AI自動化がサイバー攻撃を加速させる中、悪用までの時間は72分に短縮。
サイバー攻撃はより高速化し、初期侵害から悪影響までの間隔が縮小しており、AI時代の到来により、人間の防御者がもはや対応できないペースで攻撃タイムラインが加速しています。
これはPalo Alto Networksの2026年グローバルインシデント対応レポートの大まかな発見であり、同社のグローバル脅威インテリジェンスおよびインシデント対応チームであるUnit 42が調査した50カ国の750件のインシデントを分析したものです。
分析された最速の攻撃では、脅威アクターは初期アクセスからデータ流出まで72分で移動しており、2024年の約5時間から短縮されています。ますますこれはAIの偵察、フィッシング、スクリプティング、および運用実行のタイムラインを圧縮する能力によって説明されていると、同社は述べています。
しかし、より詳しく調べるとCISO向けの幾分かの安心が得られます。組織を苦しめているのは、実は高速で動く攻撃者やAIの脅威というより、弱い認証、リアルタイムの可視性の欠如、複雑に散在したセキュリティシステムによる設定ミスなどの基本的な落ち度です。
理論上、これらはすべて修正可能です。著者たちが指摘しているように:「我々が目撃している速度と自動化にもかかわらず、我々が対応するほとんどのインシデントは根本的に新しいものから始まるわけではありません。何度も何度も現れるギャップから始まります。多くの場合、攻撃者は洗練されたエクスプロイトに依存せず、見落とされたエクスポージャーに依存しています。」
アイデンティティの苦闘
繰り返されるテーマは、多くの組織がアイデンティティと信頼に直面している苦闘であり、Unit 42が調査したインシデントの90%に関与していることを発見しました。攻撃者の戦術には、インシデントの33%でソーシャルエンジニアリング、22%でアイデンティティベースのフィッシング、21%で認証情報の悪用とブルートフォース、8%でインサイダー脅威が含まれていました。
あまりにも多くのアカウントが過剰な権限を持っており、これはUnit 42が分析した680,000個のクラウドユーザー、ロール、およびサービスの99%で該当していました。その中には60日以上未使用であったものもあります。これはクラウド、SaaS、およびAIアプリケーションをますます追加する組織によって、基礎となる問題に対処するより速く拡大し続けるアイデンティティ攻撃面です。
ますますこれらのアイデンティティはマシンアイデンティティ(サービスアカウント、自動化ロール、APIキー、AIエージェント)、シャドウアイデンティティ(許可されていないアカウント、開発者環境、サードパーティ)、およびアイデンティティ「サイロ」(オンプレミスADと複数のクラウドアイデンティティプロバイダー)に関連しています。
「攻撃が1つの環境に留まることはほとんどありません。代わりに、エンドポイント、ネットワーク、クラウド、SaaS、およびアイデンティティ全体の協調活動を見ており、防御者は同時にすべてを監視する必要があります」とUnit 42は述べています。
サプライチェーンは別の脆弱な領域です。インシデントの23%で、攻撃者はサードパーティのSaaSアプリケーションを悪用して、従来のセキュリティコントロールをバイパスすることができました。「上流のプロバイダーが侵害またはアウテージを報告した場合、顧客はしばしば立ち止まり、基本的な質問に答えることを強制されました:我々は影響を受けているのか?多くの場合、彼らは自分たちのエクスポージャーへの可視性が限定的でした」とUnit 42は述べています。
パラダイムの変更
Unit 42の、攻撃者が常に防御者の一歩先にいるこの無限サイクルへの答えはパラダイムを変更することです。同社によると、サイバーセキュリティはより専門化されており、答えは抽象的な脅威ではなく実際の脅威に対抗するために一から構築されたマネージドサービスを使用することです。
これを念頭に置いて、Palo Alto Networksは今週、新しいSOCサービスであるUnit 42 Managed Extended Security Intelligence and Automation Management(XSIAM)2.0を発表しました。同社の主張では、これはXSIAM 1.0を拡張して、完全なオンボーディング、脅威ハンティングと対応、および従来のSOCよりも高速な攻撃パターンのモデリングを含むようになりました。
これは説得力がありますか?CISOはこのメッセージを以前に聞いたことがあるでしょう。昔のやり方はもう機能しないので、何か新しいものに投資してください。そしていつも古いシステムまたはサービスがあり、より輝く新しいものに置き換えるために引きちぎる必要があります。
問題を複雑にするために、ますます高度なSOCの考えは特効薬ではないかもしれません。従来のIT部門と同じスキル不足と予算制約の問題に制約される可能性があると主張する人もいます。
Palo Alto Networksが述べているように:「防御のウィンドウは閉じられており、ほとんどのSOCは今日の攻撃速度のために構築されていません。」したがって、従来のSIEMやSOARなどの古いツール(アラートを生成するだけ)とさようなら。最新のAI搭載SOCは「マシンスピード」でそれらに対応すべきです。
