効果的なITセキュリティにとってAIと機械学習がますます重要になる理由

セキュリティ専門家の観点から見ると、現在、AI と機械学習を導入する必要性が高まっています。彼らは、脅威の検出を自動化し、悪意のある動作にフラグを立てる方法を模索しています。手動の方法を置き換えることで、時間とリソースが解放され、他のタスクに集中できるようになります。

この課題は、現在の多くのセキュリティ監視ツールによって生成される大量のアラートや誤検知によってさらに悪化します。また、セキュリティ分析に取り組んでいる企業チームは、これらのアラートで新たな脅威を識別できないことに気付く場合があります。

[[318532]]

人工知能と機械学習の力

ここで、AI と機械学習が真の価値を発揮します。機械学習は、特定の種類のパターンを識別および予測する場合、人間よりも優れた機能を提供します。これらの新しいツールは、既知のパターンに関する知識を必要とするルールベースのアプローチを超えることもできます。代わりに、IT インフラストラクチャ内の典型的なアクティビティ パターンを学習し、攻撃の兆候となる可能性のある異常な逸脱を見つけることができます。

しかし、AI や機械学習などの最新ツールは CISO のサイバーサポート インフラストラクチャを強化できますが、組織は依然としてインシデントに対応して回復するために人間の関与を必要とします。たとえば、これらの担当者は、問題が誤検知であるかどうかを判断し、影響を受けるチームとコミュニケーションを取り、他の組織とのアクションを調整します。

確かに、今日のセキュリティ製品では SOC を完全に自動化したり、セキュリティ アナリスト、インシデント対応者、その他の SOC スタッフの必要性を完全に排除したりすることはできませんが、テクノロジーによって特定のプロセスを合理化および自動化し、人間の対応者の必要性を減らすことはできます。

機械学習技術は、組織のインフラストラクチャのセキュリティを向上させるさまざまな方法を提供します。これらには以下が含まれます:

• 脅威の予測と検出。異常なアクティビティを評価して新たな脅威を特定します。
• リスク管理には、ユーザー アクティビティ、資産の内容と構成、ネットワーク接続、その他の資産属性の監視と分析が含まれます。
• 組織の資産と弱点が存在する可能性のある場所に関する知識を使用して、脆弱性情報を優先順位付けします。
• 脅威インテリジェンス管理。脅威インテリジェンス フィード内の情報をレビューして品質を向上させます。
• セキュリティ インシデントおよびインシデントの調査と対応。インシデントからの情報を確認および分析して、次のステップを決定し、最も適切な対応を組織化します。

人工知能とユーザーおよびエンティティの行動分析 (UEBA)

これらの新興テクノロジーがセキュリティ チームを支援できるもう 1 つの領域は、ユーザーおよびエンティティの動作分析 (UEBA) です。ユーザーベースおよびエンティティベースの脅威はますます懸念されており、新しいアプローチが必要です。

Verizon の最近のデータ侵害レポートによると、確認されたデータ侵害の 63% は、盗まれたアクセス認証情報を使用して正当なユーザーになりすましたり、正当なユーザーのアクセス権を悪意のある目的で悪用したりする攻撃者によるものでした。

ただし、内部脅威を検出するには、セキュリティ ツールがまずユーザーの行動を理解して基準化できなければなりません。ここで機械学習が真の価値を発揮します。ユーザーおよびエンティティの動作分析 (UEBA) ソリューションは、ベースラインの動作とパターンを確立し、統計モデル、機械学習アルゴリズム、ルールを組み合わせて異常を検出することで、受信トランザクションを既存のベースライン プロファイルと比較できます。潜在的な脅威にはフラグを付けて、さらに調査して対処することができます。

AI がユーザーおよびエンティティの行動分析 (UEBA) を支援できる具体的な領域は次のとおりです。

• アカウント侵害: AI 搭載ツールは、使用された攻撃ベクトルやマルウェアに関係なく、ハッカーがネットワーク ユーザーの資格情報にアクセスしたかどうかを検出できます。
• 内部脅威: ベースラインのユーザー行動を確立することで、これらのツールは、そのベースラインから外れた異常な高リスクのアクティビティを検出してフラグを立てることができます。
• 特権アカウントの不正使用: AI を活用したユーザーおよびエンティティの行動分析 (UEBA) ソリューションは、侵害された資格情報やこの特権データを含むシステムへの横方向の移動を検出することで、機密情報にアクセスできる特権ユーザーに対する特定の攻撃を識別します。

ITセキュリティの継続的な改善

AI と機械学習のテクノロジーを組み合わせることで、サイバーセキュリティの脅威を防止し、対処するためのより優れた方法を見つけようとするセキュリティ チームに多くのメリットがもたらされます。

ただし、このテクノロジーが提供するすべての機能を実現するには、セキュリティ チームは実行する必要があるいくつかの重要な手順を念頭に置く必要があります。これらには以下が含まれます:

• 組織全体のセキュリティ関連のすべてのイベントを示す、高品質で構造化された大量のデータにリアルタイムでアクセスできる機械学習ベースのツールを提供します。
• 観察されたすべてのアクティビティと検出された異常の意味と重要性を理解するために必要なコンテキストをツールに提供します。
• 大量の高品質のトレーニング データを教師あり学習に使用して、アクティビティに有益なツールとそうでないツールをツールに教育します。

適切に導入および管理された AI と機械学習を活用したツールは、セキュリティ チームに重要なサポートと支援を提供します。隠れた脅威を検出し、誤検知を最小限に抑え、インシデント対応を迅速化し、セキュリティ オペレーション センター (SOC) の運用を合理化することで、コストを削減し、効率を高めます。

人工知能と機械学習の開発はまだ始まったばかりであり、今後数年間でその能力は加速し続けるでしょう。テクノロジーが何を実現し、組織にどのような価値をもたらすかを理解するために時間を投資することは価値があります。