Asaf Fried
Cato Networks、Cato Research Labsのデータ科学者。サイバーセキュリティの分野で最先端の斬新な機械学習手法を適用することにおいて、4年以上に渡り学術界と産業界の両方で実績を積んできました。主に企業環境におけるソーシャルエンジニアリングとネットワークベースの攻撃について研究しています。 詳しくはこちら ›
Cato NetworksのSASE製品におけるAI/MLによるセキュリティと資産管理の強化 Catoは、リアルタイムでディープラーニング(DL)アルゴリズムをネットワーク防御に応用したユニークなアプリケーションを紹介したばかりです。今回の発表は、人工知能(AI)や機械学習(ML)への進出とは言い難いものです。このテクノロジーは、CATOのSASEセキュリティとネットワーク機能を強化し、高度な脅威防止と効率的な資産管理を可能にする上で、重要な役割を果たしてきました。詳しく見ていきましょう。
人工知能(AI)、機械学習(ML)、ディープラーニング(DL)とは何でしょうか?
AI、ML、DLに対するCatoのアプローチの詳細について説明する前に、これらのテクノロジーに関する背景を説明します。AIとは、学習、推論、問題解決、自然言語の理解、知覚など、通常人間の知性を必要とするタスク実行を実現する機械を作るという包括的な概念です。AIの応用例のひとつに医療分野があります。AIを搭載したシステムは、病気の診断や個人に合わせた治療計画の推奨という点で医師をサポートすることができます。
MLはAIのサブセットで、データから学習して予測を行うアルゴリズムの開発に重点を置いています。これらのアルゴリズムは、データセット内のパターンと関係を識別し、明示的なプログラミングなしにシステムがデータドリブン型の意思決定をすることを可能とします。金融分野におけるMLアプリケーションの例として、アルゴリズムが信用スコアリング、不正検知、投資戦略とリスク管理を最適化するためのアルゴリズム取引に使われている。
ディープラーニング(DL)はMLのサブセットで、人工ニューラルネットワークを採用してデータを処理し、人間の脳が通常行うような意思決定能力を模倣します。これらのネットワークは、相互接続された複数のレイヤーで構成されており、膨大な量のデータから大まかな特徴やパターンを抽出することを可能とします。DLは自動運転車両でよく使用されており、複雑な画像認識アルゴリズムによって車両が交通標識、歩行者、その他の障害物を検出して適切に反応し、安全な運転を確保します。
リアルタイムでのネットワークセキュリティモニタリングのためのAI/ML導入における課題の克服
Catoの顧客がDLとMLを導入するにあたって、いくつかの課題があります。Catoは、日々何テラバイトにおよぶ顧客のネットワークトラフィックを処理・モニタリングしています。この量のデータを処理するためには、膨大な計算能力が必要とされます。ネットワークアクティビティに誤って攻撃のフラグを立ててしまうと、顧客の業務に重大な影響を及ぼす可能性があるため、当社のアルゴリズムは極めて正確である必要があります。さらに、リアルタイム推論のための時間はわずか数ミリ秒かつ、ユーザーの体験を妨げることはできません。
Catoは、DLとMLのアルゴリズムをCatoのクラウドインフラ上で実行することで、これらの課題に取り組んでいます。クラウド上で実行することで、クラウドのユビキタスなコンピューティング能力とストレージ容量を利用することができます。加えて、AWS SageMakerなどのクラウドインフラストラクチャの進歩も活用しています。SageMakerは、大規模な機械学習モデルの構築、トレーニング、展開のための包括的なツールとサービスのセットを提供する、クラウドベースのプラットフォームです。最後に、Catoのデータレイクは、ネットワークのメタデータとセキュリティ情報を統合した豊富なデータセットを提供し、アルゴリズムにより優れたトレーニングを与えます。
当社は、これらの技術によりMLアルゴリズムの導入と最適化に成功し、細心の注意を払ってネットワーク活動の誤検知関連のリスクを低減し、リアルタイム推論を実現しています。Catoのアルゴリズムは、低い誤検知率と高い検出率を維持しつつ、リアルタイムでネットワークトラフィックをモニタリングします。
Catoがディープラーニングを利用して脅威の検知と防止を強化する方法とは
Catoは、DL技術を使用して、脅威の検出と予防の効果を増幅するために人工知能の力を活用し、それによってネットワークセキュリティを強化し、多様かつ進化を続けるサイバーリスクからユーザーを保護します。Cato SASEクラウドにおいて、DLは様々な方法で使用されています。
