従来のサイバー セキュリティ防御は、組織のネットワーク内に存在する資産を保護するように設計されています。しかし、これらの資産は多くの場合、ネットワークの境界を超えて拡張され、企業の露出、盗難、および経済的損失のリスクが高まります。 Mandiant デジタル リスク保護ソリューションの一部であるMandiant Advantage Digital Threat Monitoring (DTM)は、外部のオンライン ソースからストリーミングされたコンテンツを自動的に収集および分析し、潜在的な脅威が検出されるたびに防御側に警告します。この機能により、組織は脅威を早期に発見し、潜在的な侵害や露出をエスカレートする前に、より効果的に特定できます。すでに過剰な負担を負っているセキュリティ チームの運用が複雑になることはありません。
デジタル脅威監視とは何ですか?なぜ正しく行うのが難しいのですか?
新たにリリースされた Mandiant Advantage DTM モジュールは、ソーシャル メディア、ディープ ウェブ、ダーク ウェブ、ペースト サイト、およびその他のオンライン チャネルから発生する脅威を顧客に警告します。お客様は、このモジュールを使用して、資産を直接的または間接的に標的とするデジタル脅威をリアルタイムで監視し、可視化することができます。 DTM は、さらなる強化、コンテキスト、または脅威ハンティングのための重要な機会を提供することもできます。 DTM がさまざまなユース ケースをサポートできるように思われる場合、それはまさにそれが目的で設計されたものだからです。たとえば、次のようになります。
- 脅威インテリジェンス アナリストとして、攻撃者がインフラストラクチャを積極的に標的にしているのを発見して、防御と修復に優先順位を付けたいと考えています。
- CISO として、ベンダーやサプライ チェーンに対する脅威を特定し、そのリスクを事前に軽減できるようにしたいと考えています。
- 脅威ハンターとして、データ漏洩や侵害の可能性を特定したいと考えています。これにより、環境内の攻撃者を発見し、滞在時間を最小限に抑えることができます。
図 1 に示すように、DTM は継続的なプロセスであり、データ収集、コンテンツ分析、警告、修復と削除、およびその後の検索の絞り込みと収集がすべてループで行われます。そのため、Mandiant Advantage DTM モジュールは、標的となっているデジタル脅威に対して顧客が積極的に対応できるように、継続的に進化する必要があります。
取り込まれたコンテンツの動的に変化する性質と脅威の状況自体に加えて、取り込まれたソースの多様性は、別の重要な技術的課題を提示します。顧客は、DTM によって構築された新しいソースごとにシームレスで一貫したエンド ツー エンドのエクスペリエンスを望んでいますが、さまざまなソースから派生したドキュメントは、構造、セマンティック構成、言語、および長さの点で大きく異なる可能性があります。たとえば、ソーシャル メディアの投稿は短く、専門用語が多く、ハッシュタグ、メンション、スラングなどの構文記号が詰め込まれていますが、ヘッダー、フッター、署名、マルチなどのより正式な物語や構造要素を含む電子メールでは、これらの記号は現れない可能性があります。 -パーツボディ。
従来のソリューションは、主にキーワード マッチングに依存して、上記の問題に対処していました。ただし、個々のキーワードは、さまざまな無関係なコンテキストでドキュメントに一致する可能性があります。たとえば、「侵害」という言葉は、セキュリティ以外の設定で口語的に使用されることが多いため、単純なキーワード マッチの結果で、信頼の侵害や船体の侵害に関するドキュメントが返される可能性があります。また、アンチウイルスの進化と同様に、キーワード マッチングは脆弱なシグネチャ ベースのアプローチであり、進化する新しいエンティティや脅威を必然的に認識できなくなります。
さらに悪いことに、資格情報のダンプや新しいエクスプロイトのリリースなどの複雑な脅威の概念を、単純なキーワードの組み合わせを使用して定義しようとすることは、不可能な作業になる可能性があります。多くの場合、これにより、数百または数千の独立したキーワードを含む巨大で完全に管理不能な監視ルールが作成されます。これらの課題を考えると、機械学習を使用して価値のある情報を抽出し、それをユーザーフレンドリーな方法で提示するために、データ駆動型のアプローチを採用する必要があります。
自然言語処理によるキーワード マッチングの強化
舞台裏では、新しい DTM モジュールが機械学習 (ML) と自然言語処理 (NLP) を活用して、毎日何百万ものドキュメントから実行可能なパターンを継続的に分析および抽出します。これにより、DTM のお客様は、組織にとって最も重要なコンテンツを迅速に特定するためのカスタム監視ルールを作成できます。
DTM は、Mandiant データ サイエンス チームによって実装、評価、および本番環境へのデプロイが行われた一連の 7 つの条件付きゲート機械学習モデルによって支えられています (図 2)。これらのモデルを組み合わせることで、エンドツーエンドのクラウドベースの NLP パイプラインが形成され、取り込まれたドキュメントがエンティティの抽出と分類によって強化されます。これらの強化により、顧客は独自の Mandiant データ ストアにクエリを実行し、最も関心のあるものに合わせてアラートをカスタマイズできます。
