出典:Shutterstock提供 Smile Studio AP
連邦研究所は、脅威エミュレーションのプロセスをより効率化し、セキュリティチームが自社システムが最新の攻撃に耐えられるかどうかをより迅速にテストできるようにすることを目指している。
パシフィック・ノースウェスト国立研究所(PNNL)の研究チームによれば、AIベースのシステム「Agentic LLMs for Offensive Heuristic Automation(ALOHA)」は、攻撃を迅速に再構成し、防御をテストするための派生版を作成できるという。脅威レポートや説明から攻撃を作成できるシステムを用いることで、PNNLはシステムを保護するまでの時間を数週間から数時間へと大幅に短縮したと、PNNLのデータサイエンティストでありALOHAの研究リードでもあるLoc Truong氏は述べている。
目的は、最新の攻撃に対する防御テストを可能な限り効率的にすることだという。
「新たに発見された攻撃を取り込み、それを素早く再現して社内システムの防御に対してテストし、新しい攻撃を検知できるかどうかを確認したいのです」とTruong氏は言う。「どのチームも、どの大規模な組織のチームも、まず攻撃を再現するというプロセスを行わなければならず、それには熟練したエンジニアリングの専門家チーム、数週間、そして再現のための多額の費用が必要になります。」
ALOHAは、攻撃作成をより効率化するためにAIを用いる攻撃的セキュリティの取り組みとして初めてのものではない。AIシステムの利用は、攻撃者と防御者の間で急速に軍拡競争となっている。セキュリティ研究者は、AnthropicのClaudeからOpenAIのChatGPT、Google Gemini、xAIのGrokに至るまで、主要な基盤AIモデルはいずれも攻撃者に利用されているか、あるいは攻撃者に悪用され得る弱点を抱えていると警告してきた。PNNLはまた、年次のDEF CON Capture the Flag大会に参加したすべてのチームがツールキットの一部としてAIを使用していたことを指摘し、さらにGoogleは、マルウェア作者が実行時にLLMを使用するプログラムを作成している証拠を発見しており、悪意ある性質をより巧妙に隠蔽できるようになっているという。
パープルチームへの支援
防御側のAIシステムは、競争条件を平準化できる可能性がある。
新たな攻撃が発見されると、サイバーセキュリティ研究者は通常、エクスプロイトの説明、脆弱なソフトウェアの詳細、場合によっては手法・ツール・手順(TTP)に関する情報まで含む脅威レポートを発行する。組織のセキュリティチームはそのレポートを分析するが、防御テストに有用なほど脅威に近い形で模倣する攻撃チェーンを作成するには、数日から数週間かかることがある。
ALOHAを組み合わせることで、組織のパープルチーミングの取り組みをより効果的にできると、ALOHAプロジェクトのサイバーセキュリティ研究者であるKris Willis氏は述べる。
「攻撃側の能力を実行するだけでなく、防御側も同様に行えるようになります」と同氏は言い、セキュリティチームが攻撃を分析するのに役立つツールは相当数ある一方で、TTPを攻撃者と突き合わせることはそれほど一般的ではないと付け加える。「最も難しいのはTTPを作り込み、その後、防御グループと協力して緩和策を書き上げることです。」
ALOHAは脅威レポートを分析し、攻撃者が最も使用しそうなTTPのプレイブックを作成するだけでなく、テストネットワーク、シミュレーション環境、またはサイバーレンジに対して攻撃をテストする。さらに、このAIシステムは、システムの弱点に対する緩和策の作成を支援し、進行中の攻撃の証拠を組織に最適に警告できるよう防御システムの設定も支援できる。
ALOHAはAnthropicの大規模言語モデルClaudeを使用し、敵対者エミュレーションの自動化のためにMITREのオープンソースツールCalderaと連携する。Calderaは現在、防御検知のテストと開発、プロトタイピングと攻撃的研究、レッドチームの訓練に利用されている。研究者によれば、このシステムを使うことで、セキュリティチームは20種類の異なる戦術を用い、数十の手順を要する可能性のある攻撃エミュレーションを迅速に構築できるという。
「平易な英語で欲しいものを説明すれば、生成AIが自動的に攻撃を実行します」とTruong氏はALOHAのオンライン説明で述べた。「この技術は防御側の対応を加速し、サイバーセキュリティの専門家が自分で実行しなければならない作業をそれほど多くしなくて済むようにします。クリックして実行、です。」
「自分は脆弱なのか?」を超えて
AIに注力するクラウドネットワークセキュリティ企業Aviatrixのプロダクト戦略担当プリンシパルマネージャーであるBenson George氏によれば、MITREのオープンソースツールCalderaのユーザーにとって、ALOHAの利用に至る道筋は比較的シンプルに感じられる可能性があるという。同社はすでに敵対者エミュレーションにCalderaを使用しており、特にオープンソースフレームワークの扱いにくい部分をいくらかでも滑らかにしてくれるなら、新しいフレームワークを試す予定だと同氏は述べる。
「レッドチームがヘビーユーザーになるでしょう。私たちも間違いなく自社側で使います」と同氏は言う。「Calderaを補完する要素ですが、Calderaは美しいアプリケーションである一方、信じられないほど時間がかかり、細部にこだわる必要があります。」
最終的にPNNLの研究チームは、高度なセキュリティチームだけでなく、より幅広い組織にとってAIがより有用になることを期待しているとWillis氏は言う。
「重要なのは防御を調整し込むことです」と同氏は述べ、現在の統合により、このツールが攻撃エミュレーションと防御緩和のサイクル全体を完了できると指摘する。「攻撃側の能力を実行し、その後、防御ツールを振り返り、防御の対抗策を作り、そして再び攻撃側の能力を実行して、その防御ツールがそれを検知したかどうかを確認します。」
翻訳元: https://www.darkreading.com/cybersecurity-operations/ai-system-attack-reconstruction-weeks-hours
