サイバー攻撃には次の XNUMX 種類があります。ネットワークに侵入しようとする自動化された日和見的な試みと、標的を絞った Advanced Persistent Threat (APT) 攻撃です。 前者が大部分を占めており、人工知能 (AI) はそれらのほとんどを自動的にブロックできます。 しかし、APT の背後には多くの人がいます。 このようなネットワーク レベルの攻撃を防御するには、AI とセキュリティの専門家の両方が必要です。
ハッカーは、ネットワーク上のマルウェアの痕跡によって最初に識別されます。 ただし、これらの異常なトラフィック パターンは、大量の情報の中で簡単に失われます。 人間の IT マネージャーは、自分のデバイスに任せて、それらを認識することに圧倒されます。
認識することは一つのことですが、
人工知能は、メタデータに基づいてリアルタイムでデータ トラフィックの異常を検出し、アラームを鳴らして防御反応をトリガーすることで、防御に重要な貢献をします。 Splunk の専門家によると、AI と自動化されたサイバー防御は、Tier 90 のセキュリティ インシデントの 1% を自動的に検出し、修復を開始できます。
問題は残ります。残りの XNUMX% はどうでしょうか。 人間の加害者が複雑な攻撃の背後にいることが多いため、情報を分析する際の人間の論理と人間の判断の両方が、将来を見据えた防御に不可欠です。
人間の IT セキュリティ アナリストによる付加価値
もはや AI なしではサイバー防御はできません。 しかし、人間のオブザーバーには重要な利点があります。
1. AIと人間の知性は互いに補完し合う
機械学習 (ML) と脅威インテリジェンスで最適化された AI は、大量の情報をエラーなしで迅速に分析できます。 IT セキュリティの専門家は、これに基づいてデータ トラフィック パターンを解釈します。 同時に、彼は試行錯誤された手順を使用して防御を指示します。 会社とITに関する知識から、彼は重要なAIコーチでもあります。 ここでは、特に IT セキュリティ クリティカルなシステムにタグ付けすることにより、通常の、したがって正当なデータ転送の定義を加速します。 また、ネットワーク トラフィックでは見えない情報も考慮されます。たとえば、デバイスが利用可能であるが一元管理されていない場合、または会社が新しい本社を設置した場合、それまでは珍しい IP アドレスでの問い合わせが説明されています。点。 または、新しいテクノロジー、アプリケーション、およびシステムを実装する場合。
2. 状況に応じて情報を評価する
人工知能は統計的アプローチです。 危険を認識し、防御し、予防するには、個々のデータを超えたつながりが必要であるため、人とその判断力が重要な役割を果たします。 具体的な会社の知識は、たとえば、ある会社から委託された IT サービス プロバイダーが、まったく注文のないサブネットで突然行動を起こした場合に役立ちます。 最初はデータ トラフィック パターンが目立たないように見えても、コンピテンシーを超えている場合は、IT サービス プロバイダーが侵害されていることを示している可能性があるため、確認する必要があります。
3. ハッカーの次の動きを予測する
複雑な Advanced Persistent Threat (APT) は依然として人為的なものです。 社内の重要人物に対するフィッシング攻撃の背後には、スパムボットではなく、標的型の電子メールの添付ファイルを介してインターネットにアクセスする人間のソーシャル エンジニアリングの専門家が存在することがよくあります。 AI は、人間の攻撃者がネットワークを改ざんしていることを認識します。 ハッカーの個々の戦術は、統計指標には反映されません。 攻撃者の次のステップを予測するために、経験豊富なセキュリティ アナリストは、ハッカーの立場になって次の動きを予測することができます。
4. 全体的な加害者の動機を評価する
サイバー防御では、犯罪者の動機を考慮する必要があります。 すべての攻撃者がデータを盗み、暗号化し、身代金を受け取ることを望んでいるわけではありません。 ハッカーにはさまざまな動機があります。ビットコインをマイニングするためのリソースのハイジャック、おそらく政治的または個人的に動機付けられた妨害行為、または単に破壊したいという願望です。 したがって、防御は、データを保護したり、情報漏えいを封じたりするだけではありません。 持続的な対応には、人間の心理を理解する必要があります。
5. 自動防御メカニズムではなく、適切で優先順位の高いセキュリティ
IT セキュリティ アナリストは、企業のリスクに個別に優先順位を付けます。 防御の選択は状況に応じて異なります。それは、会社にとってもはや何の価値も持たない可能性のある回復可能なデータでしょうか、それともよく引用される王冠の宝石でしょうか? AI は、ビジネスの成功のためのデータまたはプロセスの関連性を考慮して、状況に適した防御に関する結果の質問に答えることができません。
さらに、アナリストは典型的な業界の攻撃にも目を向けています。 ハッカーが現在、電子小売業者 X をマルウェアで攻撃している場合、その後、競合他社の Y や Z を試す可能性は否定できません。 自身のネットワークのみを監視する AI は、最新の脅威インテリジェンスによってサポートされている場合にのみ、そのようなリスクを認識します。
6.防御を主導し、巻き添え被害を回避する
AI は、危険を認識し、自動的に防御を開始できるという点で大きな強みを持っています。 ただし、すべての防御には副作用があり、IT やビジネス プロセスを損なう可能性があります。 防御は、APT と同様に複雑であり、重要なことかもしれません。 したがって、セキュリティアナリストは、アクションの結果を考慮して評価できるため、ここで需要があります。 人間の専門知識は、IoT 制御の建物へのアクセスや看護における IT システムのブロックなど、不当な巻き添え被害を回避することができます。
攻撃を追跡する場合、セキュリティ アナリストは重要な助言の役割を果たします。 ネットワーク全体のミラーリングされた記録を使用して、彼は何が起こったのか、そして将来の攻撃をどのように防ぐことができるのかをフォレンジックに理解することができます.
AI とセキュリティの専門家は相互に依存しています
AI のない IT セキュリティは過去のものです。 それでも、セキュリティの専門家が不要になることはありません。 彼は、アラームの継続的な解釈者として、危機的状況におけるスーパーバイザーとして、また将来を見据えた IT セキュリティのアドバイザーとして、今でも重要な役割を果たしています。 それぞれの「検知と対応」は、理想的には「管理された検知と対応」によって補完されます。
詳しくは ForeNova.com をご覧ください
ForeNova について ForeNova は、サイバー脅威による被害を効率的に軽減し、ビジネス リスクを最小限に抑えるために、手頃な価格で包括的なネットワーク検出および対応 (NDR) を中規模企業に提供する、米国を拠点とするサイバーセキュリティ スペシャリストです。 ForeNova は、フランクフルトでヨーロッパの顧客向けのデータセンターを運営しています。 M. は、GDPR に準拠したすべてのソリューションを設計します。 ヨーロッパの本部はアムステルダムにあります。