ダークトレース、 万一のサイバー被害からの修復をAIで自動化・迅速化する Darktrace HEAL(TM)を発表
~予防、検知、遮断、修復の各機能が自律的に連携するサイバーAIループを実現~
AIサイバーセキュリティのグローバルリーダーであるダークトレースは、このたび組織がより効果的にサイバー攻撃に備え、万一の被害から迅速かつ自律的に修復できるように支援するAI駆動型製品、Darktrace HEAL(TM)を発表しました。HEALは、各組織の自社環境内で実際の攻撃をシミュレートし、サイバーインシデントの展開に合わせてカスタムメイドのインシデント対応計画を予め作成することで、インシデントから復旧するためのアクションを自動化する独自の機能を提供します。
新手のサイバー攻撃を管理することは、攻撃の最中にも刻一刻と変化する可能性のある何百ものデータポイントや要因に基づき、不確実性の中で迅速な決定を下さなければならないセキュリティチームにとって非常に大きな課題です。最近のあるランサムウェアのインシデントでは[1]、アナリストがその全容と多様な詳細を完全に理解するために合計で約60時間の調査業務を要しましたが、悪意のある活動はわずか10時間で展開されました。生成AIツールの台頭により、未知の攻撃のスピード、規模、洗練度はますます高まっており、セキュリティチームが直面するプレッシャーと複雑さは増す一方です。1回のデータ侵害にかかる金銭的なコストは2022年に世界平均で435万ドルに達しており[2]、組織が被害から迅速な修復を行うには、財務、業務、風評の面で大きなリスクが伴います。
HEALは、ダークトレースが培ってきた自己学習型AI技術を駆使し、セキュリティチームがサイバーレジリエンスを構築し、インシデントに対してより容易かつ確実にリアルタイム対処できるように設計された新たな能力をもたらします。HEALを導入することで、セキュリティチームに下記のメリットを提供します:
● 実世界のサイバーインシデントをシミュレートすることで、チームは自社環境で進行する複雑な攻撃に備えてその対応を事前演習できる。
● 自社環境の詳細、攻撃、および過去のシミュレーションから学習した内容に基づき、攻撃の展開に合わせてAIが生成するオーダーメイドのプレイブックを作成できる。これにより、攻撃の最中など一刻を争う瞬間にもアクションの優先順位を付け、より迅速に意思決定できる。
● 復旧のための対応計画において予め作成したアクションを、HEALのインターフェイス内で自動実行することで攻撃を迅速に停止できる。
● インシデントレスポンスの監査証跡を含む完全なインシデントレポートを作成し、攻撃の詳細、HEALが提案したアクション、またセキュリティチームが実行したアクションを記録することで、将来の攻撃により効果的に備え、コンプライアンスへの取り組みに貢献できる。
自社環境に特化した攻撃シミュレーション機能によりインシデントレディネスを変革
HEALによるインシデントシミュレーションは、データ窃取やランサムウェアによる暗号化、ワームの急速な伝播に至るまで、実世界のサイバー攻撃のライブシミュレーションをセキュリティチームが自社環境内に実在する資産を対象に安全に実行できる業界初の機能です。セキュリティチームは多くの場合、現実に即した演習を経験することなく、高速展開する新手のサイバー攻撃に直面しながらライブでインシデント対応を完璧に管理することを期待されます。HEALは、セキュリティチームが実務上で発生するような攻撃を実際に管理する経験を積み、定期的にこれらの手順を繰り返すことで、対応方法を絶えず改善することを可能にします。これによりセキュリティチームは、実際の攻撃に直面して初めてインシデントレスポンスを実行するという事態を避けられます。
AIが生成する組織固有のプレイブックでインシデントレスポンスを変革
インシデントが実際に発生した際、HEALはDarktrace DETECT(TM)によりダークトレースが学習済みのインシデントに関する知識、各組織のビジネス環境の定常状態、およびセキュリティチームが実行した過去のシミュレーションから得た教訓に基づいて、攻撃の全体像を提示し、AIが生成する各組織固有の対応プレイブックを作成します。HEALは、侵害された資産が引き起こす可能性のあるさらなる損害、ある攻撃がピボットまたはエントリポイントとしてその資産にどの程度依存しているか、組織にとっての当該資産の重要性などの各種要因に基づき、修復のためのアクションの優先順位を提案します。その結果、セキュリティチームはインシデントの進行に合わせて柔軟に防御策を講じることができ、組織全体における混乱を最小限に抑えながらより迅速にインシデントを終了させることができます。
ダークトレースの顧客で、米国ニューヨーク市の大手民間不動産企業であるRudin Management社の技術責任者、ニール・モハメッド氏は、「手作業で作成されたインシデント対応マニュアルは、そう長くは続かないのが現実です。サイバー情勢は昨今急速に変化しており、作成から24時間後にはプレイブックが陳腐化してしまう可能性さえあります。我々が考慮できない事象が多々発生することを念頭に、常に改訂する必要があるのです。さらに、このようなプレイブックは統制が効いた環境を前提としていますが、攻撃が発生した場合はその限りではありません。ダークトレースのAIソリューションを活用することで、このような粗雑で柔軟性に欠けるプレイブックを使う必要がなくなります」と述べています。
