Cyber Cyber, Burning Bright :XDRは攻撃者との不均衡な戦いを封じ込めるDeepSecOpsテクノロジー

セキュリティ業界は、これまで見たこともない非対称なサイバー戦争に巻き込まれています。

攻撃者のミッションの成否は、1つのサーバーの1個のメモリチップ上に対するわずか1のまぐれ当たりの攻撃にもっぱらかかっています。おそらく、違いを生み出すのは、レジストリキーの設定が脆弱か安全か、さらには、インフラストラクチャ、インフォメーション、アイデンティティ(I3)にアクセスに成功するか失敗するか、です。最悪の場合、2021年5月に大変注目されたような大混乱を引き起こし重要なオペレーションやインフラストラクチャを停止させ人命を危険にさらします。 

防御者の日々の成否は、チップ、コンピューター、コンテナ、クラウド、さらには自動車を標的として兆単位の攻撃を仕掛け、収益が見込める制御や情報といった貴重な宝物を求め、防御者の王国を探し回る数千の攻撃者が行う何百万もの攻撃を どれだけ防御できるかどうかにかかっています。

この攻撃者と防御者の間の非常に不均等な戦いは、かねてサイバーセキュリティにおいてよく知られた課題であり、PowerPointを使ったプレゼンテーションでは最初の数枚のスライドで恐怖を誘発する統計が示されるのが馴染みとなっています。ただし、この非対称なダイナミクスというのは、防御者が常によりよい結果を得られるようなソリューションを革新し、設計するよう私たちに動機づける、おそらくは唯一かつ最大の基本的な真実であり続けています。この観点から、まず、防御者を武装化するための防護、検出、および対応能力を形成し、優先順位を付ける方法について議論する必要があります。


虎よ、この程度はかすり傷だ!防御者のデジャヴ

私たちは、非対称な戦いの歴史が教える厳しくて屈辱的な真実に直面しなければなりません。

A. インシデント対応 (IR)プログラムやIRトレーニングを改善しても、この問題は解決しません。ベストプラクティスとツールのアップグレードによって、防御者が勝つ戦いもあるでしょう。それでも、調査によると、SOARなどの自動化ツールに十分な投資をしても、出遅れている企業に対して先駆的な企業のコスト削減はせいぜい約60%で、不正侵害のコストはすべての組織で上昇し続けています。IRプログラムへの投資は、財政的な観点からは間違いなく妥当だといえますが、非対称戦争を長期的な観点からみれば、トラが襲ってくるのを待ちながらキャンプファイヤーの周りで槍を研いでいるのと同じようなものです。

B. 継続的な起業家精神と、斬新だが一時的なセキュリティ制御とフレームワークの革新は、この問題を解決しません。現在、米国国土安全保障省のシニアデータサイエンティストであるシムソン・ガーフィンケル氏(Simson Garfinkel)は、約10年前、「サイバーセキュリティの混乱」について語り、「サイバーセキュリティは解決できない邪悪な問題である」と指摘しました。サイバーセキュリティは、以前は紛れもなくもっと単純で、防御者も今よりは対処できるものでした。ガートナーのハイプ・サイクルは、発明のカテゴリの優れた価値ライフサイクルトラッカーであり、サイバーセキュリティよりも速いハイプ・サイクルのローラーコースターに乗るカテゴリはほとんどありません。攻撃者が主要な価値提案に適応し、それを克服するにつれて、セキュリティ制御はせいぜい革新的なスタンドアロン製品からデータシートのラインアイテム機能へと急いで移行する程度です。おそらく次に来る10頭のトラは、カモフラージュされたワナに引っかかりますが、やがてそれを回避し、自らワナを仕掛けるようにさえなることに気付くでしょう。

そうだとすれば、私たちは運命を受け入れ、攻撃者の手にかかった防御者が最終的に敗北すると認めるのでしょうか? それとも、私たちの過去の実績を圧倒し、戦争に対称性をもたらし、攻撃者の数百万人年の経験と優位性を一瞬で消し去ることができる途方もない策があるのでしょうか? そして、それには、eXtended Detection and Response(XDR)が一体どのように関わってくるのでしょうか?


