2週間前、北朝鮮の関係者と見られる脅威アクターが、広く使用されているJavaScriptライブラリであるAxios内のパッケージに悪意のあるコードを混入させました。即座の懸念は影響範囲でした。企業、スタートアップ、政府システムにまたがる週間約1億ダウンロード。しかし、単なる規模を超えて、攻撃の速度も同じくらい懸念されました。これは現代の敵対者がいまどのようなテンポで活動しているかの厳しい現実です。
Axiosの侵害は、リアルタイムでパッケージレジストリの変更を分析するAI搭載監視ツールを使用しているElasticの研究者によって公開から数分以内に特定されました。アプローチは正しかった:損害が拡大する前に、公開の瞬間にマシンスピードでコード変更を分類するAI。いかなる基準でも、それは迅速な対応でした。侵害されたパッケージは約3時間で削除されました。しかし、その3時間の間にさえ、広く使用されているパッケージは50万回以上ダウンロードされた可能性があります。
これは新しい現実を強調しています。企業と公的部門は、速度と複雑さの両方で増加する攻撃に圧倒されており、一部はAIによって駆動されています。敵対者はサプライチェーンのあらゆるリンクをプローブしており、人間のスピードの防御では対応できないペースで行っています。
このプロジェクトはセキュリティ問題に対処するためにAIを使用する一つの例ですが、より広いケースも示しています:AI搭載のセキュリティは、特に公的部門以降の組織が攻撃に溺れているときに、SOC効率を劇的に改善できます。
公的部門への直接的な脅威
政府機関は民間部門と同じオープンソースJavaScriptフレームワークにますます依存しているため、毒されたパッケージはサプライチェーンが毒されたことに誰かが気付く前に敵対者に機密システムへのアクセスを与える可能性があります。これは国家安全保障と重要インフラへの直接的な脅威であり、特にペイロードがmacOS、Windows、Linuxに影響するクロスプラットフォームである場合です。
現在最も重要なのは、これらの攻撃が発生する頻度と速度を理解し、正しく準備することです。
AIは洗練されたサイバー作戦への障壁を根本的に低下させ、比較的洗練されていない悪質なアクターと小さな国家にかつてエリート犯罪グループと国で予約されていた能力を与えました。敵対者は現在、偵察を自動化し、説得力のあるソーシャルエンジニアリングを作成し、回避的なマルウェアを開発するためにAIを活用しています。数分ごとに新しい脆弱性が発見されるため、ペースは加速しています。
公的部門にとって、脅威モデルは拡大しました。既知の国家国家のプレイブックに対する防御はもはや十分ではありません。それはただのベースラインです。5年前に国家国家レベルで実行できなかったグループは現在、同等の洗練度で運用されており、国家が後援する行為者は前例のない速度と自動化で運用しています。先制することは、ますます自動化され普遍的になる脅威景観に対抗するために従来の防御を超えて移動することを意味します。
AIはオプションではない
敵対的AIは、現在の運用環境の決定的な脅威です。自動偵察。AI生成の難読化。複数のベクトル間での機械スピード展開。敵対者はほとんどの防御チームよりも速くそしてより積極的にAIを実装しました。
セキュリティではもはや疑う余地がなくなっています:AIと戦うためにAIを使用していない場合、あなたは失うでしょう。
これは自律型SOCの幻想に買い込むことを意味しません。そのアプローチはAIを分離で扱い、あたかも防御者がテクノロジーへのアクセスを持つ唯一の人のようです。防御的AIは勝ちボタンではなく、攻撃者と同じレベルを保つための最小エントリー手数料です。あなたはまだビジネスコンテキスト、ミッション知識、および人間の判断が必要です。
エージェンティックSOC変換
Axiosの侵害は明確な信号として機能するべきです。国家国家の行為者はソフトウェアサプライチェーンをますます高い頻度と洗練度で対象にしています。これらの脅威に対して正常に防御する政府機関と組織は、彼らが直面する脅威行為者と同じくらい速く移動できるセキュリティ操作を構築しているものです。
自動的に疑わしい活動を分類、調査、および封じ込めるエージェンティックワークフローのような現代の脅威の速度に対応できるAI駆動型セキュリティ操作は、操作上必要です。これらのセンターがどのように機能するかについてエージェンティックSOCの考え方とアプローチを持つことはアナリストの活動を権限付与します。エージェントはアナリストに代わって自動的かつ透過的に動作します。
従来のSOCピラミッドは、最大量のタスクを実行している人間を下部に配置しています。広いアナリストティアがアラートを分類し、調査を処理する狭いシニアティアに供給します。敵対的AIはそのベースレイアーを持たせることができません。ボリュームが高すぎる、速度が速すぎる、表面積が広すぎます。ピラミッドはダイヤモンドに反転します。AIはベースを取得しながら、アナリストは脅威エンジニアに上昇します:彼ら代わりに機能しているエージェントを管理、検証、改善します。
AIエージェントは、警告相関、調査富化、および初期抑制の大量作業を処理しますが、人間のアナリストは戦略的決定とミッションコンテキストに焦点を当てています。これらのエージェントは、政府のセキュリティ専門家がもたらす専門知識を増幅し、接続されていないアラートの洪水ではなく、事前に調査された相関した調査結果を提供します。
洗練された攻撃の急速な加速は、SOC全体にわたってこの本質的な変化を必要とします。公的部門と業界は大きな変換を進んでおり、画面見つめアラート分類から脅威エンジニアリングの高影響時代へシフトしています。そうすることで、公的部門チームは検出/応答への平均時間を大幅に削減できるようになり、SOCアナリストの疲労を減らし、調査のタイムラインを圧縮します。
Mike NicholsはElasticのセキュリティのGMです。
翻訳元: https://cyberscoop.com/ai-powered-security-operations-axios-supply-chain-attack/
