人工知能と機械学習(AI/ML)は、私たちの生活のあらゆる側面を、私たちが理解できる以上の速さで形作りつつある。サイバーセキュリティも例外ではない。実際、AI/MLが攻撃と防御の両方にどのように活用できるかを示す輝かしい例であり、魅力的なターゲットそのものでもある。
サイバー犯罪者の参入障壁が低くなったおかげで、フィッシング、ディープフェイク、分散型サービス拒否(DDoS)など、AI/MLを利用したサイバー攻撃が増加している。ポリモーフィック型マルウェアや高度持続的脅威(APT)は、AIを利用して成功したマルウェアの新たな亜種を生成し、ルールやシグネチャを回避する。
防衛側では、何十ものソースからの膨大な量のデータを迅速に分析し、相関させる必要があるため、AIとMLの主要なユースケースとなっている。これらの超人的な能力は、アセット・インベントリやインテリジェンス、ビヘイビア・ベースライニング、異常や脅威の検知、イベントの相関、リスクの優先順位付け、ノイズの削減など、サイバー防衛のほぼすべての側面を加速させている。これらを組み合わせることで、Tier 1 SOCアナリストやその他のジュニアポジションの必要性が完全になくなる可能性がある。
産業環境向けのAI支援型サイバーセキュリティは、これらの能力をすべて活用するが、間違いなくその程度はより高い。保護すべきものが多く、攻撃のリスクも高くなることが多いからだ。制御システムや物理的プロセスには、何千もの設定可能なプロセス変数があり、そのすべてが悪用される可能性がある。また、設計上安全でないレガシー・コンポーネントがあり、パッチを当てる機会も限られている。AIがなければ、典型的な産業用ネットワークにおける大量のネットワーク通信とプロセス変数データを評価することは不可能であり、深刻な脅威が検出された場合に被害を防ぐのに十分な速さではありません。
産業環境と重要インフラを守るため、Nozomi Networks プラットフォームでAIとMLがどのように活用されているかを紹介する。
産業環境では通常、膨大な量のネットワーク通信とプロセス変数データが攻撃対象領域を構成している。効率的ではあるが、シグネチャベースの検知は、既知の脅威(文書化されたCVEなど)を特定するためにのみ機能し、その指標は容易に観察可能であり、潜在的な一致として迅速に識別可能である場合にのみ機能する。ゼロデイやリスクをもたらす可能性のある運用上の異常を含む未知の脅威を検知する唯一の方法は、環境全体のセンサーから収集したデータを迅速に分析し、ベースラインからの逸脱を識別することである。
Nozomi ネットワークセンサーは、お客様の環境に初めて設置されたとき、学習モードで動作し、コンポーネント、接続、トポロジーを含む産業用ネットワークをリアルタイムで自動的に検出します。デバイスの通信をプロセスレベルの変数まで監視することで、プラットフォームはネットワーク内の各物理プロセスの正確な内部表現を作成し、各フェーズとネットワークデバイス、プロセス変数、フェーズ間の相関関係を特定します。これらの表現から、プロセスの各段階で各デバイスに期待される動作の詳細なプロファイルを作成します。
これまでのところ、この学習プロセスは観察に基づく純粋な行動ベースライン化である。Nozomi Networks プラットフォームは、プロファイルを充実させ、誤検知を減らすために、既知のアセット行動(下記参照)を記述するasset intelligence 追加する適応学習も採用しています。このような既知のアセット挙動に基づいた検知の組み合わせは、特にゼロデイエクスプロイトの検知に不可欠です。
このプラットフォームはまた、ダイナミック・ラーニングを使用してネットワークの統計的プロセス制御分析を行い、正常とみなされるべきでない1標準偏差を超える動作を破棄します。学習パラメータは手動で設定でき、環境を保護し過負荷を避けるために本当に必要なアラートのみを生成します。
