要点
新しいレポートは、企業が本当のサイバー脅威と誤検知を区別するのに苦労する理由を明らかにしています。
この音声は自動生成されています。ご意見があればお知らせください。
要点:
- セキュリティチームは、潜在的な脅威インジケーターにコンテキストを適用することで、実際のサイバー攻撃と無害な活動を区別できるようにすべきだと、Arctic Wolfの新しいレポートは述べています。
- Arctic Wolfの顧客が2024年5月から2025年4月の間に受け取ったアラートの約4分の3(71%)は、「顧客のコンテキストと脅威インテリジェンスを適用して、予期されたまたは無害な活動を特定する」ことにより誤警報と判断されたと、同社は1万以上の顧客ネットワークの観察に基づくレポートで述べています。
- アラートを引き起こした疑わしいが正当な行動には、異常なログイン場所、ファイアウォールルールの変更、メール転送プロトコルの修正などが含まれており、これらは企業が日常的に経験し、備えておく必要があるものだとArctic Wolfは述べています。
洞察:
継続的監視プラットフォームにおける誤検知の可能性は、ネットワーク防御者にとってコンテキストが非常に重要である理由の一つだとArctic Wolfは述べています。ユーザーがファイアウォールルールを変更したり、異常な場所からログインしたりすることは、高度なアイデンティティベースのサイバー攻撃の兆候かもしれませんし、まったく無害な行動かもしれません。「完全なテレメトリとコンテキストがなければ、無害な行動と悪意ある行動を区別するのは過度に困難で時間がかかる可能性があります」とArctic Wolfのレポートは述べています。
ハッカーがアイデンティティベースの攻撃に移行し、信頼されたインフラ(正規ユーザーアカウントなど)やアラート疲労といった一般的な現象を悪用する中で、アラートを効果的にフィルタリングすることの重要性はさらに高まっています。Arctic Wolfの顧客のセキュリティ調査のうち、サイバー脅威をブロックするために「直接介入」が必要だったケースの約38%で、その介入のほぼ4分の3(72%)が、ハッキングされたアカウントの無効化やパスワードリセットなど、アイデンティティ管理に関わるものでした。
「この高い割合は、今日の脅威環境においてアイデンティティ管理が果たす重要な役割を反映しています」とレポートは指摘し、「侵害された認証情報は、脅威アクターの存在を示す最も早期の兆候であることが多い」と述べています。
セキュリティ専門家は、アラートを処理し、複数のコンテキスト情報を迅速に組み合わせて評価することで本当に危険な活動を特定するために、人工知能の活用を模索しています。Arctic Wolfによれば、同社のAIプラットフォームは顧客が受け取ったアラートの10%をトリアージできたとのことです。この数字は「取るに足らないように聞こえる」が、実際には重要であり、「その割合は、もはや人間による検証を必要としなくなったアラートが86万件以上に相当する」と述べています。
AIは、何百万件もの自動アラートを効果的にふるい分け、防御者が「人間の専門知識を必要とする情報に基づいた意思決定」を行うのを支援できると、Arctic Wolfの研究者は記しています。
翻訳元: https://www.cybersecuritydive.com/news/threat-monitoring-context-false-positives-report/760237/