機械学習によるDigital Threat Monitoringの強化

Mandiant Data Science
Jun 22, 2022
1 min read
|   Last updated: Aug 19, 2022

従来のサイバーセキュリティ対策は、組織内のネットワークに存在するアセットを保護するために設計されてきました。しかし今日、これらのアセットがクラウドやリモートワークなど、自組織の内部だけでなく、ネットワークの外部にまで広がることがしばしばあり、その結果、企業の情報漏洩や盗難、金銭的損失などのリスクが高まっています。Mandiant Advantage Digital Threat Monitoring (DTM)は、デジタル・リスク・プロテクション ソリューションのいち要素として、外部のオンライン・ソースからストリームされるコンテンツを自動的に収集・分析し、潜在的な脅威が検出されると防衛側にアラートを発します。この機能により、企業は脅威を早期に発見し、潜在的な侵害や情報流出が拡大する前に、より効果的に特定して対処することができるようになります。

Digital Threat Monitoringとは何か?
なぜ、正しく理解することが難しいのか?

新しくリリースされたMandiant Advantage DTMモジュールは、ソーシャルメディア、ディープWeb、ダークWeb、ペーストサイト、その他のオンラインチャネルから発せられる脅威をお客様に警告するものです。お客様はこのモジュールを使って、自社のアセットを直接または間接的に狙うデジタル脅威をリアルタイムで監視し、可視化することができます。また、DTMは、さらなる分析、コンテキスト付与、脅威探索のための有効な手段を提供することができます。DTMは、多様なユースケースをサポートできるのは、まさにそのために設計されたからです。

役割別Digital Threat Monitoringが提供する価値:

  • CISO/情報セキュリティ戦略責任者: ベンダーやサプライチェーンに対する脅威を特定し、そのリスクを積極的に軽減する
  • 脅威インテリジェンス・アナリスト:自組織のインフラを積極的に標的とする攻撃者を発見し、防御と是正の優先順位付けを行う
  • 脅威ハンティング担当者:データ漏えいや侵入の可能性を特定し、自組織の環境にいる攻撃者を発見して、滞留時間を最小限に抑える

DTMは、図1に示すように、データの収集、コンテンツの分析、アラート、修正とテイクダウン、その後の検索の絞り込みと収集のすべてがループする連続的なプロセスです。このように、Mandiant Advantage DTMモジュールは、お客様が狙われているデジタルアセットへの脅威に対してプロアクティブに対応できるよう、継続的に進化することが求められます。

 

Figure 1. DTM
図1:Mandiant Advantage DTMのプロセス

取り込まれるコンテンツや脅威の状況が動的に変化することに加え、取り込まれるソースの多様性もまた、重要な技術的課題となっています。お客様は、DTMで取り込まれる新しいソースごとに、シームレスで一貫したエンドツーエンドの体験を望んでいますが、異なるソースから得られたドキュメントは、その構造、意味構成、言語、長さが大きく異なることがあります。例えば、ソーシャルメディアの投稿は短く、専門用語が多く、ハッシュタグ、メンション、スラングなどの構文記号が満載ですが、ヘッダー、フッター、署名、マルチパートの本文など、より正式な記事や 構成要素を含む電子メールではそのようなことはないかもしれません。

従来のソリューションでは、上記のような問題に対処するために、主にキーワードのマッチングに依存していました。しかし、個々のキーワードは、さまざまな関連性のない文脈の文書と一致する可能性があります。たとえば、「Breach」という言葉はセキュリティ以外の場面でしばしば口語的に使われるため、単純なキーワードマッチの結果、信頼関係の毀損や 船体損傷に関する文書が返される可能性があります。また、アンチウィルスの進化になぞらえれば、キーワードマッチはシグネチャベースの脆弱なアプローチであり、進化する新しいエンティティや脅威を認識できないのは必然です。

さらに悪いことに、単純なキーワードの組み合わせを使用して、クレデンシャルダンプや新しいエクスプロイトのリリースなど、複雑な脅威の概念を定義しようとすることは、不可能な作業となりえます。何百、何千もの独立したキーワードからなる膨大で全く管理不可能な監視ルールが作成されてしまいます。このような課題を考えると、機械学習を用いたデータ駆動型のアプローチで、価値ある情報を抽出し、ユーザーフレンドリーな方法で提示することが必要です。

自然言語を用いたキーワードマッチングの強化

この新しいDTMモジュールは、機械学習(ML)と自然言語処理(NLP)を活用して、毎日数百万件の文書から実用的なパターンを継続的に分析し、抽出します。これにより、DTMのお客様は、組織にとって最も重要なコンテンツを迅速に特定するためのカスタムモニタリングルールを作成することが可能になります。