ベースラインが確立されると、プラットフォームはアクティブモードに切り替わり、ヒューリスティックと行動分析を使って環境を常時監視する。その結果、サイバー攻撃、サイバーインシデント、重要なプロセス変数の異常を含む異常を迅速に検出することができる。この情報は、重大な損害が発生する前に、サイバー脅威やプロセス・インシデントを防止、封じ込め、軽減するために使用することができます。
アラートは、確立されたベースラインから逸脱した不審なイベントやアクティビティをアナリストやオペレーターに知らせると同時に、確立されたしきい値以下の良性の異常なアクティビティをフィルタリングします。例えば、産業プロセスのデバイスが時間とともに10パケットをドロップし始めたとしても、それは大した問題ではありません。同じプロセスが数百パケットをドロップし始めたら、それは調査すべきことです。
産業用および重要なインフラストラクチャー・ネットワークには通常、プロセスを監視・制御するIoT デバイスだけでなく、何百ものベンダーの何千ものOT デバイスが含まれています。OT およびIoT 資産の正確で最新のインベントリを作成し、重要なコンテキスト情報とともにそれらを追跡することは、サイバーおよび運用の回復力を維持し、脆弱性を管理し、緩和策の優先順位を決定するための基盤です。これを手動で行うことはできません。自動化された資産管理ソリューションが必要です。
Nozomi Networks プラットフォームは、ネットワーク、エンドポイント、リモート、ワイヤレスセンサーを使用し、ネットワークに接続された資産を自動的に検出し、詳細なコンテキスト属性を収集、検証します。そして、サイバーインシデントやプロセスの異常を示す不審な変化がないか、継続的に監視します。センサーから得られたOT およびIoT デバイスのプロファイルは、さらに以下の詳細な資産情報で強化されます。 Asset Intelligenceフィードから、ほぼ100%正確な資産インベントリを提供します。
Nozomi Asset Intelligence データベースは、数百万台のOT、IoT 、ITデバイスから収集されたデータを活用し、異常な動作に関するアラートを生成するタイミングを判断します。「新しい」または「異なる」がリスクではないタイミングを知ることで、良性の異常な動作によるアラートの量を減らします。資産によって使用されるMACアドレスやプロトコルなど、ネットワークで目に見える属性や動作を使用し、データベース内の既知のデバイスの動作やパフォーマンスと比較します。一致するものが見つかると、既知のデバイスの属性と動作がデバイス・プロファイルに追加されます。その結果、資産分類の精度が最大50~70%向上し、脆弱性管理の簡素化と環境内の誤検知アラートの低減に役立ちます。
セキュリティ・オペレーション・センター(SOC)のチーム・メンバーのバーンアウト率が高いことはよく知られている。AIとMLが、セキュリティ・チームがより少ない人員でより多くのことをこなせるようにするための特注品でなければ、特にOT セキュリティのような専門分野では、熟練したサイバーセキュリティ専門家の危機的な不足は悲惨なものになるだろう。AIとMLは、ネットワーク、資産、アラート・データをレビューし、関連付け、優先順位付けするという時間のかかる作業を自動化し、真の脅威とその対処方法に関する有意義な洞察を提供する。以前はチームで1週間かかっていた作業も、AI/MLに完全にオフロードしなければ、1日で1人で処理できるようになります。
Vantage IQは、Nozomi NetworksクラウドベースのAI/MLエンジンです。そのディープニューラルネットワークは、ネットワークデータのアクティビティパターンを識別し、即座に相関するアラートに基づいて優先順位を付けたインサイトを提示します。
Vantage IQ エンジンは、お客様の環境を継続的に分析し、リスクと状況を関連付けて、調査する必要があるにもかかわらず、調査する時間がないかもしれない事柄を表示します。Vantage IQ エンジンは、クエリを作成することなく、これらの洞察を常に更新されるリストで表示し、重要度に応じて優先順位を付けます。このような洞察に定期的に対処することで、見落としがちだが修正も容易な設定変更やその他の項目から生じる環境のノイズを減らすことができる。
