過去10年間、連邦政府のサイバーセキュリティ専門家は、信頼またはその欠如が、機関システムとデータの効果的なセキュリティポリシーを開発するための鍵であると主張してきました。
しかし今日、サイバー犯罪者と国家資源を持つハッカーは、人工知能を使ってサイバー攻撃をより迅速かつ効率的に開発・実行しています。政府および企業は、AI駆動型のサイバーセキュリティ防御の採用と、重要なセキュリティ上の決定をAIエージェントに委譲するセキュリティアーキテクチャの導入を余儀なくされています。
政府説明責任局のサイバーセキュリティ強化センター長であるジェニファー・フランクスは、連邦政府機関が現在、両者にどう対応するかで格闘していると述べました。
「私たちは、2つの側面から一度にアプローチを検討する必要があります」とフランクスは木曜日、FedScoopが開催するエラスティック・パブリック・セクター・サミットで述べました。「これは便利なツールとして検討する必要があるものではなく、あなたの環境をターゲットにする可能性のある敵対者を本当に予測するための最良の慣行を本当に見つけるための環境において、今まさに必要な必然性です。」
ゼロトラスト—「最小特権アクセス」などの古いサイバーセキュリティの概念に根ざしたセキュリティ原則のセット—本質的には、防御者がネットワーク上のあらゆるものを潜在的に侵害されたアセットとして扱うべきだと主張しています。したがって、すべてはハッカー、データ侵害、内部脅威から保護するために、身元、アクセス、および認可の絶え間ない検証を必要とします。
しかし脅威研究者は、悪意のあるハッカーがAI駆動の自動化とスケーリングを活用して攻撃の速度を大幅に向上させることができたことを報告しており、防守側の人間オペレーターが追いつくか、リアルタイムで決定を下すことがますます困難になっています。
同じイベントで、エラスティックのセキュリティソリューション責任者であるマイク・ニコルスは、彼の会社と他の脅威研究企業が、AIツールが攻撃を実行し、組織のネットワークにアクセスするのに必要な時間を約11分まで短縮するのに役立つことを発見したと述べました。
過去1年間の他のメトリクスは、悪意のあるハッカーのための障壁の低下を示しており、カスタムマルウェア開発コストの80~90%削減と、公開前のゼロデイエクスプロイト利用の42%増加が含まれています。
彼は、サイバーセキュリティ防御者が同様の速度で防守するためにAIを受け入れる必要があると主張しており、「あなたがそれを使用していなければ、あなたは侵害されようとしています…それはこの時点で確実です」と言うまでに至りました。
ニコルスは、「不誠実なベンダー」が何を約束するかに関係なく、現在、組織に真のエージェント型の自律的なサイバーセキュリティ操作を提供できる技術またはプロセスは存在しないと述べました。人間のオペレーターは、フロントエンドの計画を通じてAIエージェントが下す重要な決定をまだ制御できます。
「要するに、これらは既存のプロセスを実行し、それに何らかの推論を追加しているのです」と彼は述べました。「そして…あなたは、よく整備された文書化されたプロセスを持つ必要があります。」
サイバーセキュリティのベテランで著者のチェイス・カニンガム—原則の提唱により「Dr.ゼロトラスト」というニックネームを獲得した—は、CyberScoopに、エージェント型AIはゼロトラストセキュリティアーキテクチャ内で「絶対に」共存できると述べました。ただし、エージェントをエンタープライズ内の他の非人間アイデンティティと同じように扱う場合に限ります。
彼は、ネットワークマイクロセグメンテーション、厳格なアカウント管理、継続的なログがすべてゼロトラスト原則と一致し、AIエージェントが引き起こす可能性のある潜在的な損害を制限すると述べました。
「これはネットワーク上の単なる別のエンティティであり、明示的に既知、検証、制約、監視、統治される必要があります」と彼は述べました。「あなたがそれがどのようなモデルであるか、どのようなデータにアクセスできるか、どのようなシステムを呼び出せるか、どのようなアクションを実行できるか、そしてどのような条件の下でそれらのことを実行できるかを知らない場合、あなたは環境に曖昧性を導入しました。そして曖昧性はまさにゼロトラストが排除することになっているものです。」
しかし、ニコルスは、エージェントが彼らに代わって決定を下すときは常に人間がループ内にいるべきだと述べ、AIベンダーは彼らが販売する製品の背後にあるより多くの透明性を提供する同等の責任があると述べました。
「もうブラックボックスは持てません。あなたは’ねえ、私たちがそれを修正しました、私はなぜそうなのかを説明する気はありません’というAIを持つことはできません」とニコルスは述べました。「設計上、あなたはオープンAPI [で説明可能性を提供できる] ベンダーを見つける必要があります。そこに存在する必要のある作業です。」
翻訳元: https://cyberscoop.com/ai-zero-trust-security-federal-agencies-elastic-public-sector/
