カジノサイト
SOC チームがセキュリティ副操縦士として AI を最適に実装する方法
企業内の人工知能 (AI) の普及率はクラウドの普及率に近づいています: 2023 年には、企業従業員の間で生成型 AI アプリの使用が増加します パーセント、企業従業員の 10% 以上が毎月少なくとも 1 つの生成 AI アプリケーションにアクセスしていましたが、2022 年にはわずか 2% でした。
サイバーセキュリティの専門家は、これらのツールをさらに高い割合で採用しています。 56% が報告済み 一方、CompTIA の調査によると、サイバーセキュリティ専門家の 36% がその可能性を模索していると回答しました。
専門家らは、AI がネットワーク トラフィックの監視とマルウェアの検出 (セキュリティ専門家の 53 パーセントが回答)、ユーザーの行動パターンの分析 (50 パーセント)、インシデント対応の自動化 (48 パーセント)、セキュリティ インフラストラクチャの構成の自動化、将来の侵害が発生する可能性のある領域の予測、防御テストの実施 (それぞれ 45 パーセント) に役立つと信じていると CompTIA に語った。
AI がセキュリティ オペレーション センター (SOC) チームに顕著なサポートを提供できることは明らかです。これらのチームは、組織の IT 環境全体を継続的に監視して、潜在的な脅威をリアルタイムで検出し、可能な限り迅速かつ効果的に脅威を阻止する必要があります。これは大きな仕事であり、警備員の 84% が多大なストレスを抱え、しばしば燃え尽き症候群を引き起こす仕事です。 .
企業従業員の 10% 以上が、毎月少なくとも 1 つの生成 AI アプリケーションにアクセスしました。
このような深刻な結果と人員削減を考慮すると、AI を便利な事務アシスタント、つまり信頼できる副操縦士として位置づけるべきです。これにより、SOC スタッフは、インシデント検出、アラート分析、データセット強化などに関連する活動を効率化できます。
即時の能力
さらに詳しく説明すると、AI がすぐに支援できる、または比較的短い開始期間後に支援できる 3 つの機能分野を次に示します。
オンボーディングを加速します。これは始めるための素晴らしい方法です。新しいアナリストは、おそらく CrowdStrike または Microsoft のコアツールの理解を要求されるでしょう。ただし、実装や組織構造などの問題については、最新の情報を得る必要があります。これには多くの場合、新入社員に次のことを通知することが含まれます。
- セキュリティ チームの報告先 (つまり、事業部門、IT、CFO、または別の場所)。
- SOC チームが定期的に直接協力しているその他のテクノロジー チームまたは組織。
- 個人の到着前に以前に承認または試行された技術。
AI により、SOC オンボーディング チームのメンバーはこの情報をより迅速に吸収できるようになり、新しいアナリストをより迅速かつ適切に採用できるようになります。
推奨事項を作成します。ここでは、AI が貴重な副操縦士として登場します。適切な質問をすることで、チームは AI に、エンタープライズ環境内での製品の統合や、組織に影響を与える可能性のある特定の脅威に関するガイダンスを提供してもらうことができます。
生成 AI を日常の SOC 運用に安全に組み込むには、常に注意を払う必要があります。
新しい SOC メンバーが参加するシナリオを考えてみましょう。インフラストラクチャ、ツール、構成方法、さらにはプロセスを理解するまでの準備時間は、すべて副操縦士が支援できるものです。この場合、副操縦士はテクノロジーの使用状況に関する情報を迅速に提供し、ソフトウェア構成、所有権の詳細、システムの危険にさらされる可能性に関する情報など、チームメンバーを支援する追加の詳細を提供できます。
攻撃ベクトルをシミュレートしています。時間の経過とともに、AI は、洗練された電子メール フィッシング スキームなど、チームが機能をテストできる攻撃ベクトルの関連例を開発できるようになるはずです。この意味で、説明可能性と視覚化の強化により、サイバー犯罪者が展開している戦術、技術、および手順 (TTP) に対する制御をより効果的にテストするための敵対者エミュレーションの取り組みが大幅に改善されます。
