コメント企業にとって、ネットワークへの脅威は、単にコンピュータ、サーバー、またはインフラストラクチャの侵害からだけではなく、正当な認可されたユーザーから発生することがよくあります。
サイバー攻撃者が人間を最大の標的と見なすという考えは、今に始まったことではありません。現実世界の攻撃では、長年にわたり、一般ユーザーや強力な管理者アカウントを悪用してネットワークへの足掛かりを得てきました。通常、攻撃者は人間を騙して認証情報を渡させたり、職場のPCでマルウェアを実行させたり、アカウントに対するブルートフォース攻撃を試したり、脆弱性を悪用したりするなど、様々な手法を用いてこれを行います。
しかし、すでにネットワーク内部に侵入し、誰にも知られずに不正な目的で認証情報を悪用している攻撃者は、急速に悪名を高めています。
原理的には、外部からの攻撃からデバイスを保護し、パッチを適用し、ロックダウンすることは可能です。しかし、重要なのは、内部ネットワークユーザーの不正行為を防ぐのは容易ではないということです。アクセスと被害を制限するために、障壁や区画を設けることは可能であり、またそうすべきです。しかし、脆弱性、内部関係者、あるいは従業員に特別なアクセスを要求する管理者によって、これらの障壁や区画が回避される可能性があります。
デフォルトの対処メカニズムは、仮定に基づくセキュリティ、つまり最善を期待することです。言い換えれば、ユーザーが正当な認証情報を使用して認証した場合、そのユーザーが本人である可能性が高く、信頼に値するということになります。
この問題を軽減するために、様々な技術が発展してきました。権限管理や強化された認証技術はその代表例ですが、これらのソリューションを導入すると、ユーザー問題の特定の側面を解決するために設計された多数の異なるシステムを管理しようとする管理者にとって、非常に複雑な世界が生まれます。
悪い行動
従来の代替手段としては、従来のアプリケーションログやネットワークログを用いてユーザーの不正行為を監視するという方法がありましたが、攻撃者はこれらのシステムの盲点を見つけ出し、それを悪用して検出を回避しました。最大の弱点は、ユーザーの許可と禁止を一連の静的ルールで定義するという考え方でした。ここで重要なのは「静的」です。IT管理者の中には、包括的かつ細かく調整された静的ルールに信頼を寄せ、あらゆる種類の奇妙で素晴らしい悪意のあるアクティビティを検出できることを誇りに思う人もいます。また、静的ルールの作成に長けている管理者もいます。しかし、外部および内部の攻撃者がより巧妙になるにつれ、不正行為を検出するためのより高度な手段が必要になるかもしれません。
ご自身で判断してみてください。2014年、ガートナーはいわゆるユーザー行動分析(UBA)という新しい概念を提唱しました。これは後にユーザーとエンティティの行動分析(UEBA)へと洗練されました。概念的に言えば、UEBAは境界セキュリティモデルの崩壊を究極的に表現したものです。境界は、あらゆるもの、特にユーザーとそのアカウントの周囲に、数千もの場所に同時に存在する可能性があることが明らかになりました。
本質的に信頼できるものが何もないネットワークでは、UEBA では異常という概念によって実現される新しい対策が必要になります。
しかし、異常とは何でしょうか?境界ネットワークでは、静的なルールに違反している、あるいは違反しようとしているユーザーは確かに異常とみなされますが、UEBAはもう少し洗練されたアプローチを採用しています。ユーザー、アカウント、デバイス、アプリケーションを、その意図に基づいて理解しようとします。これは、許容される、あるいは標準的な行動のプロファイルを構築することに基づく尺度です。このプロファイルは、ベースラインと呼ばれるものの一部です。
ベースライン設定: どこまで深く掘り下げることができますか?
