ビデオ: 株式会社博展 - 東芝実績動画 (十一月 2024)
ITセキュリティは危険で高価なものです。 企業のデータとネットワークを保護するために莫大な金額が費やされています。 悪者の大群は侵入しようと動機付けられており、障害の結果は保護のコストよりも苦痛です。
さらに悪いことに、最高セキュリティ責任者(CSO)がセキュリティに対処する現在の方法は侵入的です。 マネージドエンドポイントプロテクションなどのコアセキュリティツールは常に必要ですが、私たちは誰もがパスワードの管理の難しさを嘆き、必要なソフトウェアへのアクセス権について議論し、私たちと私たちが行う必要のある仕事との間の障壁について不満を述べています。 セキュリティ手順が100%の時間で機能していれば、おそらく大丈夫でしょう。しかし、まだ報告されている違反の数に気付いていますか? 私も。 下の図では、1年あたりのデータ侵害の数がどのように爆発しているのかを見てみましょう(データ分析および視覚化ブログSparkling Dataによる)。 この図は、2009年以降のデータ侵害を、業界の種類と何百万件のレコードが侵害されたかで分類したものです。
出典:2016年7月24日 ; HIPAA違反データの分析 。 スパークリングデータ
しかし、良いニュースもあります。 同じ機械学習(ML)テクノロジーと予測分析アルゴリズムにより、有用な書籍の推奨を提供し、最先端のセルフサービスビジネスインテリジェンス(BI)とデータの視覚化を実現 ツールはITセキュリティツールに組み込まれています。 専門家は、おそらくこれにより会社のITセキュリティに費やすお金は減らないと報告していますが、少なくともスタッフはより効率的に作業し、損害が発生する前にハッカーやマルウェアを見つける可能性が高くなります。
MLとITセキュリティの組み合わせは確かに「新興技術」とラベル付けできますが、クールなのは、1つの技術だけについて話しているわけではないということです。 MLはいくつかの種類の技術で構成され、それぞれがさまざまな方法で適用されます。 そして、非常に多くのベンダーがこの分野で働いているため、まったく新しいテクノロジーカテゴリが競争し、進化し、すべての人に利益をもたらすことを期待しています。
それでは、機械学習とは何ですか?
MLを使用すると、コンピューターは明示的にプログラムする必要なく、自分で何かを教えることができます。 これは、大規模なデータセット(多くの場合、巨大なデータセット)にアクセスすることで実現します。
「機械学習を使用すると、猫に10, 000枚の猫の写真を与えて、「これは猫の姿です」と伝えることができます。 そして、コンピュータに10, 000個のラベルのない写真を与えて、どの写真が猫なのかを尋ねることができます」と、Booz AllenのシニアアソシエイトであるAdam Porter-Priceは説明します。 モデルは、推測が正しいか間違っているかにかかわらず、システムにフィードバックを与えると改善されます。 時間の経過とともに、写真に猫が含まれているかどうかを判断する際のシステムの精度が向上します(もちろんすべての写真がそうであるように)。
これは最新のテクノロジーではありませんが、コンピューターの高速化、アルゴリズムの改善、ビッグデータツールの最近の進歩により確実に改善されています。 「機械学習(特に人間の行動のモデル化に適用される)は、長い間存在しています」と、フォートスケールのCEO、イダンテンドラーは述べています。 「これは、航空運賃の価格設定から政治投票、1960年代までのファーストフードマーケティングに至るまで、多くの分野の量的側面の中心的な要素です。」
最も明白で認識可能な現代的な用途は、マーケティングの試みです。 たとえば、Amazonで本を購入すると、その推奨エンジンが以前の販売をマイニングし、あなたが楽しむ可能性の高い追加の本を提案します(たとえば、スティーブン・ブラストの イェンディ が好きな人はジム・ブッチャーの小説も好きかもしれません)、これはより多くの本の販売につながります。 MLがそこに適用されています。 別の例としては、顧客関係管理(CRM)データを使用して顧客チャーンを分析するビジネスや、MLを使用して特定のオファーを受け入れるためにフリークエントフライヤーを奨励する報酬ポイント数を分析する航空会社があります。
