人工知能はセキュリティの優れた防御線である

2021年を迎え、私たちは新しい働き方や新しい労働環境に慣れてきました。多くの人は、デジタル通信手段を使用して共同作業を行い、プロジェクトについて話し合ったりしながら、自宅で仕事をしているかもしれません。雇用主は、従業員が効果的かつ柔軟に働けるよう適切なツールを提供するためのアジャイルなアプローチを開発しており、リモートワークはビジネス予算や従業員の採用決定において恒久的な考慮事項となっています。

[[390761]]

この変化はおそらく変わらないでしょう。 2021 年にはオフィスに戻るかもしれませんが、標準的な週 5 日勤務にはならないでしょう。レポートによると、多くの組織が従業員により多くの選択肢を与えるためにハイブリッドアプローチを採用することを計画しています。リモートワークは今後も続くでしょうが、それに伴い、安全性とセキュリティの重要性が増しています。

この変更による影響の 1 つは、セキュリティ オペレーション センター (SOC) によって処理されるアラートの可視性と量です。以前、チームはオフィス内のデータセンターを扱っていたため、脅威が隠れる場所は限られていました。現在、リモートワークでは、家庭用 IoT や家庭用コンピューターなど、管理されていない個人用デバイスを隠すオプションが何千もあります。かつては企業ネットワーク上で目に見える形で現れた脅威は、今では目に見えなくなり、家庭のネットワークに隠れて攻撃の機会を待っています。

自動化はアラートの過負荷と疲労の解消に役立ちます

自動化、AI、機械学習は、あらゆる現代の SOC のレーダーに載せる必要があります。サイバー犯罪者がすでにこれらの手法を使用して、この広く普及した新しい表面に対して効果的な攻撃を仕掛けていると想定します。この文脈では、セキュリティ アナリストもこれらの同じ手法を活用して、組織を保護し、データとユーザーを安全に保つ必要があります。

セキュリティ アナリストは毎日何千ものアラートを受信しますが、現在ではリモート ワーカーが非常に多いため、それらのアラートは何千もの場所から送信される可能性があります。多くは無害なものですが、チームは重大な脅威を見逃さないように完全な可視性を維持する必要があります。この作業は反復的であり、アナリストの疲労やエラーにつながる可能性があります。自動化が役立つ方法は次のとおりです。

• アラートは分析され、タグ付けされます。既存のルールでは、データが「良好」か「不良」かに応じて情報を許可または拒否する自動アクションが適用されます。その他のアラートについては、データは「不明」としてマークされ、アナリストに報告されてさらに分析されます。つまり、チームはより多くの有効なアラートを処理し、誤検知を減らすことができるようになります。
• アラートが不良としてマークされた場合、いくつかのアクションをすぐにアクティブ化して適用する必要があります。これらのアクションには、電子メールから添付ファイルを削除したり、デバイスを隔離したり、修復のためにネットワークの一部をシャットダウンしたりすることが含まれる場合があります。セキュリティ自動化ルールを使用すると、これらのアクションを完全に自動的に、またはアナリストがボタンをクリックするだけで実行できます。

ここでは、自動化によって現代の SOC が脅威を早期に検出して修復し、セキュリティ チームの作業負荷を軽減する方法の例をいくつか紹介します。しかし、AI と機械学習についてはどうでしょうか。最近まで、これらは流行語に過ぎませんでしたが、環境に適切に適用すると、これらのテクノロジーは分析の重要な実現手段となり、チームの効率性を向上させ、サイバーセキュリティを高速、一貫性、正確なものにするのに役立ちます。

AIを使ってデータをインテリジェンスに変える

AI は、何百万もの脅威データの処理結果と、ネットワーク情報、侵入ベクトル、使用されるプロトコル、さらにはクラウド分析などの既存の環境情報を組み合わせて、脅威が新しいものなのか、他の環境で以前に確認されたものなのかを判断します。このデータは、これまでは手作業で抽出するのに時間と労力が必要だった貴重なコンテキスト情報をセキュリティ エンジニアに提供します。 AI は人間よりも早くネットワークの変化を検知し、関連データを収集してチームにプロアクティブなアラートを提供するため、検出時間が短縮されます。エンジニアが何が起こったかを詳細に分析する必要がないため、応答時間が改善されます。彼らはすぐに実用的なデータに取り組み、それを使用して修復計画を作成します。

機械学習でネットワークを理解し、チームの効率を向上

機械学習 (ML) を AI と組み合わせて使用​​すると、ツールをトレーニングしてデータをより適切に処理できるようになり、ML システムが改善を提案できるようになります。 ML は、ネットワーク上で確認された動作を評価し、通常のパターンから外れる可能性のある動作を特定し、推奨事項をチームに警告して、脅威になる前に問題を捕捉できます。これらの問題には、異常なネットワーク ポートの使用、DNS 操作、潜在的なトラフィック ストームなどが含まれます。これにより、セキュリティ チームの効率が向上するだけでなく、ML はデータを活用してインテリジェンスを段階的に高め、より効果的な手法となり、サイバー セキュリティにとってメリットがもたらされます。