人工知能と機械学習(AI/ML)は、私たちの生活のあらゆる側面を、私たちが理解できる以上の速さで形作りつつある。サイバーセキュリティも例外ではない。実際、AI/MLが攻撃と防御の両方にどのように活用できるかを示す輝かしい例であり、魅力的なターゲットそのものでもある。
サイバー犯罪者の参入障壁が低くなったおかげで、フィッシング、ディープフェイク、分散型サービス拒否(DDoS)など、AI/MLを利用したサイバー攻撃が増加している。ポリモーフィック型マルウェアや高度持続的脅威(APT)は、AIを利用して成功したマルウェアの新たな亜種を生成し、ルールやシグネチャを回避する。
防衛側では、何十ものソースからの膨大な量のデータを迅速に分析し、相関させる必要があるため、AIとMLの主要なユースケースとなっている。これらの超人的な能力は、アセット・インベントリやインテリジェンス、ビヘイビア・ベースライニング、異常や脅威の検知、イベントの相関、リスクの優先順位付け、ノイズの削減など、サイバー防衛のほぼすべての側面を加速させている。これらを組み合わせることで、Tier 1 SOCアナリストやその他のジュニアポジションの必要性が完全になくなる可能性がある。
産業環境向けのAI支援型サイバーセキュリティは、これらの能力をすべて活用するが、間違いなくその程度はより高い。保護すべきものが多く、攻撃のリスクも高くなることが多いからだ。制御システムや物理的プロセスには、何千もの設定可能なプロセス変数があり、そのすべてが悪用される可能性がある。また、設計上安全でないレガシー・コンポーネントがあり、パッチを当てる機会も限られている。AIがなければ、典型的な産業用ネットワークにおける大量のネットワーク通信とプロセス変数データを評価することは不可能であり、深刻な脅威が検出された場合に被害を防ぐのに十分な速さではありません。
産業環境と重要インフラを守るため、Nozomi Networks プラットフォームでAIとMLがどのように活用されているかを紹介する。
産業環境では通常、膨大な量のネットワーク通信とプロセス変数データが攻撃対象領域を構成している。効率的ではあるが、シグネチャベースの検知は、既知の脅威(文書化されたCVEなど)を特定するためにのみ機能し、その指標は容易に観察可能であり、潜在的な一致として迅速に識別可能である場合にのみ機能する。ゼロデイやリスクをもたらす可能性のある運用上の異常を含む未知の脅威を検知する唯一の方法は、環境全体のセンサーから収集したデータを迅速に分析し、ベースラインからの逸脱を識別することである。
Nozomi ネットワークセンサーは、お客様の環境に初めて設置されたとき、学習モードで動作し、コンポーネント、接続、トポロジーを含む産業用ネットワークをリアルタイムで自動的に検出します。デバイスの通信をプロセスレベルの変数まで監視することで、プラットフォームはネットワーク内の各物理プロセスの正確な内部表現を作成し、各フェーズとネットワークデバイス、プロセス変数、フェーズ間の相関関係を特定します。これらの表現から、プロセスの各段階で各デバイスに期待される動作の詳細なプロファイルを作成します。
これまでのところ、この学習プロセスは観察に基づく純粋な行動ベースライン化である。Nozomi Networks プラットフォームは、プロファイルを充実させ、誤検知を減らすために、既知のアセット行動(下記参照)を記述するasset intelligence 追加する適応学習も採用しています。このような既知のアセット挙動に基づいた検知の組み合わせは、特にゼロデイエクスプロイトの検知に不可欠です。
このプラットフォームはまた、ダイナミック・ラーニングを使用してネットワークの統計的プロセス制御分析を行い、正常とみなされるべきでない1標準偏差を超える動作を破棄します。学習パラメータは手動で設定でき、環境を保護し過負荷を避けるために本当に必要なアラートのみを生成します。
