ai course cyber reading real world examples of applied ai based threat intelligence
1.0.0
タブを選択してコンテンツ内を移動します。
導入
ケーススタディ: Google と Mandiant
ケーススタディ: マイクロソフト
ケーススタディ: IBM
まとめ
リソース
脅威インテリジェンスにおける AI の実装は、現実世界のシナリオでますます普及しており、いくつかの著名な企業がその道をリードしています。このレッスンでは、Google、Microsoft、IBM などの組織のケーススタディを検討し、AI を活用して脅威インテリジェンス機能を強化する方法を紹介します。
このレッスンを終了するまでに、次のことができるようになります。
Google、Microsoft、IBM が脅威インテリジェンスに AI をどのように使用しているかを調査する
Google は AI を使用して毎日数十億件のセキュリティ信号を分析し、潜在的な脅威を特定します。高度なモデリングにより、Google の顧客は複雑なワークフローと信頼性が高く反復可能な応答プロセスを作成できます。 Google の堅牢なデータ分析およびコンピューティング リソースと、2022 年の Mandiant 買収を通じて得られた数十年にわたるセキュリティの知識を組み合わせることで、お客様は侵害の兆候を迅速に検出し、脅威に対応し、軽減することができます。
最前線の専門知識と業界をリードする脅威インテリジェンスで知られる Mandiant は、過去 18 年間、セキュリティ侵害との戦いの最前線に立ってきました。 Mandiant の買収により、Google は 900 名を超えるコンサルタントやアナリストの専門分野の知識と専門知識も獲得しました。 Mandiant が Google に提供する動的なサイバー防御ソリューションは、サイバー脅威からの保護と、セキュリティ侵害やサイバー攻撃が発生した際のインシデント対応管理を指導する高度なスキルを持つチームを提供します。
近年のクラウド コンピューティングの人気により、サイバー セキュリティ環境にさまざまな懸念が生じています。クラウド環境は相互接続されているため、データの整合性、機密性、可用性を保護するための堅牢なサイバーセキュリティ対策が必要です。
Google Cloud のような組織は、機密情報の機密性を確保し、不正アクセスから保護し、データ侵害を防止し、規制要件へのコンプライアンスを維持する必要があります。さらに、マルウェア、ランサムウェア、フィッシング攻撃、クラウド システムを標的とする内部関係者の脅威など、進化する脅威に対して防御する必要があります。
クラウドにおけるサイバーセキュリティが不適切な場合、深刻な結果が生じる可能性があります。侵害は、重大な経済的損失、風評被害、法的影響、顧客の信頼の喪失を引き起こす可能性があります。さらに、クラウド環境は重要なインフラストラクチャやサービスをホストすることが多いため、中断や不正アクセスは企業とその顧客に広範囲にわたる影響を与える可能性があります。これらの課題に対処するには、組織はクラウド コンピューティングの状況に合わせたサイバーセキュリティ対策を優先する必要があります。これには、強力なアクセス制御、暗号化、ネットワーク セキュリティ、脅威監視ソリューションの実装が含まれます。定期的なセキュリティ評価、脆弱性スキャン、従業員の意識向上トレーニングも、リスクを効果的に特定して軽減するために重要です。
Google Cloud と Mandiant の連携により、Mandiant Advantage Software-as-a-Service(SaaS)プラットフォームを通じてインテリジェンスと専門知識を大規模に提供できるようになり、Google Cloud の既存のセキュリティ ポートフォリオを補完します。両組織は力を合わせることで、クラウドのセキュリティの確保、クラウド コンピューティングの導入の促進、より安全なデジタル環境の促進に大きな影響を与えることを目指しています。
Security Copilot は、セキュリティ アナリストが直面する 3 つの主要な問題に対処します。
攻撃の複雑さ
複雑なシステムは、攻撃時に有害となる可能性があります。さまざまなソースからのデータを統合し、それを直接的で実用的な洞察に変換することで、アナリストは攻撃に長時間耐えることなく、数分以内にインシデントに対応できます。
巧妙な回避戦術
攻撃者が採用する巧妙な回避戦術に直面しても、Copilot は機械学習を使用して信号を迅速に分析します。早期の段階で脅威を特定し、攻撃者の将来の行動に効果的に対抗するための事前のガイダンスを取得します。
才能のギャップ
熟練したセキュリティ専門家の需要が供給をはるかに上回っているため、人材不足が課題となっています。 Copilot は、リスクを軽減するための詳細な段階的な指示を通じて、チームが効率を最大化し、能力を向上できるように支援します。
Copilot は、機械学習と人間の知能を統合したシステムに統合し、あらゆる規模の組織がソフトウェア サービスを使用して脅威を効果的に管理できるように努めています。 Microsoft は AI を使用して脅威アクターの活動を追跡し、検出システムからの入力、顧客入力、および応答データを監視および分析することで攻撃のリスクを評価します。これにより、Microsoft Security Research Center (MSRC) のアナリストは、AI および ML ツールを使用してバグ報奨金ポータルに提出された独立した調査の影響を効率的に検証および評価できるため、個々の組織のセキュリティの負担が軽減されます。
Microsoft は、Security Copilot を使用して、顧客のセキュリティ チーム、脅威ハンター、マルウェア アナリストがリアルタイムで協力し、脅威を調査し、以前のインシデントと対応に基づいてプレイブックと手順を作成することで応答時間を改善できるようにしています。
IBM は、QRadar Advisor と呼ばれるソリューションを使用して、主力のセキュリティー・インシデントおよびイベント管理 (SIEM) プラットフォームで Watson AI テクノロジーの力を活用しています。
