企業がAIをサイバーセキュリティに適用する方法

企業が絶えず新しい攻撃ベクトルと脆弱性に追いつくデジタル脅威の状況では、彼らが持っている最善の防御策は、ハッカーにとって魅力的な標的となるのと同じもの、つまり大量のデータです。 確かに、エンドポイント保護および暗号化ソフトウェアがあります。 また、悪意のあるアクティビティや侵入に対してインシデントレスポンスを実行するために、IT部門とセキュリティ部門がインフラストラクチャとネットワーク監視プラットフォームを監視しています。 しかし、これらの事後対策以外に、他の企業やセキュリティベンダーは、人工知能（AI）を採用して積極的なアプローチを取っています。

機械学習（ML）アルゴリズムおよびその他のAI技術を使用して、データパターン、脆弱なユーザーの行動、および予測されるセキュリティトレンドを特定することにより、企業は次の侵害の発生を阻止するために、自由に使える豊富なデータをマイニングおよび分析しています。

「私たちは巨大なファイルのコレクションを持っています。ペタバイトのファイルは悪意のないものであり、ペタバイトは悪意のあるものです」とエンタープライズセキュリティ企業パロアルトネットワークスの最高セキュリティ責任者であるリックハワードは述べました。 「MLは、悪意のある部分を見つけるためのプログラムを教えています。彼らが探していたすべての要因をリストする必要はありません。」

ハワードは、「画期的な技術の保護-次の5年」と呼ばれる最近のパネルの一部でした。パネリストは、セキュリティ環境に直面する進化する課題、およびMLと自動化が脅威を特定して対応する方法をどのように変えているかについて議論しました。 このパネルは、National Cyber​​ Security Awareness Month（NCSAM）を記念して、ニューヨーク市のタイムズスクエアのNasdaq MarketSiteで開催された最近のサイバーセキュリティサミットの一部でした。 NasdaqとNational Cyber​​ Security Alliance（NCSA）によってホストされました。 イベントスポンサーのCisco、Dell、Palo Alto Networks、およびサイバーセキュリティ会社Tenable、およびWells FargoのServiceNowは、サミットにパネリストを提供しました。

防御の自動化

AIは現代のソフトウェアに常に存在しています。 仮想アシスタント、チャットボット、およびアルゴリズム駆動型の推奨事項は、消費者アプリケーションおよびオンラインエクスペリエンスに浸透しています。 一方、企業は、顧客関係管理（CRM）および販売データから、ユーザーの行動を構成するすべてのクリックと設定に至るまで、収集するあらゆるデータにMLおよびその他のAI技術を適用しています。

セキュリティデータは、MLモデルに入力する他のデータセットとまったく同じです。 より多くのデータを提供し、トレーニングを強化すればするほど、AIはパターンを特定するだけでなく、適切な情報を抽出して予測エッジを提供する精度が向上します。 AI技術をうまく採用するには、解決しようとしている問題の明確なビジョンが必要です。 Tenableの共同設立者でありCTOであるRenaud Deraisonによれば、インシデント対応に関しては、MLが何であるかを知ることが重要です。

「機械学習とは、100万回のバリエーションで100万回トレーニングすることを意味するため、次にコンピューターが状況に遭遇したとき、何をすべきかがわかります」とDeraison氏は言います。 「これは何かを発明することを可能にするものではありません。私たちは「大丈夫なコンピューター、私を守ってください」と言うことができる段階にありません。」

目標は、AIを導入したサイバーセキュリティソフトウェアが予測、検出、応答を完全に自動化することです。 Cisco CloudlockのCTOであるRon Zalkindは、CiscoのUmbrellaクラウドセキュリティプラットフォームが消費者および企業活動の大規模なデータベースにMLを適用してDNSの問題を解決し、悪意のあるアクターが分散サービス拒否でDNSをフラッディングしようとしていることを識別する方法について議論しました（DDoS）攻撃。 Zalkindは、DNSプロバイダーのDynに昨年ヒットした歴史的なMiraiボットネットDDoSのような例を使用して、悪意のあるドメインからのトラフィックを遮断するために、そのDNSクエリを悪い宛先として解決し、ロックを自動化することであると述べました。

左から：NCSAエグゼクティブディレクターマイケルカイザー、ServiceNowセキュリティCTOブレンダンオコナー、パロアルトCSOリックハワード、デルのデビッドコネツキー、Cisco Cloudlock CTOロンザルキン、およびTenable CTO Renaud Deraison。

悲しい真実は、ハッカーと敵が勝っているということです。 ServiceNowのセキュリティCTOであるBrendan O'Connorは、予防と検出に多大な革新が見られたが、セキュリティ業界は自動応答に関して遅れをとっていると述べました。 AIは、ベンダーがその基盤を築くのを支援しています。

「今日の対応方法を見ると、過去10年間に根本的に変わっていません」とO'Connor氏は述べています。 「最も有害な違反は、忍者がMission Impossibleのように天井から落下することではありません。攻撃者に改善や適応を強制することはありません。ベンダーが30日間、60日間、90日間パッチを適用できない場合、攻撃者はインターネットからツールをダウンロードするだけで、古い脆弱性を悪用できます。」

オコナーとハワードは、しばしば攻撃者が単により高度な技術を使用していることに同意しました。 最新のマルウェアボットネットは回復力が高く、一度に1台のコンピューターまたはノードを停止することは困難です。 攻撃者はクラウドを受け入れ、クラウドをプラットフォームとして使用して企業を攻撃しています。 「サイバー攻撃者はプロセスを自動化しましたが、私たちはまだそれを奥の部屋の人間として扱っています」とハワードは言いました。

