脅威の状況は急速に進化しており、脅威アクターが攻撃を強化するためにAIを活用しているなか、防御側にはもはや選択の余地がなく、サイバー脅威からネットワークを守るためにAIを活用しなければなりません。そうでなければ「失敗する運命にある」という警告が発せられました。
この警告を発したのは、DataminrのサイバーセキュリティアラーティングストラテジーディレクターであるJoe Slowik氏で、6月2日火曜日にInfosecurity Europeにて発言しました。
AI & Securityステージのセッションで、Slowik氏は防御側が加速する攻撃者のタイムスケールに適応することが急務であると主張しました。人間中心のセキュリティオペレーションセンター(SOC)に依存し続ける組織は取り残され、サイバー脅威にさらされることになるとも指摘しています。
「もはや選択の余地はありません。端的に言って、セキュリティプロセスにおいて、人間が主導するループ型の仕組みでは、新たな攻撃者のタイムスケールに対応できないのです」とSlowik氏は説明しました。
「攻撃者の意図が加速するなか、人間のアナリストが侵害を調査して状況をまとめるというやり方は、もはや現実的ではありません」と同氏は付け加えました。
サイバー犯罪者やその他の脅威アクターは、AI、機械学習、大規模言語モデル(LLM)などの新技術を活用して攻撃を強化・加速させており、脆弱性が発見されてから悪用されるまでの猶予時間が大幅に縮まっています。
以前はセキュリティチームが新たな脅威を踏まえて自社のセキュリティ態勢を評価する時間があったかもしれませんが、攻撃者が新たな脆弱性や攻撃手法を数日、場合によっては数時間以内に悪用するようになった今、それは「もはや現実的ではない」とSlowik氏は述べています。
AIによるセキュリティオペレーションの再考
「機械学習に懐疑的だった立場から言いますが、懐疑論を持っている時間はもうありません。人間だけのソリューションは失敗する運命にあり、攻撃者のライフサイクルに対応するために人間主導のループだけを活用することは不可能です」とSlowik氏は警告しました。
セキュリティチームに必要なのは「セキュリティオペレーションの再考」であり、防御側はAIを活用してワークフローを強化すべきだと同氏は主張します。ただし、それはLLMの導入にとどまらない取り組みが必要です。
たとえば、AIエージェントを活用して脆弱性に関する既知の情報を収集し、ネットワークのどの部分が攻撃に最も脆弱かを特定し、最適な防御策を実装する方法を探ることが挙げられます。
こうした取り組みにより、攻撃者がかつてないスピードで動く現状において、攻撃への対応を大幅に加速させることができます。
「身代金要求通知が届いたり、ワイパーマルウェアが展開されたりするのを待つのではなく、先手を打つ能力を向上・強化することができます」とSlowik氏は述べました。
同氏は、攻撃者が数時間以内に悪用した迅速な展開の事例として、React2Shell脆弱性を取り上げました。
人間中心のSOCであれば対応策のレポートをまとめるのに数日かかる可能性がある一方、AIで強化されたSOCはより迅速にレポートを作成し、React2Shellを悪用する攻撃者からネットワークを守る方法を素早く習得することができました。
「こうした情報の強化により、リアルタイムで、インシデントと並行しながら、十分な情報に基づいた迅速な修復ライフサイクルを開始し、意思決定プロセスを改善・強化することができます」とSlowik氏は述べました。「攻撃者の活動は、侵害から目的達成までの時間が加速しています。防御側がそのペースに追いつかなければならないのは事実であり、これは任意ではありません。」
一方で同氏は、AIが人間に取って代わるわけではなく、人間はSOCにおいて依然として不可欠な存在であることも強調しました。しかし、サイバー防御者が前進するための道は、人間とAIを組み合わせることにあります。同じことを実践しているサイバー攻撃者と歩調を合わせるには、それが唯一の方法だからです。
「人間が意思決定を行うことは変わりませんが、攻撃者のワークフローに対応するためにAIの支援を受けることになります」とSlowik氏は締めくくりました。
pangkat
翻訳元: https://www.infosecurity-magazine.com/news/cybersecurity-teams-doomed-to-fail/