技術的な観点からは、このアーキテクチャは次のことができるという点ですぐにメリットをもたらします。
- 誤検知を大幅に削減し、配置済みアラートの品質を向上させます
- ドキュメント量の任意の増加に対応するために水平方向に拡大縮小する
- 受け取ったエラーやフィードバックをすばやく取得して、迅速に反復できるようにします
- 個々のモデルによって生成されたエンティティと分類を公開して、グローバル ビューと過去の傾向を取り込みます
Mandiant Data Science は、図 2 のパイプラインを構成する個々の機械学習モデルを開発する際に、最先端のニューラル ネットワーク ベースの NLP 手法をいくつか統合しました。最先端のTransformer ニューラル ネットワークを、 ソーシャル メディア情報操作、 悪意のある URL 、さらにはマルウェア バイナリの検出などのセキュリティ タスクに適用します。トランスフォーマーは、ドキュメント内の単語など、連続するデータ間の遠距離の関係を追跡することにより、コンテキストを並行して学習し、限られたウィンドウ内で単語を非効率的に処理し、関連する単語が互いに遠く離れて発生した場合により多くのエラーを生成した前世代のモデルを打ち負かしました。
さらに、Mandiant の専門家からの主題知識とデータ駆動型 ML アプローチを組み合わせて、各ドキュメント内の高レベルの脅威トピックを特定する、新しい半教師付きトピック分類子を利用します。 DTM パイプライン内では、Transformer モデルとトピック モデリングを利用することで、実際に非常に高いレベルの精度とノイズ削減を達成しました。
同様に、高度な NLP アプローチによって駆動されないパイプライン内の処理ステップがあることに注意することも価値があります。機械学習がキーワード マッチングの必要性を完全になくすわけではありませんが改善できるのと同じように、単純なヒューリスティックでは不十分な場合にのみ、このような負荷の高いモデルを展開するように注意を払いました。このように、私たちのパイプラインは両方の長所を組み合わせて、柔軟性、拡張性、およびフィードバック主導の改善を可能にします。
DTM のための機械学習の利点
パイプラインの機械学習モデルによる精度の向上は、DTM を使用する顧客のエクスペリエンスの向上につながります。取り込まれたドキュメントからorganizationなどのエンティティ タイプが確実に抽出されると、 Apple製品に影響を与えるサプライ チェーンの脆弱性を警戒している顧客は、アップル パイのレシピやアップル ジュースの栄養成分について言及しているノイズの多いドキュメントをスクロールする必要がなくなります。エンティティは、顧客が大量のドキュメント内に自然に存在するノイズをカットするのに役立ちます。さらに、パイプラインは現在、40 を超える異なるエンティティ タイプをサポートしており、将来的にはさらに多くのエンティティ タイプをサポートする予定です。これにより、顧客は正確に検出されたエンティティの豊富なセットにアクセスして、最も関連性の高い情報を警告する最も正確なモニターを作成できます。高品質のエンティティ抽出の追加の利点は、Mandiant インテリジェンス ソースを使用して DTM アラートを強化できることです。その好例は、 Mandiant インジケーターの信頼度スコア (IC-Score)と、IP アドレス、ハッシュの脅威アクターおよびマルウェア コンテキストです。ドメインと URL。
最後に、機械学習は、顧客が高レベルのトピックでドキュメントをフィルタリングできるようにすることで、モニターの作成も簡素化します。 NLP 分析パイプラインを通過するドキュメントには、最大 40 の業界または脅威のトピック ラベルがタグ付けされているため、顧客は、一般的な脅威や分類されたセキュリティ関連のコンテンツ、または特定の業界に関連するものに対して受け取るアラートを調整できます。トピックは、DTM の顧客が単純なキーワード マッチングを超えてアラートを絞り込むためのもう 1 つの方法を提供します。つまり、ドキュメントをinformation-security/compromisedトピックに関連付ける必要がある監視条件を指定すると、ライフ ハックまたはグロース ハッキングに関連する受信ドキュメントが除外されます。
DTM は徹底的な内部評価を受けているため、ユーザーは、監視が構築されたエンティティと分類が最高の組み合わせの NLP と脅威インテリジェンス機能を反映していることを確信できます。結局のところ、証明はプリンにあります。新しくリリースされたMandiant Advantage DTM モジュールを自分で試用することをお勧めします。
参照: https://www.mandiant.com/resources/blog/enhancing-digital-threat-monitoring
Comments