EllieMae が脅威ハンティングに AI を活用する方法

より積極的な基盤を構築するために、一部の組織では、攻撃が発生する前にデータを精査して高度な持続的脅威 (APT) を発見するセキュリティ対策である脅威インテリジェンスを導入しています。全国の住宅ローン申請の約 44% を処理するクラウドベースのプラットフォームを提供する AllyMay などの企業は、予測分析を活用して自律的な脅威ハンティング機能を展開することで、脅威インテリジェンスを次のレベルに引き上げています。

[[332806]]

「脅威ハンティングは本質的に非常にプロアクティブなものです」と、AllyMay の上級副社長兼最高セキュリティ責任者であるセリム・アイシ氏は語ります。「攻撃が起こるのを待つわけではありません。攻撃が起こる前、マルウェアが発見される前でさえ、脅威の程度を識別して調査するために脅威の調査を開始します。」

AllyMay は、ランサムウェアなどの脅威への対応として、2 年以上前から高度で持続的な脅威に対する自律型脅威ハンティング プログラムの開発を開始しました。Aissi 氏は、ランサムウェアをあらゆる企業にとって最も存在を脅かす、最もコストのかかる脅威と呼んでいます。このプロジェクトにより、Ellie May は IT 分野における優れた業績に対して CIO 100 賞を受賞しました。

2019年12月、Emisoftのマルウェア研究所は「国家のランサムウェアの現状」に関する報告書を発表し、米国は2019年に「前例のない容赦ないレベルのランサムウェア攻撃」に見舞われ、身代金の支払い、データ復旧、フォレンジック調査、収益損失など、潜在的なコストが75億ドルを超えると結論付けた。

「私たちの業界や類似の業界が直面している最大の脅威はランサムウェアです」とアイシ氏は言う。「ランサムウェアはすべての企業に壊滅的な影響を及ぼします。SaaS 企業では、サービスが数日または数週間停止すると大惨事になります。」

ランサムウェアへの積極的な対応

アイシ氏は、従来のランサムウェア対策技術は静的な脅威対策しか提供していないため、新たに出現する高度なランサムウェア技術に対応するのが難しいと述べた。過去のランサムウェア攻撃から積極的に学び、新たな侵害の兆候を理解し、新たな回避手法を発見して、それを使用します。 EllieMae の Autonomous Threat Hunting プログラムはまさにそれを実行し、脅威インテリジェンス、予測分析、人工知能、確立された侵害指標 (IOC) を活用して、それらを既存のセキュリティ制御に組み込みます。

効果的な脅威インテリジェンス プログラムにとって最大の課題の 1 つは、膨大なデータ量です。 EllieMae は、侵害の兆候 (IOC) に関するデータを手動で処理し、その分析情報をさまざまなセキュリティ ツールに入力することから始めます。しかし、その基盤が築かれると、アイシ氏と彼のチームは、組織がタイムリーに行動できるようにする「非常に積極的な自動化の旅」に乗り出しました。

「さまざまなソースからのデータの集約を自動化し、検証を自動化し、セキュリティ運用のアラートを自動化しました」とアイシ氏は語ります。「これは私たちの取り組みにおける大きな前進でした。」

もう一つの大きなステップは、経営陣と利害関係者の賛同を得ることです。アイシ氏はまず、上級経営陣、取締役会、規制当局、経営諮問委員会と会談した。

「過去 3 年間、当社の脅威ハンティング プログラムの検証を何度も行ってきました」と Aissi 氏は語ります。「この件については多くの意見をいただいています。明確な計画とロードマップに基づいて実行していますが、まだ完了ではありません。」

多くの大規模な変革プロジェクトと同様に、変更管理は不可欠な要素となっています。

「変更管理の観点から見ると、セキュリティ運用チームとエンジニアリング チームへの影響は大きい」とアイシ氏は言う。「こうした機能の多くは手作業で行われる傾向があり、セキュリティ アナリストが脅威情報を収集し、その情報をさまざまなツールに手動で入力する必要があります。私たちはこれに適応し、セキュリティ アナリストとエンジニアがこの新しい自律的な方法を採用できるようにトレーニングする必要があります。」

Autonomous Threat Hunting プログラムは独立した取り組みではないため、変更管理は Aissi にとって特に重要です。現在、脆弱性管理プログラムやパッチ管理など、サイバーセキュリティ組織の業務のあらゆる側面に組み込まれています。ただし、そうすることで得られるメリットは、手動による脅威ハンティングのタスクがなくなり、セキュリティ エンジニアやセキュリティ アナリストが他のタスクに集中できるようになり、チームは静的な監視と検出しか実行できない複数のセキュリティ ツールを使い続ける必要がなくなることです。

このプロジェクトでは、部門間の高度な連携も必要でした。セキュリティ チームは、エンジニアリング、インフラストラクチャ、クラウド、品質保証の各部門と緊密に連携して、ランサムウェアの影響を受ける可能性のあるすべての重要な資産と、マルウェアの拡散に使用されるすべてのネットワーク プロトコルを検出しました。これらのチームは、ランサムウェアの潜在的な影響を評価するために、ビジネス影響評価でも協力します。セキュリティには、法律、プライバシー、主要顧客、法執行機関との調整も含まれ、テクノロジーの自律的な側面が法律およびプライバシーの義務に準拠していることを確認します。

アイシ氏は、このプログラムによりセキュリティ運用の効率が約 35% 向上し、脅威の早期検出が約 10 倍向上したと述べた。また、新たな脅威への対応速度も約 60% 向上した。

脅威ハンティング プログラムを開始しようとしている他のセキュリティ専門家に対する Aissi 氏のアドバイスは、戦略的かつ長期的な視点を持つことです。

「自律的な脅威ハンティングは、一夜にして開始できるものではありません」とアイシ氏は言う。「多くの計画、人材とツールに関する多くのトレーニング、明確なサービス レベル契約、投資、統合、自動化が必要です。」

アイシ氏はまた、脅威ハンティングに取り組む前に強力な脅威インテリジェンス機能を構築する必要があると強調しました。最後に、社内の他の関係者とプログラムを調整するように注意してください、と彼は言いました。