DTMは、Mandiantのデータサイエンスチームが実装、評価し、実運用に展開した7つの条件付きゲート付き機械学習モデルによって支えられています(図2)。これらのモデルは、クラウドベースのエンドツーエンドNLPパイプラインを形成し、取り込まれたドキュメントをエンティティの抽出と分類で補完しています。これらの強化によって、お客様はMandiant独自のデータストアに問い合わせたり、アラートをお客様が最も懸念しているものにカスタマイズしたりすることができるようになります。

Figure 2. DTM
図2:DTMのNLP解析パイプライン

技術的な観点からも、このアーキテクチャは以下のような直接的なメリットをもたらします。

  • 誤検知を大幅に減らし、アラート通知の品質を向上
  • 水平方向に拡張し、ドキュメント量の任意の増加をカバー
  • エラーやフィードバックを速やかに記録し、迅速な改善策を可能に
  • 個々のモデルで生成されたエンティティや分類を公開し、グローバルビューや過去のトレンドに反映

Mandiant Data Scienceは、図2のパイプラインを構成する個々の機械学習モデルの開発において、最新のニューラルネットワークベースのNLP技術のいくつかを統合しました。以前、私たちのチームは、最先端のTransformerニューラルネットワークを、ソーシャルメディアの情報操作悪意のあるURL、さらにはマルウェアバイナリの検出といったセキュリティタスクに適用しました。Transformerは、文書中の単語のような連続したデータ間の遠距離での関係を追跡することでコンテキストを並行して学習し、限られたウィンドウ内の単語を非効率的に処理し、関連する単語が互いに離れて発生するとエラーを多発する以前の世代のモデルを凌駕しています。

さらに、Mandiantのエキスパートが持つ専門知識とデータ駆動型MLアプローチを組み合わせた新しい半教師付きトピック分類モデルを利用し、各文書内のハイレベルな脅威トピックを特定します。DTMパイプラインの中で、Transformerモデルとトピックモデリングを活用することで、実践において驚くほど高い精度とノイズ低減を達成しました。

一方、パイプラインの中には、高度なNLPアプローチによって駆動されていない処理ステップもあることに注目すべきです。機械学習がキーワードマッチングを改善するのと同じように、私たちは、より単純な経験則では不十分な場合にのみ、このような負荷の高いモデルを導入するように配慮しています。このように、私たちのパイプラインは、両者の良いところをミックスし、より柔軟で拡張性の高い、フィードバック駆動型の改善が可能になっています。

機械学習がDTMにもたらすメリット

パイプラインの機械学習モデルによって高い水準の精度がもたらされることで、DTMを利用するお客様の利便性が改善されます。取り込まれた文書から「組織」といったエンティティタイプが確実に抽出されれば、Apple製品に影響を与えるサプライチェーンの脆弱性を探しているお客様は、アップルパイのレシピやアップルジュースの栄養成分について書かれたノイズだらけの文書をスクロールして確認する必要がなくなります。エンティティは、大量のドキュメントの中に潜在的に存在するノイズをカットすることを可能にします。さらに、パイプラインは現在40種類以上のエンティティをサポートしており、将来的にはさらに多くのエンティティをサポートする予定です。高品質なエンティティ抽出のさらなる利点は、DTMアラートをMandiantのインテリジェンスソースで補完できることです。その好例が、IPアドレス、ハッシュ、ドメイン、URLに対するMandiant Indicator Confidence ScoreIC-Score)、攻撃者とマルウェアのコンテキストです。

最後に、機械学習は、お客様がハイレベルなトピックによってドキュメントをフィルタリングすることを可能にすることで、モニターの作成を簡素化します。NLP分析パイプラインを流れるドキュメントには、最大40の業界または脅威のトピック・ラベルが付けられます。これにより、一般的な脅威や分類されたセキュリティ関連コンテンツ、またはお客様の業界に特化したアラートをカスタマイズして受け取ることができます。つまり、ライフハックやグロースハックに関する文書は、情報セキュリティ/侵害のトピックに関連する文書でなければならないという監視条件を指定すると、受信した文書がフィルタリングされるようになるのです。

DTMは、徹底した内部評価を受けており、モニターが構築されるエンティティや分類は、最高水準のNLPと脅威インテリジェンス機能を反映していると、ユーザーは確信することができます。Mandiant Advantage DTM モジュールをぜひお試しください。