ブログ

Threat Stack が ThreatML™ に高度な教師あり学習を追加し、徹底的な検出を実現

ジョン・ピンカム サムネイル
ジョン・ピンカム
2022年6月7日公開

Threat Stack は現在、 F5 Distributed Cloud App Infrastructure Protection (AIP) です。 今すぐチームで Distributed Cloud AIP を使い始めましょう。

クラウドネイティブセキュリティには異常検出だけではもはや不十分

これまで、クラウドネイティブ インフラストラクチャを保護する組織は、異常検出に頼る必要がありました。 この種の機械学習の可能性でさえ、技術的な困難とデータ不足によって制約され、脅威の徹底的な検出が妨げられていました。

もはや。

Threat Stack の最新バージョンの ThreatML は、教師あり機械学習を採用しています。 Threat Stack のお客様にご利用いただける ThreatML は、現在の業界標準である異常検出を超えた機能を備えています。 ThreatML は、Threat Stack の洗練されたルールセットと教師あり機械学習を組み合わせた詳細な検出アプローチにより、動作に基づいて厳密に焦点を絞った高効率の脅威検出を実現します。

侵入と脅威の検出の現状を超える

DevSecOps チームやその他のセキュリティ グループは、セキュリティ操作を適切に実行することに常に制約を受けています。 200 名を超える DevSecOps チームのディレクターやマネージャー、CISO (最高情報セキュリティ責任者)、クラウド セキュリティ エンジニアやアーキテクトなどを対象にした最近の調査によると、クラウド セキュリティ チームは日常的に次のような問題に直面しています。

  • 人員配置の問題/人材不足
  • 低予算
  • 経営幹部の「付加価値がない」という認識
  • 時間とリソースの要求
  • 日々の優先事項が多すぎる
  • 業務効率化へのプレッシャー

さらに、ますます巧妙化する脅威によって、セキュリティ チームが常に対応する必要がある進化する脅威と脆弱性が生じています。

ほとんどのクラウド セキュリティ ベンダーは、クラウド セキュリティと運用効率の組み合わせを提供することを目指しており、異常検出とレポートを提供することでこれらの問題を解決しようとしています。 つまり、これまでの組織の基本的な行動とは異なると思われる項目を見つけて報告することに重点を置いたプログラムとソリューションを開発します。

なぜ? 非常に簡単です: 異常、つまり通常のベースライン動作と異なる部分のみを表面化するツールやソリューションでは、アラートの調整、トレーニング、トリアージ、またはレビューをあまり必要としません。 これにより、お客様は日常のセキュリティ運用の実行にかかる負担を軽減する、必要な侵入検知方法を手に入れることができます。 実際、1 日に「わずか 2 件」の異常検出レポートしか提供していないと自慢する企業もあります。 以前にも書いたように、生成されるアラートの数に人為的な制限を設けることは良い指標ではなく、実際には組織のクラウドネイティブ セキュリティにとって危険となる可能性があります。 異常検出では、組織は常に次のことを自問する必要があります。 どのような脅威や侵入アラートを見逃してもよいのでしょうか?

このような検出方法が 1 つだけでは不十分です。

異常検出だけではクラウド環境のセキュリティを確保できない理由はいくつかあります。

  1. 通常のベースラインからの異常、変則的、または外れた動作は、必ずしも脅威となるわけではありません。 この種の動作を警告すると、誤検知が発生する可能性があります。
  2. 正常に見える行動が必ずしも良い行動であるとは限りません。 ルールで正常とみなされているという理由だけで特定の動作を無視すると、偽陰性が生成されます。

異常検出のような 1 つの検出方法のみを提供するツールでは、実際の脅威を示す重要な動作を見逃してしまいます。 これらのシステムは、見た目が異なっている部分のみを表面化するよう設計されています。 つまり、異常検出を単独で使用すると、運用効率のためにセキュリティが犠牲になります。