コンピュータシステムが収集および分析するデータが多いほど、洞察(および猫の写真の識別)が向上します。 さらに、ビッグデータの出現により、MLシステムは複数のソースからの情報をプールできます。 たとえば、オンライン小売業者は、自社のデータセットを超えて、顧客のWebブラウザデータやパートナーサイトからの情報の分析を含めることができます。
ITセキュリティツールベンダーBalabitのCTOであるBalázsScheidler氏によると、MLは人間が理解するには多すぎるデータ(数百万行のネットワークログファイルや膨大な数のeコマーストランザクションなど)を理解しやすいものに変換します。 。
「機械学習システムはパターンを認識し、異常を強調します。これは、人間が状況を把握し、必要に応じて対処するのに役立ちます」とシャイドラーは言いました。 「そして、機械学習はこの分析を自動化された方法で行います。トランザクションログだけを見ても、同じことを学ぶことはできませんでした。」
MLがセキュリティの弱点を修正する場所
幸いなことに、新しい本の購入を決定するのに役立つ同じMLの原則により、会社のネットワークをより安全にすることができます。 実際、FortscaleのTendlerによると、ITベンダーはMLパーティに少し遅れています。 マーケティング部門は、特に間違っているコストが最小限であったため、MLの早期導入で金銭的利益を得ることができました。 間違った本を推奨しても、誰かのネットワークが破壊されることはありません。 セキュリティスペシャリストは、この技術についてより確実性を必要としており、最終的にはそれを手に入れたようです。
率直に言って、それは時間についてです。 なぜなら、セキュリティに対処する現在の方法は侵入的で反応的だからです。 さらに悪いことに、膨大な量の新しいセキュリティツールと異種のデータ収集ツールにより、ウォッチャーにとっても多くの入力が行われています。
ITセキュリティ企業LightCyberの製品管理担当シニアディレクターであるDavid Thompson氏は、次のように述べています。 「アラートが見られたとしても、それはおそらく単一のイベントと見なされ、より大きな組織的な攻撃の一部であると理解されないでしょう。」
トンプソンはガートナーのレポートを引用しています。それはほとんどの攻撃者が平均 5ヶ月にわたって 発見されないと言った。 これらの誤検知は、ITチームが問題を解決するために費やした時間は言うまでもなく、従業員が誤ってブロックまたはフラグを立てられるたびに、怒っているユーザーがDataVisorの研究科学者であるTing-Fang Yenを指摘することもあります。
したがって、MLを使用したITセキュリティの最初の取り組みは、ネットワークアクティビティの分析です。 アルゴリズムは活動パターンを評価し、過去の行動と比較し、現在の活動が脅威をもたらすかどうかを判断します。 役立つように、Core Securityなどのベンダーは、ユーザーのDNSルックアップ動作やHTTP要求内の通信プロトコルなどのネットワークデータを評価します。
一部の分析はリアルタイムで行われ、他のMLソリューションはトランザクションレコードと他のログファイルを調べます。 たとえば、Fortscaleの製品は、盗まれた資格情報を含む脅威を含むインサイダーの脅威を発見します。 「アクセスログと認証ログに焦点を当てていますが、ログは、Active Directory、Salesforce、Kerberos、独自の「クラウンジュエルアプリケーション」など、ほぼどこからでも取得できます」とFortscaleのTendler氏は述べています。 「種類が多ければ多いほど良い」 MLがここで重要な違いをもたらすのは、組織の謙虚でよく無視されるハウスキーピングログを、価値があり、非常に効果的で、安価な脅威インテリジェンスソースに変えることができるということです。