Go and the Great Equalizer:サイバーセキュリティと非日常的なAI

ほぼ25年前、米IBMのスーパーコンピューター「ディープ・ブルー」は、1500年にわたって積み重ねられたチェスの知識を圧倒し、チェス世界王者のガルリ・カスパロフ(Garry Kasparov)を打ち負かしました。そして5 年前には、Google DeepMind AlphaGoが3000年以上にわたって集積された囲碁の技術と戦略を打ちのめし、李世ドル(Lee Sedol)から史上最高の囲碁プレーヤーの座を奪いました。その後すぐに、Googleの次世代AlphaZeroは、人間との対局なしにチェスと囲碁を習得し、自身のメンターであるAlphaGoを時代遅れのものにしました。人間がこれらのタイトルを取り戻そうとする試みすら信じられないように思えますが、私たちには感謝すべき深層強化学習Deep RL)があります。

AIOpsのセキュリティの使用について説明しているMIT Technology Reviewで概説されているように、自己学習型の自動AIシステムを予防、検出、および対応の制御に組み込むことを検討することで、防御者に希望を与える同じような大規模な破壊的機会があります。ガートナーのハイプ・サイクルの論点は少なく、まったく新しい次元の革新であるこのサイバーセキュリティAI システムは、すべてのAIシステムと同様に、学習意欲を高めるために2つの主要なコンポーネントを必要とします。1つは、攻撃対象領域の全体でI3システムの入出力に関する大量のデータ。もう1つは、 アルゴリズムをトレーニングするための信頼できるフィードバックメカニズムとワークフローです。これらのニーズの前兆は、十分に確立されたSIEMおよびセキュリティ分析市場と、新しいEDRおよび新興のXDR市場に容易にマッピングされます。

出典:Sutton, R.S., Barto, A.G. (2015).強化学習:イントロダクション、pp.54

EDRとセキュリティ分析:プロメテウスの火に注ぐスターター液

Forrester ResearchでSecOpsを担当するアナリストのアリー・メレン氏(Allie Mellen) は、これらの市場の主要な長所と短所や、近い将来に展開するであろうダイナミクスについて簡潔に説明した優れた調査レポートを記しています。

A. SIEM、SOARXDR市場の重要な技術と機能の収束は避けられません。さらに、

B. EDRと、EDRプラットフォームは、エンドポイントが攻撃チェーンの中心的なノードになっていることから、XDRへの自然な進化の先駆者です。

コンピューター、ノートブック、スマートフォン等のEDR技術は、エンドユーザーの行動とリスクに関する最も詳細で堅牢な知識を提供することが証明されています。EDRは、Gartnerエンドポイントセキュリティのハイプ・サイクル2020で、新しいAIプラットフォームに有意義で規範的なトレーニングフィードバックを提供する「次世代技術」として、データが豊富な自然な進行をXDRに提供します (たとえば、IR アナリストAが、コントロール123にまたがるステップXYZを実行し、脅威Aを無効にします)。Googleのマルチタスク機械学習演習Zhamak Dehghani氏によるデータアーキテクチャの画期的な再考などの調査を通じて、私たちは、AI消費のための将来のI3データセットが巨大モノリシックなデータレイクではなく、グローバルに分散したデータメッシュに存在する可能性が高いことも理解するようになりました。SIEMからセキュリティ分析、EDRから XDRへの進化は、完全に統合された「DeepSecOps」プラットフォームへの準備段階であり、攻撃者と防御者の非対称性を根本から変える可能性があります。このブログでは、DeepSecOpsを、上記の図で説明されている (潜在的にはそれ以上の) コンポーネントとプロセスをシームレスかつ自動的に統合し、自己学習と効果的な自動応答を基本的な目標とするプラットフォームまたはシステムと定義します。

