AI は金融業界がランサムウェアに効果的に対抗するのに役立つでしょうか?

[[430265]]

ランサムウェアの脅威は目新しいものではありませんが、依然としてニュースの見出しになっています。 Travelex、JBS Foods、Colonial Pipeline、Irish Health Services などの最近のランサムウェア攻撃の被害者は、その危険性を認識し、自らを守るための対策を講じているでしょうか? もちろん、これらの統計はすべての企業がランサムウェアを認識していないことを意味するわけではありません。最近、CIO の 46% が、ランサムウェアがサイバー攻撃の最大の懸念事項であると述べています。しかし、それでも多くの企業に財務的損失と運用上の損失をもたらしています。

問題の一部は、近年ランサムウェアが進化し、多様化していることです。サイバー攻撃者は、単純で完全に自動化された直接的な防止戦略から、より標的を絞った高度な戦術に移行しています。一方、ほとんどのセキュリティチームは、ランサムウェアを阻止するために従来の戦略を使用していますが、これはもはや効果的ではありません。

今こそ、金融機関がセキュリティ意識をさらに一歩進めるときです。つまり、ランサムウェアがファイアウォールを突破するのを阻止しようとする予防的アプローチを超えて、攻撃を検出して阻止できるツールを装備することに重点を置く必要があります。確かなことは、今日の広大な IT 環境において、AI がランサムウェアとの戦いで決定的な役割を果たすということです。 Vectra が最近発表した調査レポートによると、ほとんどの金融サービス機関は、疑わしい行動や悪意のある行動を区別するために、人工知能を活用したサイバーセキュリティ分析ツールを使用する必要があることが示されています。

多様な脅威

初期のランサムウェアは自動的に動作し、単純なビジネスモデルに従っていました。つまり、被害者の少なくとも一部はファイルの復元のために確実にお金を払うだろうとわかっていて、できるだけ多くのコンピューターに感染するというものでした。このいわゆる「コモディティランサムウェア」は、ネットワークドライブ全体を検索して暗号化する機能に急速に進化しました。その理由は、被害者が手放すことのできないものをロックすることが可能だからです。この進化は、企業が重要なファイルを回復するためにより高い身代金を支払う可能性が高いため、サイバー攻撃者が個人ではなく金融機関を標的にし始めていることも示唆しています。

ここから、商用ランサムウェアはワームと組み合わされ、1 つのシステムに侵入すると、ネットワークに接続された直後に隣接するシステムに感染するようになりました。これはサイバー攻撃者にとって大きな前進です。なぜなら、被害者 1 人がフィッシングメールを開くだけで、攻撃者はウイルスを数千台のコンピューターに瞬く間に拡散できるからです。このランサムウェアは長年存在しているにもかかわらず、依然として大きな脅威となっています。数年前にWannaCryが引き起こした壊滅的な被害は誰もが覚えているだろう。この攻撃により何十万台ものコンピューターがロックされ、昨年2月にはランサムウェアが米国の天然ガス施設を2日間停止させた。

サイバー攻撃者は、自動化された戦術をより洗練された標的型の方法に置き換え、攻撃を強化および多様化し続けています。こうしたサイバー攻撃には通常、数週間の計画が必要であり、最初の足掛かりを得た後、サイバー攻撃者は侵入した環境の詳細に合わせて手動で行動を調整します。 FBIは、この戦術は、世界で最も専門的かつ洗練されたサイバー犯罪グループの一つが実行した食品サプライヤーJBSフーズに対するランサムウェア攻撃で効果的に使用されたと述べた。

サイバー攻撃自体の多様化に加え、ランサムウェアのビジネスモデルもフランチャイズ型へと拡大しています。フランチャイジーはツール、スクリプト、その他の必要な攻撃インフラストラクチャを提供し、フランチャイジーはこれらのサービスを使用して攻撃を実行し、身代金の一定の割合をフランチャイジーに返還します。目的が何であれ、ランサムウェアは本格的な産業となっている。したがって、マイクロソフトが、人間が操作する高度な亜種を今日のサイバー攻撃における最も影響力のある傾向の 1 つとして特定したことは驚くことではありません。

人工知能がセキュリティチームを支援

金融機関のセキュリティチームが脅威インテリジェンスの配信を通じてデータ侵害の兆候をタイムリーに取得できれば、よく知られているランサムウェアの亜種を侵入時点でブロックできる場合が多くあります。予防策をうまく回避する新しいランサムウェアであっても、攻撃対象領域は非常に限られており、適切なバックアップおよび回復手順を備えた企業であれば対処できます。より急速に進化するランサムウェアの亜種を特定することはより困難かもしれませんが、このような場合には、マイクロセグメンテーション、ゼロトラスト、最小権限、およびその他のポリシー主導の制御が、感染拡大を封じ込めるための優れた対策および手段となります。

最も標的を絞った、人間が操作するランサムウェア攻撃に関しては、予防を成功させるには、予防に重点を置いた規定のポリシーや強化されたセキュリティ構成に依存する必要はなくなりました。これにはある程度の用途がありますが、意欲の高い攻撃者は最終的にこれらの障害を克服するでしょう。このような状況では、予防の焦点は、避けられないサイバー攻撃を防ぐことから、成功した攻撃をできるだけ早く検出してブロックすることへと移行する必要があります。ここで人工知能が重要な役割を果たします。

ランサムウェア攻撃の平均滞留時間は 43 日と推定されており、セキュリティチームが対策を講じて脅威を排除する上で AI が決定的な役割を果たすはずです。分析チームが処理するには数日から数週間かかる場合もありますが、AI システムはランサムウェアを使用するサイバー攻撃者の攻撃を迅速に検出できます。これは、AI システムが、サイバー攻撃者が目的を達成するためにシステム内を移動する際に残したさまざまなシグナルとマーカーを文脈化して統合できるためです。 AI は、こうしたさまざまな情報をすべてまとめて明確なイメージを描き出すことができるため、セキュリティチームは最も重大な脅威に効果的に対応できます。