MLは、自動化によって自動化と戦います。 アルゴリズムは膨大なデータセットを分析して、欠陥の有病率、実装の容易さ、およびその他の多くの要因を調べます。 この分析は、企業が展開する必要のある多くのパッチのどれを最初に焦点を当てるべきかを優先順位付けするのに役立ちます。

予測セキュリティの未来

サイバーセキュリティの自動化と予測分析は、長い間存在していました。 しかし、過去数年にわたるAIの進歩により、企業の技術スタック全体でのAIの動作が変わりました。 パネルの後、PCMagはDellのDavid Konetskiに追いつきました。 彼はCTOオフィスのクライアントソリューションのフェロー兼副社長です。 デルは、予測障害分析、システムオーケストレーション、デバイス管理など、AIおよびMLの研究を長年行っています。 Konetskiは、DellのAIの取り組みがどのように進化したか、また同社が予測セキュリティで行っている革新的な作業の一部について説明しました。 この作業には、マルウェア分析、ユーザー行動分析、および異常検出が含まれます。

「予測故障解析を行った最初の企業の1つです」とKonetski氏は述べています。 「ボックスには多くの計装があり、管理システムはネットワークで何が起こっているかについて膨大な量のデータを取得していることを認識しました。バッテリーまたはハードドライブが故障している可能性があるのはいつわかりますか？」

予測障害分析は、デルのカスタマーサービスに導入される前に企業顧客から開始され、保証期間中に新しいバッテリーを注文するよう顧客に指示する電子メールトリガーなどの追加の自動化が行われました。 セキュリティの世界では、その予測MLは現在、高度な脅威保護（ATP）に適用されています。 2015年、DellはAIベースの脅威保護会社Cylanceと提携して、単にファイルを悪意のあるものとしてタグ付けするだけではありませんでした。 代わりに、ファイルのDNAを見て、実行前にその意図を判断します。

「データ保護機能を活用し、その環境を拡張して、移動元のデータを保護し、アクセス制御を配置して、IT担当者として、すべてのデータの場所を把握できるようにしました。誰によって、どのように世界で使用されています。それは以前には不可能でした」とコネツキーは語った。

「どうやってそれをしますか？あなたはソフトウェアの振る舞いを見ます」とコネツキーは続けた。 「ソフトウェアは奇妙なまたは悪意のあるパターンで物事を行っていますか？それは行動分析の第1世代でした。そして、次世代はそれだけでなく、IoTかパーソナルコンピューティングかに応じて、あなたの個人的な行動またはマシンの行動に注目しますAIは大丈夫かもしれない異常な振る舞いを探していますが、CTOとして、すべての顧客データにアクセスしている場合、「あなたは何をしているのか、はいまたはいいえ」 ？」 そのようにして、ユーザーはトレーニングを受け、システムが監視していることを認識します。」

次のステップでは、ユーザー行動分析でAIを使用して、組織内からサイバーセキュリティリスクをより積極的に回避します。 人為的エラーは、多くの場合、デフォルトのパスワード、スピアフィッシングの試みの成功、または最近のAmazon S3の停止の場合のタイプミスなど、侵害および脆弱性の原因です。

ハードウェアおよびソフトウェアスタック全体の脆弱性に対処する必要があるDellなどの企業にとって、ユーザーに焦点を当て、AIを活用してソースで潜在的な脅威を阻止することは、そのデータを機能させるより効率的な方法です。 MLアルゴリズムが外部で検出していることや、AIが提供する予測脅威軽減機能だけではありません。 これのもう1つの側面は、そのデータを組織内の従業員のための自然な内部リマインダーに変えることです。

「消費者であろうと企業であろうと、少し警告を発して「次のクリックをしてよろしいですか。悪意のある可能性があると特定されたパターンを検出しました」と言えば。 それは、攻撃パターンの知識と組み合わされたユーザー行動分析です」とコネツキーは説明しました。

デルはまた、ユーザーとマシンのコンテキストを使用して、アクセスできるものについて賢明な決定を下すよう取り組んでいます。 今年発売されたDell Data Guardianと呼ばれるマネージドエンタープライズソリューションには、コネツキーが「初期の」アクセス制御機能と呼んでいたものがあり、ネットワークインフラストラクチャをより詳細に保護する方法に進化します。 AIがあなたが誰なのか、どのデバイスを使っているのか、世界のどこにいるのかを知り、そのデータをMLで分類してスマートなアクセス制御の決定をすることを想像してください。

「だから今日、あなたがテキサス州オースティンのデータにアクセスしようとしている東ヨーロッパの国にいるなら、おかしなことが起こっている。今日できるような簡単なことだ」とコネツキーは言った。 「今後は、読み取り専用アクセスのみを提供したいかもしれません。データセンターでアプリケーションをホストし、HTML5ブラウザーでビューを表示できるように、リモートアクセスを提供したいかもしれません。おそらく、あなたはファイアウォールの背後にある企業のデバイスにいて、すべてにパッチが適用されているので、キーをお渡しします。

「重要な部分、およびAIとMLを使用してできることは、このすべてをエンドユーザーに透過的に実行することです。したがって、そのファイルへのアクセスを探しているとき、これらすべてを認識していません。バックグラウンドでコントロール。すべてシームレスに見えます。」