なぜあなたのサイバーセキュリティ防御は弱いのか?
⼈間 vs ロボット 多くの⼈は、なぜそれが重要なのかと疑問に思うかもしれませんが、ここで少し(いくつかの⾏に渡って)説明しましょう。ここでは、AIモデルの⻑所と短所については詳しく述べません。また、ソフトウェアベースのAIエンジンを「ロボット」と呼んでいます。なぜなら、このソフトウェアはハッキング(攻撃と防御)に適⽤されるため、キーボード上の機械であり、したがって、PCの形をしたロボットであると言えます。 経験⼀般的に、7年間の経験を持つAIロボットには、合計61,000時間以上のハッキング経験があります。同じように7年間の経験を持つ⼈間は、1⽇12時間働いたと仮定したとしても、30,000時間しか経験がありません。多くの⼈がこれらの数字に直⾯したとき、中には、実際には⼈間の⽅が学習が早いと主張したがる⼈もいます。私はそれが何を意味するのか本当にわかりませんし、決してそんなことはありません。⼈間の⼼は素晴らしいです。とはいえが、感情、体の機能管理、余計な考え、意思決定プロセスにノイズやバイアスを引き起こす可能性のあるその他のすべての事柄に費やされています。また、ベテランのハッカーやペネトレーションテスターなら誰でも、仕事が⾮常に反復的になることを認めています。 速度私たちはこの点について常に試練に直面していますが、スクリプトを使⽤してプロセスを⾃動化したことがある⼈なら誰もが理解しています。コンピューター⾃体が数⼗マイクロ秒またはミリ秒でコマンドを⼊⼒するのに対し、⼈間は最⼤160ワード/分の速度で⼊⼒します。ほとんどのプロフェッショナルのタイピング速度は実際にはその速度のほんの⼀部です。 完全性⼈間は⾃分の分析が完了しているかどうかを常に確認する必要があります。心理学的な側面には触れずに言うと、⼀般的に、⼈間は受動的で、最も抵抗の少ない道を選ぶ傾向があります。また、人間である以上、サイバーセキュリティの専⾨家としての仕事においても、私たちはバイアスの影響を受けます。データベース管理やプログラミングのバックグラウンドを持つ⼈間は、Webアプリケーションやデスクトップアプリケーションのテスト、ビジネスロジックテストに焦点を当てるでしょう。⼀⽅、ネットワークアーキテクチャのバックグラウンドを持つ⼈間は、ネットワーク制御をバイパスすることに焦点を当てます。 AIマシンは、どのように初期トレーニングされたかによってバイアスがあるかもしれませんが、しかしそれを除けば、経験学習モデルが時間と経験を積むことでこれを克服します。ロボットの仕事の完全性は、ロボットを構築した⼈々、またはロボットを操作した⼈々によってのみ制限されます。それらの仮定を脇に置いて、ロボットは空腹の胃、ガールフレンド、タバコの次の一本、⼈間に影響を与える数多くの阻害の影響を受けずに環境の完全なテストを提供します。 全体的なコスト便益平均的な経験、指数関数的な速度、完全性において、人間と比較した場合、効率は当然のことであり、そのため私たちは、⼈間のペネトレーションテスト担当者またはセキュリティ監査⼈とのコストの⽐較に直接ジャンプします。これらの能⼒を持つ平均的な⼈間は、テストの範囲と組織の規模に応じて、2週間から3か⽉かかります。⼈間は週末を休み、午後6 時に帰宅し、毎⽇昼⾷休憩を取るでしょう。⽇本のペネトレーションテストの平均費⽤は国によって異なりますが、⽇本では35,000USDから50,000USDです。 AI(またはロボット)サービスが同じタスクを実⾏すると、その費⽤は半分以下になり、休暇を取らず、数分または数時間で結果を提供します。 誤解︓ロボット vs スキャナー EzotechのTanuki(タヌキ)のようなAIソリューションを提⽰されたとき、多くの人は「私たちにはスキャニングソリューションがあります」と答えます。あるいは、スクリーン上でコマンドを⼊⼒するソフトウェアロボットを、コマンドラインでさまざまな署名テストをスクロールするスキャナーと比較してみてください。これらはまったく異なるソリューションです。さらに、⾃律型ロボットはスクリプトから攻撃をシミュレートするのではなく、攻撃ベクトルを⾒つけてその攻撃を実⾏し、応答と結果を評価し、攻撃を変更し、検証したりなど、ペネトレーションテストを実⾏するために必要なことは何でもします。 