AIによる脅威検出: 明日の脅威検出にはAIが必要
脅威の検出と対応は、一言で言えばエンタープライズ サイバーセキュリティです。これは、潜在的なセキュリティ脅威を特定するためのプロセスとテクノロジを包括的に表す用語です。捕捉する必要があるさまざまな攻撃と手法には、マルウェア、不正アクセス、データ侵害、または組織の情報システムの整合性、機密性、可用性を損なう可能性のあるその他のアクティビティが含まれます。
それだけでなく、 上記のすべてをチェックするのはセキュリティオペレーションセンターの責任です目標は、これらの脅威をできるだけ早く検出し、被害を最小限に抑えることです。これは、特に純粋に人間のチームに頼る場合には、非常に困難な課題です。この記事では、脅威の検出と対応をコンポーネントに分解し、AI 駆動型の脅威検出によって最も大きな変化がもたらされる可能性がある分野について説明します。
AIと機械学習が企業のサイバーセキュリティを向上させる方法
複雑な脅威の状況をすべての点と点をつなぐ
AI を活用したセキュリティを実際に体験してください。
脅威を即座に検出して対応する Stellar Cyber の最先端の AI をご覧ください。今すぐデモをスケジュールしてください。
ゴールドスタンダード: NIST サイバーセキュリティフレームワーク (CSF) 2.0
NIST CSF 2.0 は、検出と対応を XNUMX つのコア コンピテンシーに分割します。これらを総合すると、チームが攻撃を統一的かつ実行可能な方法で防止、識別、対応できる可能性がどの程度あるかが決まります。
識別する
5 つのコア コンピテンシーの最初の「識別」は、正当な理由から NIST の「サークル」の一番上に位置付けられています。この最初のステップでは、企業全体に散在するすべての資産とサプライヤーを詳細に理解する必要があります。多くの組織では、それ自体が構造化された詳細な監査を必要とします。組織全体の資産を 1 つにまとめて把握できれば理想的ですが、手動による資産評価の現実ははるかに断片的です。チームは、特定のビジネス ユニットまたはプロジェクトを一度に調査して監査し、その過程でインベントリを作成します。
そこから、個々の資産とそれらが直面しているリスクを結び付ける必要があります。脆弱性スキャン ツールはこのプロセスをスピードアップするのに役立ちますが、最初の資産識別プロジェクトに費やす膨大な労力を念頭に置く価値があります。また、個々のチームが評価を実施するため、脆弱性スキャナーは企業内の隔離されたセクションの「スナップショット」を分析することが非常に多くなります。
守ります
アイデンティティ機能は保護の基盤を確立します。そして、悪意のある行為者が内部または周囲のあらゆるギャップを利用することを積極的に防止する必要があります。アカウントの乗っ取りを防ぐアイデンティティ管理やアクセス制御、または不審なネットワーク活動をブロックするファイアウォールなど、多くの従来のサイバーセキュリティ ツールがこの役割に適合します。
脆弱性のあるコードを含むアプリケーションにパッチをインストールするといった従来の保護方法は、ますますリスクが高まっています。高リスク CVE の公開から実際の悪用までの時間枠は短すぎることが多く、高リスク CVE の 25% は公開されたその日に悪用されています。
検出
攻撃者がすでに防御をすり抜けている場合、一般的な TTP は、次の最善の行動を確立するまで、被害者の環境の範囲内で待機することです。内部脅威検出の場合、これが攻撃の基盤レベルです。
最も普及している検出ツールは、依然としてシグネチャベースです。これらは、受信データ パケットを分析して疑わしいコードの兆候を明らかにします。分析されたセクションは、以前の攻撃パターンの最新データベースと比較されます。
反応します
悪意のあるファイルや感染したネットワークが特定されたら、対応する必要があります。このプロセスによって、潜在的なサイバーセキュリティ インシデントをどの程度封じ込められるかが決まります。この段階では、対応を誤ると顧客の評判がさらに損なわれる可能性があるため、大きなプレッシャーがかかります。たとえば、すべてのネットワーク アクセスをシャットダウンすると、マルウェアの拡散をすぐに止めることができますが、組織は緊張状態に陥ることになります。
代わりに、対応には明確なコミュニケーションと、侵害されたデバイスとユーザー アカウントの正確な削除が必要です。
複雑な攻撃の場合、影響を受けたデバイスを消去し、オペレーティング システムを再インストールする必要があることがよくあります。
回復する
成熟したサイバーセキュリティ戦略の最終的な能力は、以前の侵害やイベントで生じた欠陥を認識し、より強力に復活することです。応答時間に関するデータは、明確なセキュリティ ポリシー、定期的な監査、専任の CISO を備えた組織を強力にサポートします。このように積極的に行動する組織は、多くの場合、7 日以内に株価を回復できます。
GenAIがチェーンのあらゆるリンクを強化する方法
各組織は、脅威検出プロセスを最適化する際に独自の課題に直面します。しかし、これまでのところ、AI 脅威検出は、特に小規模なチーム内で、いくつかの最大の問題を解決する上でその価値を継続的に証明してきました。
自動資産検出
リアルタイム分析
AIの防御的使用法は、阻止したい脅威と同じくらい多様化しています。最も興味深い開発には、 ChatGPTを使用してウェブサイトを分析し、フィッシングの兆候を探す また、疑わしい単語のクラスターにより、LLM が悪意のある API 呼び出しシーケンスを識別する機能も備わっています。AI 駆動型の脅威検出は、ソース コードと実行可能データの奥深くまで到達できるため、手動レビューよりもはるかに詳細な洞察が得られます。
行動分析
AI の真の力は、発生している非常に広範囲のアクティビティからデータを収集する能力にあります。実際の組織の非常に多様なデータセットでトレーニングすると、これは通常のネットワークとデバイスの行動の基盤を確立するための重要なツールになります。これらのアクティビティ パターンは、常時オンの異常検出に取り込まれます。これにより、異常な行動はすべて懸念の原因としてフラグ付けできます。誤報の量を減らすために、同じ分析エンジンでイベントを取り巻くコンテキスト データをさらに収集して、その正当性を確立することもできます。
最後に、これらすべてを人間に送信して真の検証を行うことができます。このフィードバックは、AI のフィードバック ループを閉じて継続的な改善を確実にするために不可欠です。
Stellar CyberでAIを武器に
Stellar Cyberの拡張検出および対応(XDR)は、5段階の脅威検出パイプラインを、連続的で分かりやすい全体に簡素化します。バラバラなツールのスナップショットを慌ただしくまとめるのではなく、 XDR エンドポイント、アプリ、電子メールなどの潜在的なリスクを見つけるために、ネットワーク間の分析を提供します。 今すぐ詳細なデモでご確認ください.