悪用される脆弱性は通常、バグの形でのソフトウェアの脆弱性と脆弱な構成の 2 つの方法で発生します。チームメンバーがデータを調べて覚えておく必要があるため、どちらも企業全体で見つけて追跡するのは困難です。悪用のための複雑な環境を理解できるようになると、チーム メンバー全員が持っているわけではない複雑で具体的な理解が深まります。 AI を使用すると、使用状況だけでなく構成やソフトウェアのバージョン データも理解できるため、システムやデータに対する攻撃ベクトルを調査する際に、あらゆる手段を確実にカバーできます。
実装ガイダンス
しかし、生成 AI を日常の SOC 運用に安全に組み込むには、常に注意を払う必要があります。考慮すべき 2 つのベスト プラクティスを次に示します。
すべてをチェックしてください。現在のバージョンの AI では、次のような問題が発生することがわかっています。 またはその他のエラー。脅威レポートの文脈では、幻覚は説明できない誤検知やストーリーとして現れる場合があります。その結果、統合された生成 AI が現実ではない脅威をブロックし始める可能性があり、その結果、システムが混乱し、チームが存在しない問題のトラブルシューティングを行うことになる可能性があります。
つまり、出力の正確性と関連性を慎重にレビューして精査することなしに、AI の「ベイビーステップ」から最先端の機能に移行することはできません。たとえば、脅威インテリジェンス レポートの要約について支援を求めた場合、AI の貢献を私たちが知っている真実と偽りを徹底的に確認し、クロスチェックすることなしに結果を共有することはできません。
生成 AI からの出力を効果的にレビューして精査するには、生成 AI を単なるツールではなく、チームの別のメンバーのように扱う必要があります。私のチームには、従業員とその成果物に活用している生成 AI と同じプロセスを使用してもらっています。つまり、リリースされたプロジェクトは、運用チームとサポート チームによってテスト、レビューされ、承認される必要があります。仮想エージェントと副操縦士の導入も同様です。
ベンダーの取り組みを調べてください。あなたは、鎖の中で最も弱い部分と同じように保護されています。時間の経過とともに増大する AI を安全な方法で導入したいと考えているとき、ベンダーが同じことを行っているかどうかを問い合わせる必要があります。生成 AI のロードマップと、それがプラットフォームにどのような影響を与えるかについて尋ねてください。
このプロセスは、ベンダーとの最初のやり取りから開始し、エンタープライズ テクノロジー スタックに AI または生成 AI が現在実装されているか、または実装する予定があるかを尋ねる必要があります。
たとえば、あなたのチームは現在 AI 統合を持たないサードパーティと提携しています。組織のガバナンスおよびコンプライアンス プログラムに合わせて調整するには、来年以内に AI または生成 AI を製品に組み込む計画があるかどうかを尋ねる必要があります。これは、基本レベルのコントロールとして在庫を理解できるだけでなく、回答に基づいてより詳細な質問をすることもできるため、定期的に行うべき重要な質問です。
AI は SOC に手を貸すことができます。ただし、新しいチーム メンバーと同様に、セキュリティの専門家も AI の機能と制限を十分に理解する必要があります。これらのプロは、正しい経路とガードレールを備えた慎重な方法でツールを導入し、成功事例に基づいて構築し、悪い情報をチェックすることで、燃え尽き症候群の原因となる手作業の多くを日常生活から排除し、より戦略的な目標に集中できるようにします。その結果、彼らは次のキャリア移行を計画するのではなく、長期的に企業に携わる非常に手ごわい企業の擁護者として現れるでしょう。
CISSP の James Robinson は、Netskope の最高情報セキュリティ責任者であり、セキュリティ エンジニアリング、アーキテクチャ、戦略において 20 年以上の経験があります。ロビンソンは、経営陣がイノベーションを通じてセキュリティ戦略を変更できるよう支援する、戦略的サービスとソリューションの包括的なスイートを開発、提供しています。