Threat Stack が顧客のフィードバックに基づいて ThreatML を拡張した方法

Threat Stack のエンジニアリング チームが顧客と話をするにつれて、次のことがますます明らかになりました。 DevSecOps やその他のクラウド セキュリティ チームには、複数のソリューションを提供する堅牢で革新的なクラウド セキュリティ ツールが必要です。 以下の条件を満たす必要があります。

  1. 既知および未知のセキュリティ脅威を包括的にカバーします。
  2. 偽陰性を排除します。
  3. 誤検知を認識して対処する
  4. 運用上の制約を低く抑える
  5. 発見事項を実際の、実行可能な脅威に限定する
  6. 重要な行動を見逃さないフィルターとモデルを作成する
  7. 導入、管理、日常的な実行が簡単

異常検出だけでなく、徹底的な脅威検出へ

こうした顧客のニーズを満たすために、Threat Stack は、誤検出を排除しながら既知と未知の両方の脅威を発見できる、徹底的な検出アプローチの構築を目指しました。 目標は、異常検出をさらに進め、顧客の環境をより正確に把握できるようにすることでした。

解決策は? ThreatML の高度なバージョン。教師あり学習を使用して、詳細な検出アプローチを通じて動作に対する高効率の脅威検出を実現します。 Threat Stack はクラウド セキュリティに教師あり学習を斬新に活用しており、セキュリティ チームは組織のデータを安全に保ちながら、運用効率を高めることができます。

教師あり学習によるThreatML: 機械学習を正しく行う

ベンダーが教師あり学習を活用しない主な理由は、教師あり学習を使用するには、アルゴリズムをトレーニングするために毎日数十億のイベントにラベルを付ける必要があるためです。 言い換えれば、教師あり学習には大量のデータが必要であり、そのデータを分類する必要があります。 また、データの分類は非常に労働集約的な作業であり、多くのデータ エンジニアが必要になります。

ThreatML は、Threat Stack の広範なルール エンジンを使用して、1 日あたり 600 億個を超えるデータをリアルタイムで分類およびラベル付けする、教師あり学習への新しいアプローチを採用しています。 教師あり学習の可能性を最大限に引き出すには、大規模なこの種のラベル付きデータが必須です。

動作がルール エンジンを通過すると、分析できるようになります。 Threat Stack は、ラベル付けおよび分類されたデータを使用して動作を予測する推論エンジンを作成しました。 推論エンジンは、周囲のイベントのデータに基づいて動作が予測可能かどうかを判断します。 予測できない動作は優先度の高い脅威を表し、アラートとして顧客に通知されます。

ルール エンジンに教師あり学習を追加することで、Threat Stack のお客様はクラウド環境への脅威を検出するための複数の検出方法を利用できるようになります。 これにより、組織は次の質問に答えることができます。 「このワークロードの過去の動作を考慮すると、この動作は予測可能だったでしょうか?」 予測可能な動作は無視しても問題ありませんが、予測不可能な動作は実際の、対処可能な脅威となります。

その結果、ThreatML を使用すると、顧客は自社の環境に対する最も優先度の高い脅威にのみ集中できるようになります。 これにより、アラート疲労が制限され、リソースの使用量が削減されます。 教師あり学習アプローチは、ルールに基づいてモデルを自動的かつ継続的にトレーニングし、顧客に手間をかけずに高効率の脅威検出を実現する方法を提供します。 これは、運用効率の異常検出の約束に似ていますが、教師あり学習方式では、組織の環境に対する最も優先度の高い脅威を見逃すリスクはありません。

Threat Stack の新しい ThreatML と教師あり学習が組織の日常的なクラウド セキュリティ運用にどのように役立つかについてご相談いただくには、今すぐお問い合わせください。

Threat Stack は現在、 F5 Distributed Cloud App Infrastructure Protection (AIP) です。 今すぐチームで Distributed Cloud AIP を使い始めましょう。