このHelp Net Securityのインタビューで、セキュリティ最高啓発責任者のAqsa Taylor氏がExaforceを代表して、従来の仮説駆動型手法を反転させたAI駆動型の脅威検出アプローチである「バイブハンティング」について説明しています。
アナリストが事前に攻撃ベクトルを定義する代わりに、AIはデータセット内の異常パターンをスキャンして潜在的な脅威を明らかにします。Taylorは責任について明確な線を引いています。アナリストは自分の推論を説明できなければなりません。説明できない場合、AIがハンティングを操舵しているのです。彼女はまた、エンリッチメント、ジュニアアナリストの育成、およびチームがAIの出力を疑問視せずに従う場合に生じる失敗モードについても述べています。
仮説駆動型ハンティングは長年にわたって業界基準でした。バイブハンティングはそのモデルに異議を唱えるのか、それとも仮説を生成する人または方法を変えるだけなのか?
仮説駆動型ハンティングは脅威ハンティングにはまだ適用されますが、仮説を証明するための検証方法が変わります。例えば、アナリストは侵害されたIDを通じた初期アクセスを持つ攻撃者がCreateAccessKeyアクションを使用して永続性を確立すると考えます。その後、アナリストはこの仮説を支持する証拠を探し始めます。仮説自体は明確に説明できます。それを批判、分析、改善、文書化、定量化することができます。
一方、バイブハンティングでは異なります。アプローチを少し反転させます。AIがあなたが持っているデータセット内のパターンを見つけるようにします。具体的には、AIやLLMがセキュアデータで訓練されセキュリティ分析に焦点を当てている場合、そのデータ内のパターンを探すよう要求します。それらのパターンから、AIはそれが悪意のある、または異常であると考えるものを特定します。
言い換えると、仮説駆動型ハンティングでは、特定の環境に適用されるかもしれないと考える定義された仮説と攻撃ベクトルのセットを持っています。目標はそれらが実際に適用されるかどうかを検証することです。
バイブハンティングでは、アプローチは異なります。データセット全体を検討し、LLMに「この特定のユースケースで何が該当する可能性があるか、潜在的な攻撃ベクトルは何か、ここにデータセット内に適合しないものがあるか」と尋ねます。このようにして、従来のハンティングアプローチを反転させ、仮説を明示的ではなく暗黙的にします。
AIがハンティングを加速するのとAIがハンティングを操舵するのとには違いがあります。その線をどこに引き、越えられたときに誰が責任を持つのか?
これは難しい質問です。なぜなら、場合によってはハンティング自体がAIから始まることができるからです。AIはアナリスト、エンジニア、またはハンターが認識していないパターンに基づいて、悪意のある活動にフラグを立てたり特定したりすることがあります。その場合、AIは事実上ハンティングの初期方向を操舵しています。
プロセスが進むにつれて、アナリストまたは検出エンジニアはコンテキストを構築し始め、何が起こっているかについての理解を深めます。その時点で、彼らは独自の推論を加え始め、AIを使ってハンティングを定義するのではなく加速させます。
では、その線をどこに引き、越えられたときに誰が責任を持つのか?
その線は、アナリストがなぜ特定の調査方針を追求しているのかを自分自身の言葉で説明できなくなった時点で引かれます。ハンティングの推論を明確に説明できない場合、彼らはもはやそれを操舵していません。AIが操舵しているのです。
責任もその同じ境界線に従います。アナリストが推論を駆動し、AIをより迅速に進むためのツールとして使用している場合、アナリストが責任を持ちます。彼らがその推論をAIに任せ、自分たちが取っている道を独立して正当化できない場合、AIは事実上ハンティングを操舵しており、人間にアカウンタビリティがあっても同様です。
エンリッチメントは歴史的にハンティングが大幅に遅くなる場所です。CreateAccessKeyコールなどの単一イベントを、その動作が特定の環境内の特定のIDに対して正常であるかどうかにマッピングするには、深いコンテキスト知識が必要です。AIシステムは、多年のアナリスト組織知識がなくても、その理解をどのように構築するのか?