そして、これらの戦略は違いを生み出しています。 100, 000人未満のユーザーを抱えるイタリアの銀行は、身元不明のコンピューターのグループへの機密データの大規模な流出を伴う内部脅威を経験しました。 具体的には、正当なユーザー資格情報を使用して、Facebook経由で組織外に大量のデータを送信しました。 銀行はMLを搭載したDarktrace Enterprise Immune Systemを導入しました。これは、企業サーバーがFacebookに接続した3分以内に異常な動作を検出しました。
システムはすぐに脅威アラートを発行し、これにより銀行のセキュリティチームが対応できるようになりました。 最終的に、問い合わせは、ビットコインマイニングボットネット(ハッカーによって制御されるマシンのグループ)に銀行のサーバーをトラップするマルウェアを誤ってダウンロードしたシステム管理者につながりました。 Palmer氏によると、同社は3分も経たないうちにトリアージを行い、リアルタイムで調査し、企業データの損失や顧客の運用サービスへの損害なしに対応を開始しました。
アクセス制御またはデバイスではなく、ユーザーの監視
しかし、コンピューターシステムはあらゆる種類のデジタルフットプリントを調査できます。 そして、それが最近ベンダーの注目が集まっているところです。ユーザー行動分析(UBA)と呼ばれる組織のユーザーによる「既知の良い」行動のベースラインの作成に向かっています。 アクセス制御とデバイスの監視はこれまでのところのみです。 いくつかの専門家やベンダーは、 ユーザー をセキュリティの中心に据えることがはるかに優れていると言います。これがUBAの目的です。
「UBAは、人々が何をしているかを監視し、彼らが普通でないことをしている場合に気付く方法です」と、バラビットのシャイドラーは言いました。 製品(この場合、BalabitのBlindspotterとShell Control Box)は、各ユーザーの典型的な行動のデジタルデータベースを構築します。このプロセスには約3か月かかります。 その後、ソフトウェアはそのベースラインからの異常を認識します。 MLシステムは、問題の重大度とともに、ユーザーアカウントの動作のスコアを作成します。 スコアがしきい値を超えるたびにアラートが生成されます。
「アナリティクスは、自分が自分かどうかを判断しようとします」とシャイドラーは言いました。 たとえば、データベースアナリストは定期的に特定のツールを使用します。 したがって、彼女が異常な時間に異常な場所からログインし、異常なアプリケーションにアクセスすると、システムはアカウントが危険にさらされている可能性があると結論付けます。
Balabitによって追跡されるUBAの特性には、ユーザーの履歴習慣(ログイン時間、一般的に使用されるアプリケーション、およびコマンド)、所有物(画面解像度、トラックパッドの使用、オペレーティングシステムのバージョン)、コンテキスト(ISP、GPSデータ、場所、ネットワークトラフィックカウンター)が含まれます、および固有性(あなたが何か)。 後者のカテゴリには、マウスの動きの分析とキーストロークのダイナミクスがあります。これにより、システムは、ユーザーの指がキーボードを強く叩く速さをマッピングします。
オタクの用語で魅惑的ですが、シャイドラーは、マウスとキーボードの測定値がまだ絶対確実ではないことを警告します。 たとえば、誰かのキーストロークを識別することは約90%信頼できるため、同社のツールはその領域の異常に大きく依存していない、と彼は言いました。 その上、ユーザーの動作は常にわずかに異なります。 ストレスの多い日や手に痛みがある場合、マウスの動きは異なります。
「ユーザーの行動の多くの側面で作業しているため、集計された値はベースラインプロファイルと比較されるため、全体として非常に高い信頼性を持ち、100%に収束します」とシャイドラーは言います。
ULAを使用してセキュリティイベントを識別する製品を提供しているベンダーは、Balabitだけではありません。 たとえば、Cybereasonは同様の方法論を使用して、注意深い人間に「うーん、 それは 面白い」と言う行動を識別します。