ベースラインが確立されると、プラットフォームはアクティブモードに切り替わり、ヒューリスティックと行動分析を使って環境を常時監視する。その結果、サイバー攻撃、サイバーインシデント、重要なプロセス変数の異常を含む異常を迅速に検出することができる。この情報は、重大な損害が発生する前に、サイバー脅威やプロセス・インシデントを防止、封じ込め、軽減するために使用することができます。
アラートは、確立されたベースラインから逸脱した不審なイベントやアクティビティをアナリストやオペレーターに知らせると同時に、確立されたしきい値以下の良性の異常なアクティビティをフィルタリングします。例えば、産業プロセスのデバイスが時間とともに10パケットをドロップし始めたとしても、それは大した問題ではありません。同じプロセスが数百パケットをドロップし始めたら、それは調査すべきことです。
産業用および重要なインフラストラクチャー・ネットワークには通常、プロセスを監視・制御するIoT デバイスだけでなく、何百ものベンダーの何千ものOT デバイスが含まれています。OT およびIoT 資産の正確で最新のインベントリを作成し、重要なコンテキスト情報とともにそれらを追跡することは、サイバーおよび運用の回復力を維持し、脆弱性を管理し、緩和策の優先順位を決定するための基盤です。これを手動で行うことはできません。自動化された資産管理ソリューションが必要です。
Nozomi Networks プラットフォームは、ネットワーク、エンドポイント、リモート、ワイヤレスセンサーを使用し、ネットワークに接続された資産を自動的に検出し、詳細なコンテキスト属性を収集、検証します。そして、サイバーインシデントやプロセスの異常を示す不審な変化がないか、継続的に監視します。センサーから得られたOT およびIoT デバイスのプロファイルは、さらに以下の詳細な資産情報で強化されます。 Asset Intelligenceフィードから、ほぼ100%正確な資産インベントリを提供します。
Nozomi Asset Intelligence データベースは、数百万台のOT、IoT 、ITデバイスから収集されたデータを活用し、異常な動作に関するアラートを生成するタイミングを判断します。「新しい」または「異なる」がリスクではないタイミングを知ることで、良性の異常な動作によるアラートの量を減らします。資産によって使用されるMACアドレスやプロトコルなど、ネットワークで目に見える属性や動作を使用し、データベース内の既知のデバイスの動作やパフォーマンスと比較します。一致するものが見つかると、既知のデバイスの属性と動作がデバイス・プロファイルに追加されます。その結果、資産分類の精度が最大50~70%向上し、脆弱性管理の簡素化と環境内の誤検知アラートの低減に役立ちます。
セキュリティ・オペレーション・センター(SOC)のチーム・メンバーのバーンアウト率が高いことはよく知られている。AIとMLが、セキュリティ・チームがより少ない人員でより多くのことをこなせるようにするための特注品でなければ、特にOT セキュリティのような専門分野では、熟練したサイバーセキュリティ専門家の危機的な不足は悲惨なものになるだろう。AIとMLは、ネットワーク、資産、アラート・データをレビューし、関連付け、優先順位付けするという時間のかかる作業を自動化し、真の脅威とその対処方法に関する有意義な洞察を提供する。以前はチームで1週間かかっていた作業も、AI/MLに完全にオフロードしなければ、1日で1人で処理できるようになります。
Vantage IQは、Nozomi NetworksクラウドベースのAI/MLエンジンです。そのディープニューラルネットワークは、ネットワークデータのアクティビティパターンを識別し、即座に相関するアラートに基づいて優先順位を付けたインサイトを提示します。
Vantage IQ エンジンは、お客様の環境を継続的に分析し、リスクと状況を関連付けて、調査する必要があるにもかかわらず、調査する時間がないかもしれない事柄を表示します。Vantage IQ エンジンは、クエリを作成することなく、これらの洞察を常に更新されるリストで表示し、重要度に応じて優先順位を付けます。このような洞察に定期的に対処することで、見落としがちだが修正も容易な設定変更やその他の項目から生じる環境のノイズを減らすことができる。