するため、可能な限り最も効率的な方法で手持ちのリソースをかき集めて展開しようと奮闘しています。

攻撃のコストは低いが、防御のコストは高い

いかにベテランを集めても、簡単にアクセスしてくるダークウェブ全体のマルウェアに1つのITチームで対抗するのは現実的ではありません。この怪しいデジタルブラックマーケットは、カスタムコードの作成から、マルウェアを生成できる市販のアプリケーション、オンライン上でマルウェアやランサムウェアアプリケーションを選ぶだけで良いmalware-as-a-service (サービスとしてのマルウェア) など、犯罪者のための多数のサービスを提供しています。そこにはヘルプデスクさえあるのです。CISOとITチームは、時には不可能であると思えることを達成するという任務を負っています。この状況は、サイバーセキュリティ業界においてすでに不足している専門家たちの燃え尽き症候群、離職、落胆につながる危険な道筋なのです。

永遠のゼロデイ

それだけでも大変ですが、さらに急速なポリモーフィズムの問題があります。マルウェアが公開されると、ハッカーは自分の目的に合わせてマルウェアを修正します。WannaCryが公開されてから12時間も経たないうちに、アラインされた亜種のマルウェア群がネットワーク上に解き放たれました。もともとランサムウェアとして設計されたWannaCryの亜種の1つは、実際にはビットコインマイニングのボットネットでした。合法的なオープンソース開発を兵器化した突然変異のように、多様なトランスフォーメーションはほんの数時間のうちに何百回も起こり得るのです。そしてそれは数週間または数ヶ月続きます。さらに、永遠にゼロデイになるようそのシグニチャを変えるよう設計されている自己書き換えコードの存在もあります。

現在直面している脅威の高度化に対抗するために、最もすばやく最も人目につかない脅威さえ見つけて対応するというネットワークセキュリティ事業者の意図を実施できるよう、センサー、センスメーカー、アクチュエーターを統合して支える必要があります。インテリジェントな対応の精巧さを活用する情報の収集、処理、行動のための統合的な手段がなければ、『AI』に見るべき夢はありません。

これに関連することですが、サイバーセキュリティの熟練アナリストやエンジニアの数が不足している状況下では、優れた人的専門知識のリソースを賢明な方法で活用しなければなりません。単純な意思決定と処理は自動化されたシステムに任せ、人間の能力は最も重要な決定に集中させる必要があります。

多くのものと同様に、AIの真の能力は主要な構成要素に基づいて出現します。

スピード

その完成があまりに遅れるとAIには価値がなくなります。スピードは不可欠なイネイブラーです。

高度な分析サービス

アンチウイルスシグネチャなどの従来のマルウェア検出法は必要なものですが、十分ではありません。特に敵の攻撃速度に基づく相対的な値において作成、生成される圧倒的な攻撃に追いつくためには不十分なのです。シグネチャは1対1で一致する必要があるため、マルウェアの数字の文字列を変更するとシグネチャを無効にできる場合には、高度な技術がコンテンツパターン認識言語(CPRL)を利用します。CPRLは、マルウェアをサンドボックス内で分解して、動作とコードを調べ、コードブロックを使って変更されたマルウェアさえも特定します。素晴らしい技術です。

組織化された分析

しかし、サンドボックス技術は確かにサイバーセキュリティに欠かせないもので、きちんとした企業であればこの技術は必須のものですが、サンドボックスも常に改善される必要があります。フォーティネットでは、未知のマルウェアを見つけるだけでなく、ネットワーク上で他の人々に自動的に警告を送信し、何が悪意のあるものなのか、何がそうでないのかを見分ける見識を養ってもらえるようサンドボックスを使用しています。また、他の分析論を活用して洞察を生み出し、個々の分析論の結果を統合することで、単独の分析から逃れてしまう可能性のある攻撃を特定します。安全な組織化の商業的規律は、現在事業者が手動で実施する必要のある多くのものをシステムが自動的に実行可能にするソリューションとして浮上しています。

マシンが最も得意なことをさせるためにマシンを利用する

サイバーセキュリティの熟練アナリストやエンジニアの数が不足している状況下では、優れた人的専門知識のリソースを賢明な方法で活用しなければなりません。自動化されたシステムに単純な意思決定と処理を任せ、人間の能力を最も重要な決定に集中させる必要があります。つまり、人間をループから外し、ループの上に配置するリスクベースの意思決定エンジンを開発して展開する必要があります。迅速で専門的な分析と統合に次いで、リスクエンジンはAIへの第3の大きなステップとなります。エンジンはほとんどの状況に対して『OODAループ』(Observe(観察)、Orient(状況判断)、Decide(意思決定)、Act(行動))を実行します。あらかじめ用意された行動指針(COA)によって、貴重なサイバーセキュリティ専門家は人間の認知と介入が最も必要とされる、より困難な決定に集中できるようになります。そのようなエンジンの中でも最も洗練されたエンジンは、あらかじめ定義されたものに依存するのみならず、実際にCOAを提案します。


言われたことではなく、意味をくんで行動しなさい:意図に基づくネットワークセキュリティ

リスクベースの意思決定エンジンにより可能となる、速度、統合、および自動化の中核的なサイバーセキュリティアーキテクチャ戦略に、高度な分析を組み合わせれば、意図に基づくサイバーセキュリティを実現することができます。意図に基づくセキュリティは、人間の認知レベルを超えた複雑さを管理するという負担をかけることなく、ネットワーク事業者の目標を達成します。

ですから、AIへの最終的なステップは、実際には実現可能なのです。組織が、速度、統合、高度な分析、リスクベースの意思決定エンジンといった戦略的なイネイブラーに対して速やかに優先順位付けするならば、それぞれが最も得意なことを驚くべき速さで実行するために、人とマシンのリソースの両方を活用する非常に効率的なセキュリティモデルを作成する準備は整っているのです。しかし、ますます洗練されてゆく力をつけた脅威アクター勢力の成長に追随しようと歩調を合わせるために突き進めば、やがて自分たちが静止しているように感じ、すでに別の攻撃に移ったサイバー犯罪者に後れを取ることになるでしょう。


この記事はCSOに掲載されたものです。