AI時代のサイバー攻撃に備えて脅威インテリジェンスを再構築
提供: フォーティネットジャパン
本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「注目のCVEから攻撃対象領域全体へ: AIが脅威インテリジェンスをどのように再構築しているか」を再編集したものです。
長い間、防御側は実用的な優位性を持って活動してきた。毎年何千もの脆弱性が公開されているにもかかわらず、大規模な攻撃に現れるのはそのうちのごく一部に過ぎない。その代わり、同じCVEが事後分析レポートに何度も何度も登場していた。このパターンにより、優先順位付けが可能になった。セキュリティチームは、限られた一連のエクスポージャーに関するパッチ適用、検出、対応に集中でき、バックログの多くは理想的ではないものの、大規模に標的とされる可能性は低く、チームは特定されたパターンと各組織固有のリスク評価に基づいて優先順位を付けることができると受け入れることができた。
そのバランスが変わり始めている。
フォーティネットは、エンタープライズ、サービスプロバイダー、クラウド環境にまたがる、世界の次世代ファイアウォール市場の約半分からテレメトリを処理している。その可視性は、FortiGuard Labsからの脅威調査と組み合わせることで、国家支援型の活動からRansomware-as-Serviceキャンペーンまですべてをカバーしている。そのデータ全体にわたって、一貫した変化が無視できなくなってきている: 攻撃者は、実証済みのエクスプロイトの短いリストへの依存を減らし、より広範囲の脆弱性にわたって攻撃を適応、テスト、展開するためにAIと自動化をより多く利用している。
サイバー犯罪者志望者にとって最も重要だった制約は労力だった。エクスプロイトの作成、調整、運用化には時間とスキルが必要であり、それが自然とほとんどのグループがどれだけ広範に活動できるかを制限していた。自動化、AI、機械学習がその摩擦を減らした。コードが大規模に書き直され、適応され、テストされるようになると、信頼性の高い限られたターゲットに集中する代わりに、攻撃対象領域のはるかに多くの部分を調査することが現実的になる。その結果は、すべての脆弱性が悪用されるということではなく、はるかに多くの脆弱性が試みる経済的価値を持つようになるということである。
これは、防御側がエクスポージャー管理についてどのように考えなければならないかに直接的な影響を及ぼす。「最も悪用される」CVEの短いリストを中心に構築された戦略は、攻撃者の労力が希少なままである限りにおいてのみ有効である。規模とスピードが自動化からもたらされる場合、優先順位付けは通常の容疑者を超えて拡大し、より広範な環境全体のリスクを考慮しなければならない。それは今度は、脆弱性データ、ネットワーク動作、脅威インテリジェンスを別々の問題として扱うのではなく、単一の運用ビューに関連付けることができるプラットフォームにより大きな重みを置くことになる。
実際の運用における敵対的AI
サイバー犯罪におけるAIに関する公の議論の多くは、依然としてそれを将来の懸念として扱っています。しかし実際には、この概念はすでに有能なグループの活動方法を形作っています。改変またはジェイルブレイクされたモデルに依存するグループもあれば、外部依存を避けるために独自のローカルシステムをトレーニングして実行しているグループもあります。もちろん、そのアプローチにはより大きな投資と専門知識が必要であり、そのため当初は国家と連携する攻撃者や組織的犯罪グループの間で出現しています。しかし、方向性は明確です。
これらのツールは攻撃ライフサイクルを圧縮します。偵察、コード適応、ペイロード生成、およびコマンド&コントロールの要素はすべて加速できます。目的は完璧さではありません。それはスピード、反復、そしてより多くの攻撃者にわたるより高いベースラインレベルの能力です。部分的な自動化でさえ、防御側への圧力を変化させます。なぜなら、それはフィードバックループを短縮し、実行可能な試行の量を増加させるからです。
防御の観点から、統合された可視性はこれまで以上に重要です。ネットワーク、エンドポイント、クラウド環境からのテレメトリが一緒に分析されると、新しい技術が実験から日常的な使用にどのように移行しているかを確認することが容易になります。
これは、セキュリティとネットワーキング情報を統合し、大規模な脅威インテリジェンスに支えられた統合セキュリティプラットフォームが、ツールの集合としてではなく、チームとデータソース間の盲点を減らすために重要になる場面です。
孤立した深さではなく、規模での可視性
理想的な環境では、すべての組織が深いフォレンジック作業のために完全なパケットキャプチャを保持して分析するでしょう。しかし実際には、規模でその深いフォレンジック作業を行うために必要なストレージ、処理能力、およびアナリストの時間を持つチームは非常に少数です。そのため、ネットワーク中心の脅威ハンティングは、メタデータとNetFlowスタイルのテレメトリにますます依存しています。
このデータはより管理しやすいだけでなく、強力な脅威インテリジェンスと相関させると、異なる種類の可視性もサポートします。孤立した個々の指標に焦点を当てる代わりに、チームは運用上の質問に答えるパターンを探すことができます。攻撃者はアクセスを獲得しましたか? 彼らは次に何を試みましたか? 彼らはどのシステムと対話しましたか? このネットワークにとって何が正常な動作であり、時間の経過とともに何が目立ちますか?