では、どのように機能するのでしょうか? QRadar Advisor は、アナリストが全体像を把握し、誤ってイベントを無視しないように支援する方法で、さまざまなインシデントを自動的に連鎖させることで、セキュリティー・オペレーション・センター (SOC) が大量の情報に対応できるようにする AI アシスタントです。
セキュリティ オペレーション センター (SOC) は、情報セキュリティ オペレーション センター (ISOC) とも呼ばれ、組織の IT インフラストラクチャ全体を 24 時間体制で監視するために内部または外部で活動する IT セキュリティ専門家のチームです。その主な目的は、サイバーセキュリティ インシデントをリアルタイムで特定し、迅速かつ効率的に対応することです。
QRadar は、SOC での主要なプラクティスを自動化することで、組織が次の一般的な課題に対処できるように支援します。
脅威が増えても、それを発見するのに十分な時間がない- アナリストが点と点を結びつけるのに苦労しているため、貴重な情報が見過ごされることがよくあります。そのため、実用的な洞察を導き出すことが難しくなり、アナリストは自信を持っているケースのみに焦点を当てることになります。残念ながら、このアプローチでは調査が見逃され、組織がリスクにさらされる可能性があります。
情報過多- 分析すべき洞察の量、多様性、速度が膨大なため、作業の優先順位を付けたり、問題の根本原因を特定したりすることが困難になります。この課題はあらゆる規模の企業に影響を与えます。アナリストは、ローカルのコンテキストを迅速につなぎ合わせるのに苦労しており、反復的なタスクに圧倒されています。
滞留時間- 滞留時間は、セキュリティ インシデントの発生からその検出と対応までの時間を指し、セキュリティの専門家がデータの保護と防御の有効性を評価するために信頼する重要な指標です。具体的には、 MTTD (平均検出時間)とMTTR (平均応答時間)という 2 つの重要な測定値が、この成功を評価するために広く利用されています。より多くのソリューションとデータが利用可能になっているにもかかわらず、今日の平均滞在時間は 50 日から 200 日の範囲に及ぶ可能性があります。コンテキスト情報を使用した一貫した高品質の調査が欠如していると、既存のプロセスが崩壊し、組織のリスクが高まります。
サイバーセキュリティの人材不足と仕事の疲労- セキュリティ アナリストは、拡大する脅威の状況と日々の運用タスクにより、過重労働、人員不足、そして圧倒されていることに気づくことがよくあります。データが指数関数的に増加し続けるにつれて、スキルのギャップが拡大し、問題もさらに大きくなるでしょう。
SOC の一部を自動化する主な利点は、組織のセキュリティ ツール、実践方法、インシデント対応を統合し、調整できることです。この統合により、通常、予防措置の改善、セキュリティ ポリシーの強化、脅威の迅速な検出、セキュリティ インシデントに対する迅速かつ効果的かつコスト効率の高い対応が実現します。さらに、SOC は顧客の信頼を高め、業界、国、世界のプライバシー規制への準拠を簡素化します。このソリューションは、最も重大なアラートを優先し、攻撃者のアクションを MITRE ATT&CK フレームワークにマッピングすることで、一貫した対応を推進します。
MITRE Corporation によって開発された MITRE ATT&CK フレームワークは、サイバー侵入で攻撃者が使用する実際の戦術、テクニック、手順をカタログ化した包括的な知識ベースです。攻撃のさまざまな段階を分析するための構造化および標準化されたアプローチを提供し、ネットワーク、エンドポイント、クラウド、モバイル プラットフォームなどのさまざまな脅威ベクトルをカバーします。 ATT&CK は、攻撃者の戦術とテクニックを整理したマトリックスで構成され、目標と手法についての洞察を提供します。サイバーセキュリティの専門家によって広く使用されており、脅威の検出と対応能力を強化し、組織が敵の戦術を理解し、効果的な防御を開発し、全体的なサイバー回復力を向上させるのに役立ちます。
Google、Microsoft、IBM などの著名な企業のケーススタディが示すように、脅威インテリジェンスにおける AI の実装は大きな注目を集めています。 Cisco、CrowdStrike、Palo Alto などの他の著名なセキュリティ ベンダーも、AI および ML テクノロジーを活用して検出を強化し、顧客に対する攻撃を阻止しています。これらの組織は AI を活用して脅威インテリジェンス機能を強化し、膨大な量のセキュリティ信号を分析し、潜在的な脅威を検出し、迅速に対応できるようにしています。
Google と Mandiant の連携により、Google のデータ分析機能と Mandiant の専門知識が融合し、高度なサイバー防御ソリューションとインシデント対応ガイダンスが提供されます。 Microsoft の AI を活用したツールである Security Copilot は、セキュリティ アナリストが直面する複雑さ、回避戦術、人材不足に対処し、プロアクティブな脅威管理を促進します。 IBM は、QRadar Advisor ソリューションで Watson AI テクノロジーを活用し、セキュリティー・オペレーション・センター (SOC) での主要な実践を自動化し、情報過多、滞留時間、サイバーセキュリティ人材不足などの課題に対処しています。これらの AI 主導のアプローチと MITRE ATT&CK フレームワークを統合することで、組織のサイバー脅威の検出、対応、防御能力がさらに強化され、最終的にはより安全なデジタル環境が促進されます。
このコースの演習を進める際には、これらのケーススタディと、AI ツールが組織の課題のいくつかに対処するのにどのように役立つかを検討してください。
Google Cloud AI 脅威インテリジェンス
Microsoft セキュリティ コパイロット IBM セキュリティ
パロアルトネットワーク - セキュリティ環境における AI/ML の価値: 誇大広告を超えて
