AI 駆動型ハイパーオートメーションがサイバーセキュリティを変革する仕組み
AIと機械学習が企業のサイバーセキュリティを向上させる方法
複雑な脅威の状況をすべての点と点をつなぐ
AI を活用したセキュリティを実際に体験してください。
脅威を即座に検出して対応する Stellar Cyber の最先端の AI をご覧ください。今すぐデモをスケジュールしてください。
サイバーセキュリティの3つの柱を自動化
企業のネットワーク全体で生成される膨大なデータは、単純な手動追跡では手に負えません。データの収集、分析、脅威の修復にわたって、各分野の自動化の成熟度レベルを定義し、Stellar Cyber が AI 主導のハイパーオートメーション内で最高の成熟度をどのように推進しているかについて説明します。
データ収集の自動化
ログ収集
ログは、サイバーセキュリティ監視の基本であり、アプリケーション、ネットワーク デバイス、サーバーによって作成されたイベントの記録です。
最も基本的な成熟度レベルでは、ログはログ レプリケーションを介してサイバーセキュリティ アナリスト プロセスに組み込まれます。アナリストは、サーバーまたはデバイス上にローカル スクリプトを手動で設定し、すべてのログを定期的に複製して中央リポジトリに保存します。主にログのバッチ処理に使用され、各ログは人間が読める形式になっていることが多く、アナリストが手動で問題を解決しようとしているときや、セキュリティ インシデントがどのように始まったかを調べているときにのみ読み取られることがよくあります。
自動化の成熟度が中程度になると、このプロセスは、通常は API またはより深いアプリケーション構成を介して、中央管理システムにログを自動的に取得することで、リアルタイムの可視性を組み込み始めます。ログの個々のフォーマットもよりマシン中心になり、ログ管理ツールで簡単に取り込める構造化されたレイアウトに重点が置かれるようになります。アナリストは、どのデバイスを含めるかを選択する際にこれらのツールを手動で支援する必要があり、時間の経過とともにサンプルに戻ってログ管理方法を調整する必要があることがよくあります。
最後に、最も自動化されたログ取り込みは、純粋な収集システムを超えて、自動デバイス検出を組み込むことになります。API、ログ ソース、ネイティブ センサーのいずれを介してでも、ネットワーク上のアクティビティに関係なく、すべてのエンタープライズ デバイスを検出して追跡できます。
ネットワーク セキュリティの監視
ネットワーク セキュリティ監視では、アプリケーション内の個々のアクションから一歩離れて、企業ネットワークを流れるトラフィックを監視して悪意のあるアクションを評価します。
ネットワーク セキュリティ監視に対する AI 以外のアプローチは、これまではうまく機能していましたが、サイバー犯罪者は AI 以外のアプローチを急速に適応させてきました。古いセキュリティ ツールは、ネットワーク パケット情報を既知の戦略の事前作成されたリストと比較するだけであり、古いファイアウォールは、今日のエンドツーエンドの暗号化トラフィックに対処するのに苦労しています。
自動化されたネットワーク セキュリティ ツールは、パブリック クラウド、プライベート クラウド、オンプレミス ハードウェアなど、はるかに広範囲のネットワークから情報を収集できます。 Stellar Cyberのネットワークセンサー 徹底的に調査し、すべての物理スイッチと仮想スイッチにわたってメタデータを収集します。センサーはディープ パケット インスペクションを介してペイロードをデコードし、Ubuntu、Debian、Red Hat とともに Windows 98 サーバー以上で動作できます。
こうしたデータをすべて収集することは、強固なサイバーセキュリティの基盤となる可能性がありますが、それを洞察につなげ、重要なことに、行動に移す必要があります。
データ分析の自動化
データ分析には、常に実際の人間の専門知識と知識が必要になります。しかし、自動化された分析の進歩により、アナリストは時間的に重要な意思決定をこれまで以上に明確に行うことができるようになりました。