ベースライン設定は、このセキュリティモデルの核心です。これは、内部ユーザーアクティビティの観点から、何が正常で何が正常でないか、そして何が異常で何が望ましくないかを自動的に調整する定義を形成します。UEBAベンダーはこの原則をさまざまな方法で実装していますが、本質は、ネットワークセキュリティをビッグデータ分析の問題に転換し、自動化された機械学習を用いて原材料をふるいにかけることにあります。
複数の監視システムから得られる指標はデータベースに集約され、一連のアルゴリズムを適用することで、膨大なデータを機械が処理できる形式に変換します。データは非常に多様な特性を持つため、これは容易な作業ではありませんが、中心となるのは常にユーザーのコンテキスト、つまりユーザーの状態はどのようなもので、それがセキュリティにどのような影響を与える可能性があるかです。このコンテキストには、行動分析からシナリオベースの分析まで、幅広い選択肢があります。
ベースライン設定はセキュリティに関する新しい考え方ではありませんが、ビッグ データに機械学習が加わることで、ベースラインとそれからの逸脱を把握できるデータ入力の複雑さが増し、実現できる可能性が大幅に高まりました。
ベースライン設定は、ネットワークに一連のルールや規範を課すのではなく、行動を分析してこの正常な状態を定義します。これは状況によって異なります。例えば、ユーザーがメールシステムを通じてやり取りする連絡先の範囲や、そのコミュニケーションの性質は、ほぼ常に一定の制限内にあります。
逸脱者検出
ベースライン設定は、ユーザーごと、またはユーザーグループごとにこれをモデル化するために使用できます。ベースラインが確立されると、UEBAはパターンからの突然の逸脱を特定します。同様に、ユーザーがアクセスするアプリケーションや内部リソースも一定の制限内に収まるため、時間帯やリソースへのアクセス元マシンのIPアドレスなどの逸脱が顕著になります。
このアプローチを使用すると、セキュリティ管理者の仕事は、何ができて何ができないかを定義することではなく、ベースラインからの逸脱が許容しきい値を超え、アラートに変わるポイントを設定することになります。
ただし、注意が必要です。しきい値を低く設定しすぎると誤検知の可能性が高まり、高く設定しすぎると攻撃を見逃してしまう可能性があります。理論上、UEBAベースライン設定は、単一のアプリケーションやアクセスタイプだけでなく、幅広い指標を網羅するため、誤検知の可能性は低くなるはずです。
優れたUEBAシステムの特徴は何でしょうか?それは、ベースライン設定の奥深さと洗練性です。これはUEBAに特化したシステムだけが実現できるものです。ここでの教訓は、単に古い技術群に名前を当てはめただけのベンダーには注意することです。そのような深みは得られないからです。優れたUEBAシステムの2つ目の特徴は、機械学習アルゴリズムに情報を提供する統計モデリングの種類と、ネットワークとユーザーの行動の自然な変化に合わせて進化し、対応できる能力です。
もちろん、落とし穴があり、このモデルの明らかな課題は、異なるコンテキストにおける異なるユーザーを反映した閾値を策定することです。特に、特権アカウントによる内部者攻撃を最小限に抑えようとする場合、その課題は顕著です。率直に言って、この問題に対する簡単な答えはありませんが、UEBA支持者は、あらゆる悪意のあるアクティビティは、通常とは異なる方法で貴重なデータにアクセスするなど、何らかの手がかりとなると主張しています。
もう一つの課題は、一時的なアカウントや、外部の請負業者など、ネットワークへのアクセスを許可する必要があるユーザーの存在です。UEBAは、機械学習とベースライン設定をセキュリティに適用するための構造を提供しますが、現実の世界は依然として複雑です。
彼を再建できる、私たちには技術がある:AIはセキュリティチームが厄介な異常に対処するのを助ける
続きを読む
グローバル・アイデンティティ・ファウンデーションの最高経営責任者(CEO)で、アストラゼネカやICIのCISOを歴任したポール・シモンズ氏は、これらの課題の複雑さについて説明した。「私たち全員が直面している問題は、UEBAを自社の統制下にある組織以外に適用するのが非常に難しいということです」と、彼はThe Reg誌に語った。
「したがって、銀行の顧客や従業員向けには機能させることができますが、外部の人、デバイス、組織、コード、エージェントを理解する能力が不足しているため、それ以上の拡張には実際に問題が生じます。」
シモンズ氏はまた、UEBAというフレーズが常に役立つのかどうかについても疑問を呈しています。「実際に理解しようとしているのは、単にコンテキストです。つまり、エンティティが何をしようとしているのかを理解していれば良いのです。コンテキストベースの分析の方がより正確でしょう。」
UEBAシステムだけでは解決できない最後の課題があります。その答えは、まさにお客様次第です。それは、対応です。アラートは重要ですが、その先に何があるでしょうか? 通知された内容を可能な限り迅速に処理し、対応する必要があります。これは、高度な攻撃を緩和するために数分以内に行動を起こすことを意味するでしょう。
AI を活用したセキュリティの次のフロンティアとして自動応答を提案する人もいますが、ほとんどのセキュリティ オペレーション センターでは、依然として、男性と女性が独自の判断と応答ツールのハンドブックを使用して難しい選択を行うことになるでしょう。
ネットワーク境界は、ファイアウォールの両側で攻撃者、脅威、そしてリスクによって侵害されています。通常とは異なるアクティビティや行動を予測することは、ゼロトラストの世界における強力な新しいセキュリティモデルです。UEBAは万能薬ではなく、調整が必要ですが、機械学習を用いてベースラインを構築することは、この新しく複雑な世界で安全を維持するための、従来の脆弱なルールに基づく方法よりもはるかにインテリジェントなアプローチです。®