ネットワークテレメトリ、セキュリティ分析、脅威インテリジェンスを統合できるプラットフォームは、大規模な環境全体でこの種の分析を実用的にします。代替案は、それぞれが単独では意味をなすものの、攻撃が実際にどのように展開するかを示すことができない、切り離されたビューの集合です。
攻撃がより自動化され、より分散化されるにつれて、この種のパターンベースの分析は、個々のアーティファクトを追跡するよりもはるかに重要になります。また、別の運用リスクも明らかにします:データ品質です。チームが完全な攻撃サイクルを追跡しようとするとき、少量の不良または誤解を招くデータが、それ以外は健全な分析を損なう可能性があります。それがアラート疲労が始まり、検知システムへの信頼が損なわれる仕組みです。正確さとコンテキストは、生のボリュームよりも重要です。
境界思考からビジネスへの影響への移行
現代の脅威インテリジェンスプログラムにおける最も重要な変化の1つは、純粋に技術的なリスクの見方から脱却することです。すべての組織には、極めて重要な意味を持つ少数のシステムやプロセスが存在します。これらのシステムが中断されると、企業は避けたい意思決定を迫られることになります。そして、それらが攻撃者が最も関心を持つ資産であり、その動機が金銭的、政治的、戦略的であるかを問いません。
将来を見据えたサイバー脅威インテリジェンス(CTI)チームは、これらの圧力ポイントを特定し、それらを中心に計画を立てる必要があります。問題は、どの脆弱性が新しいか、どの手法がトレンドになっているかだけでなく、どの障害が実際にストレス下で組織の行動を変えるかということです。これがセキュリティアーキテクチャが重要である理由です。エクスポージャー管理、ネットワークセキュリティ、脅威インテリジェンスが単一のプラットフォームの一部として機能する場合、技術的なシグナルをビジネスへの影響に結び付けることが容易になり、それらを別々の会話として扱う必要がなくなります。
予測技術と生成技術が向上するにつれて、攻撃者はこれらのレバレッジポイントを自力で見つけることがより得意になるでしょう。防御側が最初にそれらを理解することが不可欠です。
これは協力が重要である場面でもあります。世界経済フォーラムのサイバー犯罪アトラスなどの取り組みは、オープンソースの手法を使用してインテリジェンスパッケージを構築する価値を示しています。独自データを避けることで、これらの調査結果は法執行機関によって再現され、実際の事例で使用することができます。このアプローチは、研究を単なる分析のための分析ではなく、具体的な成果をサポートできるものに変えます。
セキュリティチームの運用上の現実
この会話には、技術的な議論にはほとんど登場しない別の側面があります。この仕事をしている人々は、持続的なプレッシャーの下で業務を行っています。労働時間は長いです。リスクは高いです。燃え尽き症候群は一般的です。そして離職はコストがかかります。
持続可能なセキュリティオペレーションは、ツールやプロセスと同じくらい、リーダーシップの選択に依存しています。これには、境界線を設定すること、必要に応じて休暇を強制すること、問題が危機になる前に捉えるための定期的なチェックインを維持することが含まれます。また、貢献が可視化され、評価されるチームを構築することも意味します。
効果的なルールの1つは、リーダーシップを他者が成功するための余地を作る方法として扱うことです。チームメンバーが公開、発表、そして自分の仕事が認められる機会を与えられると、パフォーマンスが向上し、定着率も向上します。実際には、これは現代のセキュリティプラットフォームをより有効に活用することにもつながります。これらのプラットフォームは、テクノロジーとそれがサポートするビジネスコンテキストの両方を理解する熟練したアナリストに依存しています。
問題がますます困難になる分野において、安定性と信頼は柔軟な懸念事項ではありません。それらは運用上の要件です。
次に来るものへの準備
AIは単一の変曲点ではありません。それは攻撃がどのように開発され、拡大するかを再構築し続ける複合的な要因です。実際的な結果として、攻撃者の視点から見た実行可能な攻撃対象領域が着実に拡大しています。
防御側も選択肢がないわけではありませんが、これまで当然と考えられてきた前提のいくつかが薄れつつあります。脆弱性に焦点を絞ったアプローチの信頼性は低下するでしょう。ネットワーク、クラウド、エンドポイント環境全体にわたって拡張可能な可視性は、限定的なケースでのみ機能する深度よりも重要になります。脅威インテリジェンスは、単なる技術的な新規性ではなく、ビジネスへの影響に根ざしたものである必要があります。そして、この業務に携わる人材のスキルアップを継続的に行うことは、彼らが運用するシステムの更新と同様にクリティカルであり続けるでしょう。
防御側が脆弱性の状況の小規模で予測可能な一部分に集中できた時代は終わりを迎えつつあります。次の段階は、双方における自動化と、単一の運用モデル内でデータ、コンテキスト、アクションを接続できるプラットフォームのより大きなニーズを伴い、環境全体にわたるエクスポージャーを管理することです。
本記事はアフィリエイトプログラムによる収益を得ている場合があります