サイバースキルのギャップを埋める:Cyber AI Analyst for OT
セキュリティアナリストは、パターンを見つけ出し、仮説を立て、結論を導き、調査結果を他部署と共有するというプロセスで脅威を調査します。これらは手間のかかる作業であり、時間がかかるばかりでなく、長年のトレーニングや専門知識を必要とします。そして、OT(運用・制御技術)とコーポレートネットワークとの統合が進み、脅威アクターが攻撃の手法を高度化させるなかで、OTにおけるサイバースキルのギャップがますます目立ってきます。
ITとOT環境の相互接続が進む傾向に伴って、セキュリティチームも統合されつつあります。その結果、CISOは必ずしも専門的OTスキルがないままICS環境のセキュリティの責任を引き受けることになりました。同様に、OTエンジニアは十分なトレーニングを受けることなくITの関係したセキュリティ上の役割を持たされることがあります。その結果、知識のギャップが発生しており、組織はOTと従来のITの両方に必要なスキルを持ったエキスパートを探すのに苦労しています。
しかし、AIの進化がこのスキル不足を埋めるのに活用されつつあり、OTとITにおける関連するセキュリティイベントをつなぎ合わせて一つのインシデントを作成し、疑わしいアクティビティに対して意味のある、自然言語で記述されたサマリーを作成できるテクノロジーが存在します。
DarktraceのCyber AI Analyst for OTは、人間の専門知識とAIのスピードおよびスケールを統合し、エキスパートレベルの調査を数百の並行したスレッドに対して同時に実行する力を提供します。この画期的なテクノロジーはDarktraceのケンブリッジにあるR&Dセンターにおける3年以上の研究開発の成果であり、教師付き機械学習を利用してエキスパートOTおよびITアナリストのアクションを再現しました。セキュリティアラートがトリガされるたびに、Cyber AI Analystは自動的に詳細なインシデントレポートを作成し、関連する複数のアラートおよび周囲の有用なコンテキストをベースに全体像を完成します。
Cyber AI Analyst for OTは、OTとIT両方の領域知識が「組み込まれて」おり、深い解釈が可能となっています。 IT SOCはインシデントについてOTに特化した詳細な情報を受け取ることができるだけでなく、ハイレベルな概要およびその意味付けも知ることができ、トリアージに役立てることができます。同様に、OTエンジニアも、たとえばゼロデイランサムウェア感染の場合、ファイル共有アクティビティやC2ビーコニングの調査方法を知らなくても、攻撃が発生次第その完全なタイムラインを確認することができます。このように、Cyber AI Analyst for OTはセキュリティチームの貴重な時間を節約するだけではなく、OTとIT環境の統合が進む中で広がりつつあるスキルのギャップも埋めることができます。
‘Triton2.0’ 攻撃の調査
Cyber AI Analystは Darktraceのグラフィカルユーザーインターフェイス、Threat Visualizerに検知結果を表示します。顧客の環境で観測されたTritonスタイルのサイバー攻撃を例に、これを見てみましょう。
図1:デスクトップデバイスは3つのモデルに違反した
上の脅威トレイには、特定のデバイス、expdev127.scada.localに対する3つの個別のアラートが表示されています。このデバイスはドメイン管理者のデスクトップPCでした。バックグラウンドでリアルタイムに動作していたCyber AI Analyst for OTは、これらの複数のアラートを1つのセキュリティインシデントとしてつなぎ合わせ、このインシデントをハイレベルの経緯説明としてまとめ、攻撃ライフサイクルのすべての段階を1つのタイムラインに表示しました。
図2:Threat Visualizerが疑わしいイベントのタイムラインを表示
Darktraceは不審なファイルダウンロード、C2トラフィックの可能性、そして一連の管理者接続が3時間に渡り発生しているのを特定し、調査の必要があると判断しました。Threat Visualizerはこの一連の疑わしい接続を表示し、マルウェアが、制御システムの上流から侵入し、PLCとやり取りするワークステーションにまで侵入したことを明らかにしました。
図3:RDP通信のグラフィカル表示
最初の侵入によりドメイン管理者のデスクトップPCが感染したため、リモートデスクトップからローカルドメインコントローラへの大きな「ホップ」はまったく珍しいものではありませんでした。正しい管理者RDP認証情報の使用はこのデバイスから頻繁に見られるためです。しかし、インシデントの進行とともにCyber AI Analyst はこの動作がより疑わしいイベントに関連していることを認識し、遡ってこれらのイベントを1つの経緯説明に含めることができます。
マルウェアはその後エンジニアリングワークステーションに2回目の「ホップ」を行い(これもRDP経由でした)、最後に関連するPLCのリプログラミングを行いましたが、その間リモートアクセスチェーンを維持していました。2017年にさまざまな発電所を標的としたTriton攻撃同様、この攻撃もよくある管理セッションを利用してツールを転送し、リモートでコマンド/プログラムを実行しました。Threat Visualizerは攻撃の最終段階を実行するのに使用された接続先ポート、およびアプリケーションプロトコルを表示しました。
図4:リプログラミングの詳細
Cyber AI Analystはこれらのアラートをリアルタイムにインシデントレポートに組み込み、セキュリティチームはこれらの手順を自ら実施しなければならなかった場合よりも大幅に早期に、インシデントについての格段に明確かつ幅広い情報を武器にこの戦いに参戦することができます。このケースでは、Cyber AI Analystは結果的にこの1つのインシデントレポート内に7つの個別の不審なアクティビティを示すアラートを記載し、さらにそれ自体ではアラートとならなかったが強い関連性を持つ、また経験のないアナリストであれば見逃していたかもしれない複数の情報を含めました。
ICS攻撃の近未来
ICSに対するサイバー攻撃は絶えず進化しており、攻撃者は最新のオープンソーステクノロジーを使用し、防御を回避しようとするマシンスピードの攻撃を世界中で行っています。ITおよびOT環境で直面するサイバー攻撃の規模、複雑性、スピードに対応するために多くの組織がAIを取り入れていますが、脅威アクターも彼らの目的を達成するためにAIを使い始めるだろうということが予想されます。
Tritonの背後にいた脅威アクターはメインストリームのIT攻撃テクニックとOTに特化したペイロードをブレンドし、その両方を強力な実行規律で支えました。このようなマルウェアに将来AIが加わることにより、絶えず人間が監視することなくターゲットネットワークにより深く到達することが可能になり、その結果検知される可能性を劇的に抑えることができるようになるでしょう。
ITアナリストとOTアナリスト両者の領域知識を組み合わせ、同時にコンピューターのゆるぎない緻密さをもってマシンスピードで動作するCyber AI Analyst for OTは、セキュリティチームの貴重な時間を節約し領域知識のあらゆるギャップを埋めることにより、彼らにとって決定的に重要であることが証明されるでしょう。
Cyber AI Analyst for OTはIndustrial Immune Systemを補強するアップグレード機能です。デモを予約する https://www.darktrace.com/ja/デモを予約する