CybereasonのCTO、Yonatan Streim Amit氏は次のように説明しています。すべての通信は上司に送信されますか、誰が返信しますか?」 Cybereasonは、他の観測データの長いリストを使用して異常に遅く動作するジェームズの異常を分析し、アラートが偽陽性か正当な懸念かを判断するためのコンテキストを提供します。
答えを見つけるのはITの仕事ですが、正しい質問を投げかけることができるソフトウェアを持つことは確かに役立ちます。 たとえば、医療組織の2人のユーザーが死亡した患者の記録にアクセスしていました。 「なんらかのアイデンティティや医療詐欺をしたくない限り、なぜ誰かが2、3年前に亡くなった患者を見ているのでしょうか?」 CognetyxのCEO、Amit Kulkarniに尋ねます。 このセキュリティリスクを特定する際に、Cognetyxシステムは、その部門の通常の活動に基づいて不適切なアクセスを特定し、2人のユーザーの行動をピアのアクセスパターンの行動と比較し、自分の通常の行動と比較しました。
「定義上、機械学習システムは反復的で自動化されています」とフォートスケールのテンドラーは述べています。 「彼らは新しいデータを以前に見たものと「一致」させようとしますが、手に負えないものを「失格」させたり、予期しない結果や範囲外の結果を自動的に「捨てる」ことはありません。」
そのため、Fortscaleのアルゴリズムは、構造がどのように見えるかわからなくても、データセット内の隠された構造を探します。 「予期しないものを見つけたとしても、新しいパターンマップを構築する可能性のある飼料を提供します。それが、機械学習を決定論的なルールセットよりもはるかに強力にする理由です。機械学習システムは、これまでにないセキュリティ問題を見つけることができます。」
MLシステムが異常を検出するとどうなりますか? 一般に、これらのツールは、誤検知の副作用が会社とその顧客に損害を与えるため、何らかの方法で最終的な電話をかけるために人間にアラートを渡します。 「トラブルシューティングとフォレンジックには人間の専門知識が必要です」とバラビットのシャイドラーは断言します。 理想は、生成されたアラートが正確で自動化され、ダッシュボードがシステムステータスの有用な概要を提供し、「ちょっと、奇妙な」動作にドリルできることです。
出典:Balabit.com(上の図をクリックすると、全体像が表示されます。)
それはほんの始まりです
MLとITのセキュリティが、チョコレートとピーナッツバター、または猫とインターネットのように完全に一致すると仮定しないでください。 これは進行中の作業ですが、製品がより多くの機能、アプリケーションの統合、および技術の改善を獲得するにつれて、より多くのパワーと有用性を獲得します。
短期的には、セキュリティと運用チームが新しいデータの洞察をより速く、より少ない人間の介入で得ることができるように、自動化の進歩を探してください。 Prelertの製品副社長であるMike Paquette氏は、次の2、3年で「進歩は2つの形式になると予想しています。攻撃行動を識別する事前構成されたユースケースの拡張ライブラリと、自動化された機能の選択と構成の進歩、コンサルティング契約の必要性。」
DarktraceのPalmer氏によると、次のステップは自己学習システムであり、独自の攻撃に対抗できるという。 「マルウェア、ハッカー、または不満を抱いた従業員からの新たなリスクに、従来の防御のような個別のバイナリ決定を行うのではなく、個々のデバイスの通常の動作とビジネスプロセス全体の完全なコンテキストを理解する方法で対応します。これは重要です。恐torベースの攻撃のような、ファイルシステムだけでなくあらゆる貴重な資産への攻撃に変化し、人間が可能な速度よりも速く反応するように設計された高速移動攻撃への対応
これは多くの可能性を秘めたエキサイティングなエリアです。 MLと高度なセキュリティツールの組み合わせにより、ITプロフェッショナルは新しいツールを使用できるようになるだけでなく、さらに重要なことに、仕事をより正確に、かつてないスピードで行えるツールを提供します。 特効薬ではありませんが、悪者が長年にわたってすべての利点を享受してきたシナリオでは、大きな前進です。
