ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
トップのサイバーセキュリティベンダーによる前四半期のプレスリリースをよく読んでみると、人工知能(AI)と機械学習(ML)に焦点が当てられていることは見逃せません。これらのベンダーによると、大量のイベントや行動データを分析して自動的に意思決定を行い、今日の脅威アクターから組織を守ることができる高度なアルゴリズムが、従来のセキュリティツールを強化しているとのことです。
セキュリティチームは AI を使用して、わずか数分で識別から修復まで進めることができます。脅威アクターがビジネスのスピードで活動している世界では、こうした大規模な能力が、脅威を時間内に捉えるか、侵害の被害を受けるかの分かれ目になりかねません。
これは素晴らしい!しかし、AI/MLがサイバーセキュリティソリューションをより良くすることはほとんどありません。確かに、そのほうが速く、驚くほど大量のデータを迅速に処理できますが、より広い網を張ったり、脅威アクターが被害者に手を差し伸べるために利用する新たな手段を阻止したりしているわけでもありません。Web ブラウザを標的とする新しい高度回避型適応型脅威 (HEAT) は、従来のセキュリティツールを回避できますが、自動化やスケーラビリティをいくら行っても状況は変わりません。AI/MLの良し悪しは、それに入力するデータによって決まります。適切な情報を提供しなければ、AI/ML エンジンは、回避しつつある今日の脅威を捉えるために、その場で学習したり適応したりすることができません。
組織は、今日のユーザーに影響を与える脅威を特定してコンテキストを提供できる、AI/MLを活用したサイバーセキュリティソリューションを探す必要があります。今日の作業はウェブブラウザで行われています。クラウドサービスプロバイダーがホストするプライベートアプリケーションから Software as a Service (SaaS) プラットフォームまで、データはデータセンターからインターネット上に移動し、権限のある機関ならどこからでもアクセスできるようになっています。ユーザーは、Web ブラウザーからデータを送信しなくても、顧客の連絡先情報を調べたり、チャネルパートナーとやり取りしたり、文書に署名したり、その他さまざまなことを行うことができます。
今日の脅威アクターはもちろんこのことを知っています。ネットワークやエンドポイントのセキュリティに重点を置いた従来のセキュリティツールを回避するための足掛かりとして、ウェブブラウザを標的にしているのは言うまでもありません。これらのソリューションでは、Web ブラウザーの内部で何が起きているかを把握できる範囲が限られているか、まったく可視化できないことを知っています。この重要なイベントや行動情報が AI/ML アルゴリズムに取り込まれていないため、これらの従来のサイバーセキュリティソリューションに依存している組織は、回避型のブラウザ攻撃にさらされることになります。
サイバーセキュリティに関してAI/MLが効果を発揮するためには、ソリューションがWebブラウザ内で起こっていることに関する情報をアルゴリズムに入力する必要があります。そうして初めて、ブラウザを標的とするHEAT攻撃などの回避可能な脅威を学習し、それに適応できるようになります。だからといって、従来のセキュリティソリューションが必要ないというわけではありません。ネットワークやエンドポイントを標的とする攻撃から組織を守るという点で優れています。ただし、Web ブラウザーの可視性と制御によってこれらの機能を強化する必要があります。この階層型アプローチは、(最速または最もスケーラブルであるだけでなく) 最も優れた保護を提供します。
理想的には、コンテンツがブラウザを介してユーザーと対話する前に、AI/ML処理がクラウドで行われることが理想的です。これにより、脅威は被害者のブラウザに到達したと思わせ、意図したペイロードを配信しようとするようになります。AI/MLを活用したサイバーセキュリティツールなら、脅威をより的確に分析して理解し、この状況に基づいて決定を下せるようになります。
たとえば、ほとんどの組織は「知られている」Webサイトを許可する傾向があるため、脅威アクターは分類されたドメインを使用して従来のURLフィルタリングツールを回避することがよくあります。脅威アクターは、ほとんどの組織がセキュリティよりも生産性を優先していることを知っており、この回避策で逃げることができます。
ただし、AI/MLを活用したブラウザセキュリティソリューションによるさらなるランタイム分析により、必要なコンテキストとニュアンスが得られ、異なる意思決定プロセスにつながる可能性があります。元の例に戻ると、AI エンジンが URL の背後にある Web サイトをさらに調査して、その Web サイトに Microsoft のロゴが含まれていても、その URL は Microsoft とは何の関係もないことが判明する可能性があります。コンテキストが追加されたことで、AI/ML エンジンは、今や疑わしいページを読み取り専用モードでレンダリングすることを推奨するようになります。そうすれば、ユーザーは認証情報を危険にさらすことなく引き続きページにアクセスできます。人間が多くの情報を取り込んで処理できるのとほぼ同じ方法で、複数のデータフィード、特性、技法、コンテキストを識別して分析することで、AI/ML の真価を発揮できます。
今日のAI/MLに最適化されたサイバーセキュリティソリューションは誇大広告にすぎませんが、今日の脅威に対する真の保護を提供することはできません。つまり、学習、適応、そして重要な意思決定を大規模に行うために必要な適切な情報が提供されていないだけです。サイバーセキュリティで AI/ML を効果的に使用するには、Web ブラウザーの可視性と制御が不可欠です。組織は、ブラウザベースの情報を自社の AI/ML エンジンにフィードして、より広いネットワークを構築し、今日の脅威が最もよく見られる場所、つまりブラウザを阻止する必要があります。
