10.jpg

スタッフブログ

機械学習のインシデント検知への活用

Posted by GRCS | 2018/08/09 11:00:00
こんにちは。クラウドサービス開発部の徳永です。
 
暑い日が続きますが、皆さまいかがお過ごしでしょうか?
 
熱中症に関しては日々各メディアから注意喚起が行われているにも関わらず、被害を受ける方が後を立たないようですね。
自分が今どういう状態なのかをなかなか客観的に判断することは難しいですが、周囲からの声がけを含めて早め早めに気づいてあげて、プロアクティブな対処を心がけたいところですね。
 
企業や組織のネットワークにおいても、異常つまりインシデントをいかに早期に発見するかは恒久的なテーマと言えるかと思います。
これまではいかに攻撃を社内・組織内に入り込ませないかということに主眼が置かれてきましたが、昨今の数々の事例を見ても防御一辺倒ではなかなか対策が追いつかないのが実情です。
 
日本人の感覚として、どうしてもインシデントが起きてしまう=失敗・失点と思ってしまうところもあるのですが、これからはインシデントが起きるのはしょうがないから、その被害をいかに極小化するかという方にパラダイムシフトが起こっていくと思います。
 
そういう意味ではいかに早く事象を検知するかがポイントになってきますが、ここについては様々なソリューションが提供されてきています。今日はその中でも機械学習を活用したDaktrace Enterprise Immune Systemをご紹介します。
 
これまでの検知ソリューションの多くは、特定の通信パターンやログなどに合致したイベントをインシデントとして認識するものでした。もちろんこういったロジックについても、非常に有用ではありますが、未知の攻撃パターンや、事前準備に当たる偵察・侵入フェーズの動作については製品によっては検知できない場合が多いことも否めません。
 
Darktraceのユニークな点は、従来のパターンマッチングに加えて「普段の会社・組織内の通信パターン(トポロジー、データ量、時刻などあらゆる変数)を機械学習によりモデル化し、それから外れたパターンの通信を、「これはインシデントではありませんか?」とプロアクティブに提示してくれるところにあります。
 
例えば、夜間に普段と違う場所からログインをしている、急に新しい宛先に大量のデータを社外に送っているなどの挙動を見つけた場合、危険度のスコアと合わせてダッシュボードにリアルタイムで表示し、設定すればメール等で通知をしてくれます。
これらのイベントは、トリアージの過程で「XX部長がYYに出張していた」とか、「取引先とのファイル共有サイトがリニューアルされた」など業務的にはまったく問題ないことが多いです。
しかし、一定の割合で本当に危険なインシデントが含まれており、その場合は初期対応に必要な情報の多くを瞬時に得ることが出きますので、その後のサーバや端末での詳細調査や、ヒアリングをスムーズに始めることが可能になります。インシデント対応においては初期対応のスピードはその後の被害拡大防止において大変貴重なものになります。
 
「これまで検知できていなかった異常を検知」「これまで検知していた異常もさらに早期に検知」を実現するDarktrace、導入についてはL2/L3スイッチ等のミラーポートへの接続のみとなり、既存環境への影響もほとんどないため非常にハードルは低いです。
 
無償のPoVも可能ですのでご興味を持った方はお気軽にお問い合わせいただければ幸いです。
 
 
お問い合わせ

Topics: セキュリティ

Written by GRCS