Cybersecurity システムは混乱に陥りやすい。長年にわたり、個別のツールが急増し、それぞれが独自のデータ形式を持ち、さまざまなデータが氾濫している。また、そのデータを評価できる熟練したサイバーセキュリティアナリストが世界的に不足している(見つけられたとしても非常に高価である)。最後に、ハッカーはますます賢くなり、より創造的になっている。AIはこれらの問題の解決策となるはずだったが、大規模で思慮深く計画されたインフラストラクチャを必要とするため、大規模な問題に対処するのにはあまり役に立たなかった。この記事では、AIの役割について見ていく。 サイバーセキュリティのAI システムとそれがどのようにして真に革新的なテクノロジーになるのかについて説明します。
AIはニセ薬
AIはサイバーセキュリティソリューションを説明するマーケティング資料でよく取り上げられていますが、これまでのところ、想像するほど変革をもたらしていません。市場規模が年々拡大しているにもかかわらず、 年平均成長率20.5パーセントAIをセキュリティ問題に導入するのは依然として運用上困難です。現代の セキュリティオペレーションセンター(SOC)おそらく、見にくいダッシュボードとCNNを備えた大型テレビや、ますます複雑化する攻撃に直面して企業内で何が起こっているかを見極めるために手作業でデータを相関させることに時間を費やしているセキュリティアナリストが、おそらく仕事に苦痛を感じているだろう。もし人間がそれをしているのなら、次のような疑問が湧いてくる。 「AIはどこにありますか?」
Cybersecurity は厄介な運用上の問題であり、これが AI による変革が遅れている理由です。脅威が通常のアクティビティと同一に見える場合、何百ものテレメトリ ソースから企業内の脅威を見つけるのは非常に困難な問題です。さらに、各セキュリティ ツールからのデータはさまざまな形式をとる可能性があり、AI システムのトレーニングに使用する前に正規化する必要があります。
業界やユースケースに関係なく、AIはデータから学習します。 AIエンジン 異常かどうかの学習を開始できるように、データでトレーニングする必要があります。セキュリティの問題が非常に厄介なのは、それが理由です。すべての企業のセキュリティ データは、異なるツールや動作パターンによって、少なくとも少し異なって見えますが、最大限になると、データが大きく異なります。セキュリティには、画像認識システムや音声認識システムのようにライセンスできるゴールデン トレーニング データセットはありません。セキュリティの問題に対処するために AI を使用する場合は、独自のデータを作成して取得する必要があります。
AIエンジンに役立つようにデータを正規化することは大きな課題です。この問題は非常に重要であるため、主に自動運転車アプリケーションに焦点を当てたAI開発用のデータAPIを作成するスタートアップであるScale AIは、 創業から7年も経たないうちに評価額XNUMX億ドルを獲得Scale AI はすでに、世界で最も革新的な組織の多くを顧客として抱えています。
変革をもたらすAIは何をもたらすのか
セキュリティにおける AI は、最終的には攻撃と防御の両方で変革をもたらす可能性がありますが、それはまた別の機会にお話ししましょう。ここでの「変革」とは、セキュリティのあらゆる部分にわたる広範な変革を意味し、企業のセキュリティへの取り組み方を根本的に変えることになります。現時点では、AI によってセキュリティを向上できる限られたアプリケーションに満足しなければなりません。
それでも、セキュリティ分野でAIが活躍できる分野はいくつかあります。データの問題をよく考えれば、簡単に見つけられます。セキュリティスタックのどの部分がクリーンでトレーニング可能なデータを生成するのでしょうか。メール詐欺やマルウェア検出は、その好例です。 AIエンジン 利用可能なフィッシングの例やマルウェア シグネチャから学習し、同様のエクスプロイトを見つけることができます。顧客のメールやマルウェア サンドボックス全体のデータを使用して、エンタープライズ製品を強化する AI モデルをトレーニングできます。ネットワークを横方向に移動する攻撃 (ファイアウォールから Active Directory サーバー、データ サーバーなど) を検出するなどの問題に同じトレーニングを実装するのははるかに困難です。これは、この横方向の移動が企業ごとに少しずつ異なるためです。
