2024年セキュリティの現状:競争が激化するAIの活用
先進的なサイバーセキュリティ対策を推進する組織がどのように課題を克服し、AIを活用してイノベーションを推進し、デジタルレジリエンスを強化しているかをご確認ください。
サイバーセキュリティの世界では、変化の絶えないいたちごっこが続いています。セキュリティエキスパートが価値あるデジタル資産の新しい防御手段を思いつくと、サイバー犯罪者がその防御を回避する一層巧妙な手口を繰り出してきます。
そこで脅威ハンティングの出番です。これはサイバー空間をこそこそと這い回る害獣を積極的に探し出すための手法です。もう少しフォーマルな言葉で説明するなら、「組織の自動検出システムで見落とされたセキュリティインシデントを見つけ出すための手動または機械支援によるプロセス」です。いずれにしても、自動検出を強化して攻撃に先手を打つための、優れた方法であることは間違いありません。
脅威ハンティングの実践は、途中で場当たり的な対応にならないように事前に手順を文書化しておき、再現可能なプロセスに沿って、油をさした機械のようにスムーズに進められるのが理想です。そこでSplunk SURGeが開発したのが、PEAK脅威ハンティングフレームワークです。
このブログ記事では、変化の激しい今日のサイバーセキュリティ環境に適応して一歩先を行くための、この最先端の脅威ハンティングアプローチをご紹介します。PEAKや脅威ハンティング全般については、これから数カ月かけてさらに詳しく説明していく予定です。今回の記事は、その予備知識としてのフレームワークの概要説明とお考えください。
PEAKについて説明する前に、視点を少し戻して、脅威ハンティングフレームワークの概要についてお話ししたいと思います。
脅威ハンティングフレームワークは、ハンティング活動の信頼性と効率を高めることを目的として、再現可能なプロセスを体系化したものです。これらは以下の点を理解するために役立ちます。
信頼できるフレームワークを導入すれば、個別のハンティングでのニーズに合わせて調整した明確なガイドラインを設定できます。フレームワークは基本的に、再現可能なプロセスを提供するものであり、実行の効率化や出力の品質向上につながります。
2015年に初公開され私も作成に協力したSqrrl脅威ハンティングリファレンスモデルや、2018年にオランダ決済協会が作成したTaHiTIなど、すでにいくつかのフレームワークが存在しますが、いずれも今となっては古びてきています。ハンティング手法が進化し続ける中で私たちは、過去数年間に得た新たな経験や教訓を組み込んだ新しいフレームワークが必要だと考えました。
こうして完成したのがPEAKです。
PEAKは「Prepare, Execute, and Act with Knowledge (ナレッジに基づく準備、実行、対応)」の略で、脅威ハンティングに新たな視点をもたらします。このフレームワークには、次の3種類のハンティングアプローチが組み込まれています。
PEAKのハンティングアプローチはいずれも、準備、実行、対応という3段階のプロセスとなります。準備フェーズでは、ハンターがトピックを選び、調査を実施して、ハンティング全般に関する計画を立てます。実行フェーズでは、データを詳細に調査、分析します。そして対応フェーズでは、主に文書化、自動化、情報伝達を行います。重要なのは、各フェーズでナレッジを活用することです。ナレッジには、組織やビジネスに関する専門知識、脅威インテリジェンス、ハンターの過去の経験、そしてもちろん、現在のハンティングからの所見などが含まれます。
さらに、PEAKを使えば、サイバーセキュリティの世界で忍者のようにしなやかに作戦を立てることができます。PEAKには、各タイプのハンティングの一般的な流れを理解し、個別のハンティング手順を構成するために役立つ、詳細なプロセス図と説明が含まれます。ハンターは、各フェーズのステップを省略、並べ替え、追加することで、個別の状況に合わせてアプローチを調整できるのです。
PEAK脅威ハンティングフレームワークについて詳しくは、E-book『PEAK脅威ハンティングフレームワーク』もぜひご覧ください。
これは、組織のネットワークに侵入している可能性のある脅威とそのアクティビティについて仮説を立て、データと分析によって仮説を採択または棄却する、従来のアプローチです。
PEAKの仮説ドリブンハンティングプロセス
このタイプのハンティングでは、「正常な動作」のベースラインを設定したうえで、そのベースラインから逸脱する動作は悪質なアクティビティの疑いがあるとみなします。
PEAKのベースラインハンティングプロセス
M-ATHは、「名探偵シャーロック・ホームズとAIのいいとこ取り」と言ってよいかもしれません。このアプローチでは、機械学習を使って、既知の正常な動作または既知の悪質な動作を表すモデルを作成し、そのモデルと乖離または一致するアクティビティを検出します。仮説ドリブンタイプとベースラインタイプを組み合わせたものに近いですが、機械学習によってプロセスの大部分が自動化されます。
PEAKのM-ATHプロセス
PEAKの概要がわかってみると、従来のフレームワークと何が違うのか疑問に思うかもしれません。PEAKの際立った特徴のいくつかをご紹介しましょう。
変化の絶えないサイバーセキュリティの世界では、脅威に先手を打つことが不可欠です。PEAKフレームワークと、仮設ドリブンハンティング、ベースラインハンティング、M-ATHの各種技法は、再現可能で柔軟性に優れた最新の脅威ハンティングアプローチをもたらします。これにより、進化する脅威から、かつてないほど効果的に組織を守ることができます。
以上、PEAKの概要をご紹介しました(予告編のようなものかもしれません)。興味を持っていただけたならうれしく思います。なぜなら、これはほんの始まりにすぎないからです。今後もブログ記事、ドキュメント、その他のメディアを通じて、PEAKフレームワークと脅威ハンティング全般について詳しい情報をお届けしていく予定です。
Splunkのセキュリティはいつでもファミリービジネスです。この記事はDavid BiancoとRyan Fettermanの協力のもと執筆されました。
このブログはこちらの英語ブログの翻訳、阿部 浩人によるレビューです。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。