自動化の初期段階でのイベント分析では、パッチ適用が必要なソフトウェア バージョンであれ、見落とされた欠陥であれ、アナリスト自身が点と点を結び付ける必要があることがよくあります。最悪のシナリオでは、アナリストが気付く前に、攻撃者が欠陥に気付き、積極的に悪用します。まだ手作業ではありますが、さまざまなデータ形式をすべて中央ダッシュボードにまとめることが、今や広く普及しているセキュリティ情報およびイベント管理 (SIEM) ツールの基礎となっています。
約 10 年前、経験豊富なセキュリティ専門家が誇る能力の 1 つである、以前に目撃した攻撃を認識する能力が、シグネチャ ベースの検出のおかげで、新しいチームでも突然利用できるようになりました。こうして、組織は中程度の自動分析の恩恵を受け始めました。ファイルのシグネチャまたは IP アドレスが以前にタグ付けされた攻撃と一致した場合、アナリストはすぐに警告を受けることができます (通常は SIEM ツール経由)。
しかし、この基本的な形式のイベント分析では、ゼロデイ攻撃や新しい攻撃に対する答えが本質的にはまだありませんでした。さらに、アナリストはさらに大きな課題に直面していました。セキュリティ イベントが、処理できる速度よりもはるかに速く生成されていたのです。
自動分析については(おそらく)すでにご存知でしょう
異常ベースの行動分析は攻撃を予測して防止することができますが、誤検知が発生しやすく、インシデント対応ワークフローが乱雑になる可能性があります。これが、セキュリティ自動化の最終層が今日最も大きな変化をもたらしている部分です。
インシデント対応の自動化
最後の 2 つのステップ (データの収集と分析) は、どちらもインシデント対応という 1 つの目的につながります。
基本的なレベルの自動化に依存するインシデント対応では、マルウェアに感染したデバイスを隔離する際にアナリストが手動でネットワーク アクセスを無効にし、リモートで新しいソフトウェア パッチをインストールし、アカウントが侵害された可能性のあるユーザーのパスワードとユーザー名をリセットする必要があります。これらは主にリアクティブであることに気付くかもしれません。これは、手動介入の遅いペースによるものです。
インシデント対応の自動化の中級レベルに進化したこのソリューションは、行動分析を基盤としてそれに応じた行動をとります。多くの場合、疑わしいユーザーによる重要なリソースへのアクセスを自動的に拒否したり、専門分野に応じて適切なアナリストに警告したりします。プレイブックにより、セキュリティ チームは自動応答を完全に制御できるため、AI 搭載ツールは日常的なサイバーセキュリティの繰り返しの日常的なタスクを優れたパフォーマンスで実行できます。
ただし、このレベルのインシデント自動化は、誤検知という 1 つの問題に非常に敏感です。誤検知により、ユーザーまたはデバイスに誤って制限が課され、生産性に重大な影響が出る可能性があります。成熟したインシデント対応パイプラインを持つ企業は、すでに高精度のインシデント対応プロセスを開発しています。これはハイパーオートメーションによるものです。
Stellar Cyber のハイパーオートメーションがインシデント対応を変革する方法
はじめに、ハイパーオートメーションとは、自動化を階層的に積み重ねることで、ビジネスにおける最大限の成果を生み出すプロセスであると説明しました。成熟したセキュリティスタックでは、ハイパーオートメーションは、機械学習アルゴリズムによる詳細なパターンベースの分析と、インシデントのコンテキスト化のプロセスを組み合わせています。
Stellar CyberのGraph MLは、個々の異常アラート間の相関関係をマッピングし、ケースへと構築します。つまり、数千ものアラートを、それらが関連している可能性のある数百の真のイベントへと変換します。各ケースは、個々のアラートの固有の特性に応じて自動的にエンリッチメントされ、優先順位が付けられます。最終的に、アナリストは単一の参照点、つまり組織全体の行動、欠陥、デバイスを整理したケースへとまとめたダッシュボードを利用できるようになります。
組織がまだ自動化の成熟度に達していない場合でも、ご心配なく。ツールは数年ごとにアップグレードされるため、自動化の成熟度は散発的に進むのが普通です。Stellar Cyberが市場で最も費用対効果の高いOpen XDRプラットフォームを提供する理由にご興味をお持ちの方は、 今すぐデモをお試しください.