例えば、Cato IPS 内にディープラーニングモデルを統合することでDNS保護にDLを使用し、今日のリリースの本質であるドメイン生成アルゴリズム(DGA)ドメインから発生するコマンド アンド コントロール(C2)通信とDNSトンネリングを検出します。これらのモデルを、膨大な量のネットワーク・トラフィックに対してインラインで実行することで、Cato Networksは悪意のある通信チャネルに関連する脅威を効果的に特定して軽減し、ミリ秒単位でリアルタイムの不正アクセスやデータ漏洩を防ぐことができるのです。
[boxlink link="https://www.catonetworks.com/resources/eliminate-threat-intelligence-false-positives-with-sase/"] Eliminate Threat Intelligence False Positives with SASE | Download the eBook [/boxlink]
テキストと画像を分析することで、 評判の良くない既知のブランドや、フィッシング行為に関連する新たに登録されたWebサイトへのフローを検出し、フィッシング行為を阻止します。膨大なブランド情報やビジュアルコンテンツのデータセットによりモデルをトレーニングすることで、Cato Networksは潜在的なフィッシングサイトを迅速に特定し、信用に足るブランドへの信頼を悪用した詐欺の被害からユーザーを守ることができます。
また、機械学習によりセキュリティ強化のためにインシデントに優先順位をつけます。Catoは、顧客のネットワークアクティビティの集計と、古典的なMLのランダムフォレストアルゴリズムを使用して攻撃パターンを特定し、セキュリティアナリストがモデルのスコアに基づいて優先度の高いインシデントに集中できるようにします。
優先順位付けモデルは、クライアントグループの特性、時間関連のメトリクス、MITRE ATT&CKフレームワークのフラグ、サーバーのIPジオロケーション、およびネットワークの特徴を考慮します。このモデルは、こうしたさまざまな要因を評価することでインシデント対応の効率を高め、プロセスを合理化し、顧客のネットワークのセキュリティと新たな脅威に対する回復力を確保します。
最後に、MLとクラスタリングを活用することで脅威予測を強化します。Catoは集合知の力を使って、新たなインシデントのリスクと脅威の種類を予測します。私たちは、クラスタリングや単純ベイズに類似したアルゴリズムのような高度なML技術を、過去に扱ったセキュリティインシデントに対して適用しています。フォレンジックに基づく事象間の距離メトリクスを用いたこのデータドリブン型アプローチにより、インシデント間の類似性を特定することができます。こうすることで、同様のネットワーク属性を持つ新たなインシデントを特定し、リスクと脅威を正確に予測することができます。
資産の可視化とリスク評価におけるCatoのAIとMLの活用法
脅威の検出と防止のためにMLを使用するだけでなく、Catoに接続する資産のリスクを特定・評価するためにもAIとMLを活用しています。リスク評価においては、OSとデバイスの種類を理解することが非常に重要です。これにより、組織は資産の状況を把握し、各資産の固有の特性と脆弱性に基づいてカスタマイズされたセキュリティポリシーの適用が可能です。
Catoは、クライアントデバイスのアプリケーションやソフトウェアからのトラフィックを検査することで、デバイスのリスクを評価します。ネットワークに接続されているすべてのデバイスで、このアプローチは動作します。対照的に、サポート対象のデバイスが判明していいる場合のみ、クライアント側のアプリケーションに頼ることができます。強力なAI/MLアルゴリズムを活用することで、Catoはデバイスの動作を継続的にモニタリングし、古いバージョンのソフトウェアや危険なアプリケーションに関連した潜在的な脆弱性を特定します。
OSタイプ検出では、CatoのAI/ML機能が、ネットワークに接続されたエージェントレスデバイスのOSタイプを正確に識別します。この情報は、個々のデバイスのセキュリティ体制に関する貴重なインサイトを提供し、組織がさまざまなOSに合わせた適切なセキュリティポリシーを適用して、ネットワーク全体のセキュリティの強化を支援します。
CatoはML/AIの利用を今後も拡大
Catoはセキュリティを簡素化し、その有効性を向上させるためにMLとAIを活用する方法を探し続けます。新しい発見があれば、このブログでお知らせします。