修復とレポーティングの自動化により復旧業務を変革
HEALは、組織が従来から利用する広範なセキュリティスタックにおける様々なツールと連携することで、セキュリティチームがより迅速かつ効率的にライブインシデントを管理し、復旧を早めることを可能にします。HEALのインターフェース内で、セキュリティチームはワンクリックで自社環境で許可されたツールを起動・管理できます。現在、HEALはMicrosoft Defender for Endpoint、Intune、Microsoft 365、Veeam(R)、およびAcronisと連携可能です。
HEALは、攻撃中および攻撃後に自動作成されたインシデントレポートをセキュリティチームに提供することで、人手で作成するのに要した従来の手間を大幅に削減します。このレポートは、攻撃者とセキュリティチームによる各々のアクションや意思決定、封じ込めた攻撃や復旧に関する情報などのインサイトを提供し、セキュリティイベントの展開に合わせて関係者に最新情報を提供し続けます。攻撃後は、フォレンジックチーム、保険プロバイダー、法務チームなどの第三者に対して必要不可欠なコンプライアンス情報を提供し、攻撃と対応の全容の振り返りや今後の未然対策に役立てることができます。
予防、検知、遮断、修復の各機能が自律的に連携するサイバーAIループの完成
HEALは、自社環境と攻撃のリアルタイムな状況を完全可視化するDETECTおよびDarktrace PREVENT(TM)、また高異常度の通信を自律的にトリアージして攻撃を瞬時に遮断するDarktrace RESPOND(TM)の各製品と連携して稼働します。HEALの発表により、ダークトレースは同社の技術ビジョンであるサイバーAIループを完成させ、DETECT、PREVENT、RESPOND、HEALを単一のプラットフォームで提供し、各機能が他の機能からのインサイトを相互に引き出して継続的に補完し合うことで、各組織に必要なセキュリティ体制を自動最適化します。
ダークトレースの最高技術責任者(CTO)、ジャック・ストックデールは、「ダークトレースでは、AIがセキュリティチームを補強する上で最も価値があるのはどこか、また彼らの仕事に最もポジティブな影響を与えるにはどうすればよいかを常に思考し、最新の技術を実装し続けています。HEALの発表によって、私たちはサイバーレジリエンスの自動化に目を向けました。私たちはチームのスキルアップを図り、万一の攻撃の際にセキュリティアナリストが直面する過負荷を最小限に抑えることで、組織がより迅速かつ効果的に復旧し、一刻も早く通常業務に復帰できるよう支援します」
「ダークトレースがこのたび完全なサイバーAIループを構築したことで、セキュリティチームは貴重な時間と人間だからこそ発揮できる能力を最大限に活用することができます。ダークトレースのAIが継続的なフィードバックループの中でサイバー攻撃を予防、検知、遮断、修復するためにバックグラウンドで自律稼働していることを念頭に、人間のチームはより重要で複雑なタスクに集中することができるのです」と述べています。
Darktrace HEALとサイバーAIループについて詳しくは、8月3日に開催される発表イベント(英語)( https://darktrace.zoom.us/webinar/register/WN_wYt8iyb0Q5e_vQdVf6IkKQ?utm_source=Zoom&utm_medium=pr&utm_campaign=heal-launch#/registration )にご登録ください。
脚注
[1] ダークトレースのCyber AI Analystが2023年4月に特定した、ある顧客環境におけるBlack Cat攻撃
[2] Cost of a Data Breach 2022(IBM社およびPonemon Institute)
https://www.ibm.com/downloads/cas/3R8N1DZJ
ダークトレースについて
ダークトレース(ロンドン証券取引所上場、ティッカーシンボル:DARK)は、AIサイバーセキュリティのグローバルリーダーで、サイバー破壊から世界を解放することを使命としています。英国ケンブリッジにあるダークトレースのサイバーAI研究センターにおける画期的なイノベーションにより、これまでに145件以上の特許を出願中で、サイバーセキュリティのコミュニティに貢献する数々の研究を発表しています。ダークトレースの技術は、攻撃について学習するのではなく、「御社」についての知識を常時学習・更新し、定常状態に関する理解を応用して、個々の組織にとって最適なサイバーセキュリティ体制を実現します。史上初となるサイバーAIループの提供により、進行中の新たな脅威を自律的に検知し、数秒で遮断する継続的なエンドツーエンドのセキュリティ能力を後押ししています。従業員数は世界各国で2,200名を超え、8,800社以上の顧客を進化するサイバー脅威から保護しています。ダークトレースはTIME誌の2021年版「世界で最も影響力のある100社」に選出されました。