企業のデジタルオペレーション全体を幅広く保護するAIの開発は、ある意味では今日の自動運転車メーカーが行っている取り組みに似ている。例えば、2009年以来、ウェイモの自動運転車ソフトウェアは、 15億マイルのシミュレーション運転と20万マイル以上の公共運転体験Waymo は、さまざまな忠実度レベル (シミュレーション、クローズド コース、現実世界) でテストを行う厳格なアプローチを採用しており、何千ものバリエーションのシナリオを実行し、改善を目的としてデータを収集しています。
これはセキュリティにおける AI の完璧な例えではありませんが、かなり良い例えです。シミュレーション データによるテスト、シミュレーションまたは実際の攻撃によるラボ環境でのテスト、さまざまな企業での実際の運用でのテストです。よりクリーンなデータへの自然なアクセスに関するセキュリティの問題は、真の AI 搭載製品によって、エンタープライズ セキュリティ スタック全体にわたるより困難なデータの問題よりも早く発生します。そこに到達するには時間と資金が必要であり、データの問題に徹底的に焦点を絞ったイノベーションが、まず第一に、広範な変革を解き放つための鍵となります。現在、多くのセキュリティ ツールは、インフラストラクチャ全体の特定の問題点にサイロ化される傾向があるため、データの正規化に焦点を当てていません。
セキュリティにおけるAIの変革とは
すべての IT イニシアチブ、構成、セキュリティ ログ、アラートが、その特定の分野における世界トップクラスのセキュリティ専門家によって、業務を中断することなくリアルタイムで確認できると想像してください。エンタープライズ アナリストがその専門家に相談し、指示を受けることができると想像してください。セキュリティにおける AI は、最終的にはそのようなものになるでしょう。
どのように?データの複雑さを軽減する思慮深いデータ資産に基づいて構築された製品は、最終的にカテゴリの王者になるでしょう。そうでなければ、製品は顧客間で機能せず、サービスのような利益率の製品となり、拡張できません。(アンドリーセン・ホロウィッツは興味深いことに、エンタープライズAI企業のほとんどが AIの構築と拡張には固有のコストがかかるため、同等のSaaSビジネスに比べて利益率が大幅に低い.)
これらの将来のカテゴリーキングは、データが本当に資産とみなされ、製品の自己改善性に役立つようになるまで、おそらく何年もかけてデータインフラストラクチャと収集に投資する必要があります。しかし、これらの企業の王がAI用の真のデータ資産を獲得すると、彼らの革新のペースは競合他社が追いつくのが困難になり、直感的な製品を維持できる限り、彼らはカテゴリーキングの座に就くでしょう。検索エンジンカテゴリがGoogleに急速に統合されたのと同じように、データ集約型のサイバーセキュリティソリューションでも同じことが起こるでしょう。特に、セキュリティ情報とセキュリティの分野での大規模な統合に注目してください。 イベント管理(SIEM), 拡張検出および対応(XDR), エンドポイントの検出と応答(EDR), ネットワークの検出と応答(NDR) 市場。
そのため、AIは、電子メール詐欺やマルウェアの例で述べたように、データの複雑さが少ない小さな問題で最初にセキュリティに登場しています。その後、AIはより複雑なデータの問題に徐々に導入されますが、データの複雑さを管理することに徹底的に重点を置いた製品だけが、意味のある結果をもたらすでしょう。 AIエンジン。 AI 駆動型セキュリティ プログラムが効果を発揮するには、利用可能なすべてのセキュリティ ツールと脅威フィードからデータを収集し、そのデータを正規化して AI エンジンのトレーニングに役立てる必要があります。これが、サイバーセキュリティにおける AI の将来像です。
著者について
サム・ジョーンズは Stellar Cyber, Inc. の製品管理担当副社長です。経験豊富な製品開発リーダーであり、顧客に愛される AI およびセキュリティ製品の構築で実績があります。AI/ML、データ インフラストラクチャ、セキュリティ、SaaS、製品設計、防衛の分野で豊富な経験があります。サムは、Palantir Technologies や Shield AI などの企業で製品およびエンジニアリングの役職を務め、米国空軍ではサイバー防衛戦略に携わりました。コーネル大学で電気工学およびコンピューター工学の学士号を取得しました。