また、DeepSecOpsの先駆者となるXDRに投資するのにはもっと先を見据えた理由もあります。明日の攻撃者は今日、技術に磨きをかけているのです。さまざまな既成のセキュリティ コントロールがすでに設定されている複数のターゲットインフラストラクチャプロファイルにモーフィングするように設計された何千ものコンテナをハイブリッドなマルチクラウドインフラストラクチャのあらゆる場所で無理なく稼働させます。その後、シミュレートされた何千もの攻撃を仕掛ける一方、独自のDeep RLエンジンがうまくいっているかを監視し、測定します。


防御者のみなさんへ:勝利に向けて未来を構築するための仲間を見つけましょう

防御者は、DeepSecOpsの将来の基盤を構築するための明確な道筋を提供してくれるサイバーセキュリティパートナーに目を向ける必要があります。それはどのようなものでしょうか? いくつかの重要な考慮事項を紹介します。

  • XDRおよびAI/MLガイダンスへの最善のアプローチについて理解するために十分なEDRの基盤を有するセキュリティベンダーであるか
  • セキュリティベンダーが、I3データセットを最大化するためにその企業のポートフォリオに他のベンダーやパートナーの製品を統合したセキュリティ分析ソリューションを提供した実績があるか
  • DeepSecOpsシステムで利用できるデータの量と種類を増やすために、サードパーティの APIとコンポーネントを共有エコシステムに統合する仕組みを持っているか
  • 同時に、セキュリティベンダーがプラットフォーム上で十分な有機的セキュリティ制御をサポートし、パートナー企業に依存することなく AIシステムを最適な方法でトレーニングできることを確認(メレン氏の記事によればハイブリッド化を推奨するネイティブ対応の XDRベンダー)。これらの技術には、ローデータのソースおよび結果をトレーニングするためのコントロールとしてCASBDLPSWGなどが含まれ、理想的には、ベンダーは、エンドユーザーからクラウド、アプリユーザーからアプリコーダーまで、エンドツーエンドのネイティブの可視性を備えていると理想的
  • データメッシュアーキテクチャの提供に適したプラットフォーム、戦略、ロードマップを持っているセキュリティベンダーであるか
  • すでにAI/MLを活用して事前に攻撃対象領域を削減するようなソリューションを持ちDeepSecOpsの原則とアーキテクチャの早期導入を示すガイド付き調査を提供しているか

これらの考慮事項を攻撃者と防御者の非対称性を封じ込めるDeepSecOpsテクノロジーを展開する際の戦術的な前提としてください。

On what wings dare [they] aspire?
如何なる翼、如何なる手が

What the hand, dare seize the fire?
輝く炎をとらえるだろうか


MVISION XDRでプロメテウスの火をつかまえる

限られたリソースでSOC機能を構築したり、十分に確立されたSOCを成熟させたりするために、マカフィーは、MVISION XDRによって、セキュリティ運用を簡素化し、強化することを支援したいと考えています。MVISION XDRを使用すると、組織を標的とする攻撃者がネットワークに侵入する前に、プロアクティブに脅威を特定し、調査し、軽減させることができます。XDRは、最新の機械学習技術と人間による分析を組み合わせることで、ネットワーク、エンドポイント、クラウドのセンサーが発する早期警告信号を関連付けて拡張し、状況認識を改善して、より適切かつ迅速な意思決定を推進し、SOCを向上させます。

MVISION XDRの機能に関する詳細は、以下の動画をご覧ください。

 

 

*ウィリアム・ブレイクの素晴らしい比喩をサイバーセキュリティ世界に擬えたことをお詫びするとともに、初期のウルヴァリンのコミックには頷かされるばかりです。

※本ページの内容は2021年5月26日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Cyber Cyber, Burning Bright: Can XDR Frame Thy Fearful Asymmetry?
著者:Jamie Cromer