カテゴリなし

サイバーセキュリティインフラストラクチャには新しいモデルが必要

Threat hunting application

サイバーセキュリティシステムは混乱の危機に瀕しています。 何年にもわたって、個々のツールが急増し、それぞれが独自のデータ形式を持ち、異種データの大洪水を引き起こしています。 また、そのデータを評価できる熟練したサイバーセキュリティアナリストが世界的に不足しています(そして、それらを見つけることができれば、彼らは非常に高価です)。 最後に、ハッカーは常により賢く、より創造的になっています。 AIはこれらの問題の治療法であると考えられていましたが、大規模で慎重に計画されたインフラストラクチャが必要なため、大規模な問題に対処するための用途は限られていました。 この記事では、サイバーセキュリティシステムにおけるAIの役割と、AIが真に革新的なテクノロジーになる方法について説明します。

スネークオイルとしてのAI

AIは、サイバーセキュリティソリューションを説明するマーケティング資料で多く言及されていますが、これまでのところ、想像するほど変革的ではありません。 市場規模は年平均成長率20.5%で成長していますが、AIをセキュリティの問題に導入することは依然として運用上困難です。 最新のセキュリティオペレーションセンター(SOC)に足を踏み入れると、読みにくいダッシュボードとCNNを備えた大型のテレビや、セキュリティアナリストは、時間を費やしているために仕事に苦労する可能性があります。 データを手動で相互に関連付け、ますます複雑な攻撃に直面して企業で何が起こっているかを識別しようとします。 人間がそうしているとしたら、「AIはどこにあるのか」という疑問が生じます。

サイバーセキュリティは厄介な運用上の問題であり、それがAIがそれを変革するのに時間がかかっている短い理由です。脅威が通常のアクティビティと同じように見えることが多い場合に、数百のテレメトリソースにわたって企業内の脅威を見つけることは、非常に難しい問題です。さらに、各セキュリティツールからのデータはさまざまな形式をとることができ、AIシステムのトレーニングに使用する前に正規化する必要があります。

業界やユースケースに関係なく、AIはデータから学習します。AIエンジンは、異常であるかどうかを学習し始めることができるように、データでトレーニングする必要があります。これがセキュリティの問題で非常に厄介なことです。すべての企業のセキュリティデータは、少なくとも少し異なり、ツールや動作パターンが異なり、最大でデータが大きく異なります。画像や音声認識システムのようにライセンスを取得できるセキュリティのゴールデントレーニングデータセットはありません。 AIを使用してセキュリティの問題に対処する場合は、独自のデータを作成して取得する必要があります。

AIエンジンに役立つようにデータを正規化することは、大きな課題です。この問題は非常に貴重であるため、主に自動運転車のアプリケーションに焦点を当てたAI開発用のデータAPIを作成するスタートアップであるScale AIは、設立後5年以内に70億ドルの評価額を獲得しました。 Scale AIは、すでに世界で最も革新的な組織の多くを顧客として数えています。

変革的AIにはどのようなものが必要か

セキュリティにおけるAIは、最終的には攻撃と防御の両方で変革をもたらすでしょうが、それはまた別の日の話です。 ここで、「変革的」とは、セキュリティのすべての部分にわたって広く変革的であることを意味するため、企業がセキュリティをどのように進めるかを根本的に変えます。 今のところ、AIがセキュリティを向上させることができるいくつかの限られたアプリケーションに満足する必要があります。

それでも、セキュリティにおけるAIにはいくつかの明るい点があります。 これらは、データの問題を検討することで簡単に見つけることができます。 セキュリティスタックのどの部分がクリーンでトレーニング可能なデータを生成しますか? メール詐欺とマルウェア検出は2つの優れた例です。AIエンジンは、利用可能なフィッシングの例やマルウェアの署名から学習し、同様のエクスプロイトを見つけることができます。 顧客の電子メールとマルウェアサンドボックス全体のデータを使用して、エンタープライズ製品を強化するAIモデルをトレーニングできます。 ネットワークを横方向に移動する攻撃(ファイアウォールからActive Directoryサーバー、データサーバーなど)の検出などの問題に対して同じトレーニングを実装するのははるかに困難です。これは、この横方向の移動は企業ごとに少し異なるためです。