エンリッチメントは歴史的にハンティングが遅くなる場所です。なぜなら、そのコンテキストが構造化された、またはアクセス可能な方法で容易に入手できないからです。これを解決するための鍵は、より優れたモデルだけでなく、より優れたコンテキストです。
AIモデルは、その組織知識に基づいた知識グラフで動作し、それを構造化された、クエリ可能なレイヤーに変換する必要があります。これには、ビジネスコンテキスト、所有権マッピング、および運用パターンが含まれます。より重要なのは、環境全体のアイデンティティ、ロール、リソース、およびそれらの関係をマップするセマンティックコンテキストレイヤーが必要です。このセマンティックレイヤーは、歴史的なベースライニングも組み込む必要があり、システムは特定のIDが時間とともにどのように「正常」に見えるかを理解しています。
それができたら、AIは関係と行動歴の豊かなグラフの上で推論しています。CreateAccessKeyイベントはもはや単なるAPI呼び出しではありません。特定のIDが既知のロール内で実行するアクション、特定のリソースに関連付けられ、その過去の動作とピアグループパターンと比較されます。
その時点で、エンリッチメントは大幅に効果的になります。AIは経験豊富なアナリストが行うであろうことに非常に近いコンテキスト認識の判断を下すことができます。それはその専門知識を置き換えるのではなく、スケールでそれを運用化しているのです。
ジュニアアナリストは伝統的に、最初に遅く手動のバージョンに苦しむことで脅威ハンティングを学んできました。AIがその苦しみを取り除く場合、本物のアナリスト判定を構築するためのメカニズムとしてそれに何が取って代わるのか?
バイブハンティングが「最初から学ぶ」ことから来る知識を置き換えるとは思いません。その経験をより迅速にエスカレートしスケール化すると思います。彼らが必要とする信号を見つけるためにノイズを何時間もふるい分ける代わりに、アナリストは自分たちに提示された分析が正しい決定をサポートするかどうかについて判定を下すのに時間を費やします。
彼らは効果的に調査し、正しい判定を下すことに焦点を当てます。これには、正しい質問をする、関連する信号がコンテキストに含まれていることを確認する、そして熟練したアナリストが取るであろう調査パスに従うことが含まれます。必要に応じて機関知識を迅速に活用し、各ステップを通じて学習し、適切なAIモデルが提供する説明可能性から恩恵を受けます。
セキュリティチームは、困難な部分を圧縮することを約束したが代わりに誤った自信を提供したツールに以前焼かれています。失敗したバイブハンティング実装は実務でどのように見えるか、そしてあなたはその中にいることをどのように知るか?
失敗したバイブハンティング実装は、アナリストが批判的に考えるのをやめ、AIがハンティングを最後まで操舵することに依存し始めるときに現れます。仮説を形成したり対象を絞った質問をしたりする代わりに、彼らは単にモデルにプロンプトを与え、それが生成するリードに従うだけです。
その時点で、ハンティングはアナリスト駆動ではなくAI操舵になります。アナリストはモデルでフラグされたパターンを追い、質問せずにそれを追求します。彼らはデータを検証せず、コンテキストを調べず、パターンがなぜ疑わしいのか、信号はどこから来たのか、またはそれが実データに基づいているのか、モデルエラーなのかなどの基本的な質問をしません。
これは生産性の誤った感覚を生み出します。チームはより多くのハンティングを実行しているように見えるかもしれませんが、それらのハンティングは意味のある結果につながりません。検出品質を改善する代わりに、ノイズと浅い結論を生成します。これが誤った自信が生じる場所です。
この失敗モード内にあることの警告兆候があります。
1つの兆候は、アナリストが時間のほとんどをAI生成のリードを閉じるのに費やし、それらを発展させたり洗練させたりするのではないということです。ハントレポートはアナリストが結論したものではなく、AIが示唆したことの要約になります。推論がありません。何がテストされたか、またはなぜかについての説明がありません。
別の兆候は、アナリストがハンティングの背後にある脅威モデルを説明できないということです。彼らが何を検証しようとしているのか、またはなぜパスが追求されたのかを答えることができない場合、そのハンティングは意図に根拠がありません。それは単にトレイルに従っているだけです。
3番目の兆候は、チーム内での信頼の崩壊です。シニアアナリストがAI出力を信頼していないため手動でハンティングを再実行し始めます。同時に、モデルに大きく依存するジュニアアナリストが生産した作業の品質に疑問を持ち始めます。
実務では、失敗した実装は努力を減らしたり洞察を改善したりしません。それは批判的思考を自動化に置き換え、より多くのアクティビティを生成しますが、理解は減少します。
翻訳元: https://www.helpnetsecurity.com/2026/04/10/aqsa-taylor-exaforce-vibe-hunting/