タヌキはペネトレーションテスターが⾏うことを実行します。それ以下であることはなく、それどころか、はるかに多く、はるかに速く、そしてより完全です。 実際のハッカーはスキャナーをめったに使⽤しませんスキャナーには脆弱性を⾒つけるための役割がありますが、これらのソリューションはノイズが多く、そのようなトラフィックは常にセキュリティソリューションによって検出されます。監視システムで許可されていないスキャン警告が表⽰された場合、最初に思い浮かぶのは逸脱です。ハッカーはスキャナーをそのために使⽤しており、ほとんどの場合、セキュリティ運用チームの目を攻撃対象からそらすために、メールサーバーまたはWebサイトを直接スキャンします。 スキャナーには技術的専⾨知識が必要です箱から出してすぐに実装されたスキャナーは、多くの誤検知を⽣成し、たいてい、実際に問題となる割合は、報告された脆弱性の半分にも及びません。スキャナーは、各スキャンをセットアップし、適切な範囲とスキャン機能を指定し、結果を解読する技術的な能⼒が必要です。それにもかかわらず、大多数の企業は、脆弱性管理プロセスを何らかの方法で自動化したと思い込み、スキャナーを導入しています。また、ほとんどの組織は、環境内のすべてのシステムを年に1回スキャンすることで、ある意味脆弱性管理を実装していると考えています。別の記事で説明しますが、現在のところ、スキャナーは脆弱性管理ソリューションではなく、複雑なサイバーリスク管理プロセスをサポートするツールです。 ロボットによるハッキング命令の実⾏ – スキャナーのテスト結果応答⾃律型ペネトレーションテストロボットは、列挙、攻撃ベクトル分析、エクスプロイト選択とレビュー、マルウェア作成、コマンドの⼊⼒と実⾏、⾜場を確保、持続性を達成し、ルートアクセスまたはドメイン管理者権限を取得するためにネットワークに拡散する⽅法を⾒つけます。これは、ペネトレーションテスターが実⾏することとまったく同じです。各ステップは、各ステップで収集された情報に基づいて、事前に定義されている場合とそうでない場合があります。 ⼀⽅、スキャナーは、あらかじめ定義された署名または実行されたスクリプトを使⽤し、ターゲットシステムの応答を評価して脆弱性が存在するかどうかを判断します。これにより多くの誤検知が発⽣し、脆弱性を確定するために、人間のペネトレーションテスト担当者によるフォローアップがしばしば必要になります。 これらのテストはまったく異なるレベルです。スキャナーは、ターゲットシステムの状態に関する迅速で、粗雑な、低品質の情報を提供します。各情報は確認され、使⽤可能なレポートに組み込まれる必要があります。ロボット式ペネトレーションテスターは、レビューされた内容、決定された内容、使⽤されたエクスプロイト、システムが侵害された⽅法について詳しく説明します。これは、ターゲットシステムの脆弱性に関する直接的な証拠となる知識です。 結論 ここでは⾮常に短いスペースで多くのことをカバーしたので、メインポイントに戻ります。⾼度な持続的脅威(APT)をもたらす国家のハッカーと組織化されたハッカー集団(グループ)は、可能な限り指揮統制および⾃動化され、検出・警告システムを効果的にすり抜けるために、可能な限りAIが導入されています。ペネトレーションテストやレッドチーム演習などのシステムへの攻撃的テストを行わずに、ペリメーターおよび内部システムの脆弱性リスク、対策の有効性、および検出システムの機能を完全に理解することはできません。⾃律型ペネトレーションテストシステムは現在、成熟したテクノロジーであり、導⼊によりコストを削減し、テスト結果を取得する速度を向上させ、リスク処理と修復にかかる時間を⼤幅に短縮できます。 多くの⼈は、AI技術による専⾨⽤語がさまざまなソリューションに適⽤されていることを聞き飽きた人も多いですが、攻撃的テストでは、AIの導入によるメリットがコスト削減をはるかに上回ります。今後のサイバーセキュリティにとって、双方のメリットとなります。 (画像を挿⼊する場合は、コンテンツを強化します。) Continue reading なぜあなたのサイバーセキュリティ防御は弱いのか?
Blog 