すべてのデジタルオペレーションにわたって企業を幅広く保護するAIを作成することは、今日の自動運転車会社が行っている取り組みに似ています。たとえば、2009年以来、Waymoの自動運転車ソフトウェアは、150億マイルを超えるシミュレートされた運転と、2,000万マイルを超える公共の運転経験についてトレーニングを行ってきました。 Waymoは、さまざまなレベルの忠実度(シミュレーション、クローズドコース、実世界)でテストし、改善を目的としてデータを収集しながら、何千ものバリエーションを持つシナリオを実行するための厳密なアプローチを採用しています。

これは、セキュリティにおけるAIの完全なアナロジーではありませんが、シミュレートされたデータを使用したテスト、シミュレートされた攻撃または実際の攻撃を使用したラボ環境でのテスト、さまざまな企業の実際の運用でのテストなど、非常に優れています。よりクリーンなデータへの自然なアクセスに伴うセキュリティの問題は、エンタープライズセキュリティスタック全体にわたるより困難なデータの問題よりも早く、真にAIを活用した製品で発生します。そこにたどり着くには時間と資本が必要であり、データの問題に冷酷に焦点を当てたイノベーションは、何よりもまず、幅広い変革を解き放つことになるでしょう。現在、多くのセキュリティツールは、インフラストラクチャ全体の特定の問題点でサイロ化される傾向があるため、データの正規化に重点を置いていません。

セキュリティにおける革新的なAIはどのようになるか

すべてのITイニシアチブ、構成、セキュリティログ、およびアラートを、ビジネスオペレーションを中断することなく、その特定の領域で世界をリードする人間の安全保障の専門家がリアルタイムで確認できると想像してみてください。 エンタープライズアナリストがその専門家に相談し、指示を得ることができると想像してみてください。 セキュリティにおけるAIは、最終的にはそのように感じるでしょう。

どのように? 思慮深いデータ資産に基づいて構築され、データの複雑さを軽減する製品は、最終的にはカテゴリの王者になります。そうしないと、製品は顧客ごとに機能せず、サービスのようなマージンを持ち、拡張性のない製品になります。 (Andreesen Horowitzは、AIの構築とスケーリングに固有のコストがあるため、ほとんどのエンタープライズAI企業のマージンが同等のSaaSビジネスよりもはるかに低いことを興味深いことに発見しました。)

これらの将来のカテゴリーの王は、データが本当に資産と見なされ、製品の自己改善の性質を支援する前に、おそらく何年もの間、最初にデータインフラストラクチャと収集に投資する必要があります。ただし、これらの企業の王がAIの実際のデータ資産を取得すると、競合他社に匹敵することは不可能ではないにしても、イノベーションのペースは難しくなり、直感的な製品を維持できる限り、カテゴリーの王になります。したがって、検索エンジンのカテゴリがすぐにGoogleに統合されたように、データ集約型のサイバーセキュリティソリューションでも同じことが起こります。具体的には、セキュリティ情報およびイベント管理(SIEM)拡張検出および応答(XDR)エンドポイント検出および応答(EDR)、およびネットワーク検出および応答(NDR)市場の主要な統合を探します。

そのため、前述の電子メール詐欺やマルウェアの例で述べたように、AIは、データの複雑さが少ない小さな問題で最初にセキュリティで浮上しています。その後、AIはより複雑なデータの問題にゆっくりと展開されますが、データの複雑さの管理に冷酷に焦点を当てている製品だけが、意味のあるAIエンジンを備えて出現します。 AI主導のセキュリティプログラムを効果的にするには、利用可能なすべてのセキュリティツールと脅威フィードからデータを収集し、そのデータを正規化してAIエンジンのトレーニングに役立てることができる必要があります。これが、サイバーセキュリティにおけるAIの将来の姿です。

著者について

Sam Jonesは、Stellar Cyber、Incの製品管理担当副社長です。彼は、顧客が愛するAIおよびセキュリティ製品の構築の実績を持つ経験豊富な製品開発リーダーです。 彼は、AI / ML、データインフラストラクチャ、セキュリティ、SaaS、製品設計、および防御に強いバックグラウンドを持っています。 Samは、Palantir TechnologiesやShield AIなどの企業で製品およびエンジニアリングの役職を歴任し、米国空軍でサイバー防衛戦略に携わってきました。 彼は、コーネル大学で電気およびコンピューター工学の学士号を取得しています。