AI活用のパッチ管理が、サイバーセキュリティの未来を切り拓く——その具体的な5つの方法とは

SHARE:
Image credit: Pixabay

データ駆動型でないパッチマネジメントアプローチは、侵害の発生を待っているようなものだ。攻撃者が何年も前の共通脆弱性識別子(CVE)を武器にしているのは、セキュリティチームがパッチ管理を優先する前に侵害が起こるのを待っているためだ。

サイバー攻撃者は、どの CVE が最も脆弱であるかについて、より高度な文脈的インテリジェンスを身につけるようになっている。その結果 その結果、パッチ管理は手作業で行われ、エンドポイントに多くのエージェントを投入することで、攻撃対象は無防備なままとなり、悪用可能なメモリ競合が発生する。

一方、攻撃者はその技術を磨き続け、検知を回避し、手動パッチ管理システムを打ち負かすことができる新しいテクニックや技術で、脆弱性を武器にしている。

CrowdStrike の「2023 Global Threat Reportt(2023年世界脅威報告書)」によると、CrowdStrike Threat Graph でインデックス化された全検出のうち、マルウェアを使用しない侵入行為が最大で71%を占めている。侵入の47%は、パッチが適用されていないセキュリティ脆弱性に起因している。半数以上の組織(56%)は、セキュリティ脆弱性を手動で修復している。

手作業によるパッチ適用がうまくいかないことをさらに証明する必要がある場合は、次のことを考えてみてほしい——修復後のエンドポイントの20%は、まだすべてのパッチが適用されていないため、再び侵害の危険にさらされる可能性がある。

Ivanti の CPO Srinivas Mukkamala 氏は次のように述べている。

パッチは、それが聞こえるほど単純ではない。十分な人員と資金を持つITおよびセキュリティチームでさえ、他の差し迫った要求の中で優先順位をつけるという課題に直面している。作業量を増やすことなくリスクを低減するために、組織はリスクベースパッチ管理ソリューションを導入し、手作業による過剰な介入なしに脆弱性の特定、優先順位付け、さらには対処を行う自動化を活用する必要がある。

リスクベース脆弱性管理や AI をいち早く取り入れるベンダー

CISO が VentureBeat に語ったところによると、レガシーパッチ管理システムは技術スタックの統合計画の一部であり、リスクベース脆弱性管理(RBVM)は、より高い有効性を提供し、クラウドベースであるため展開が迅速であるアプローチである。AI ベースのパッチ管理は、パッチの脆弱性を学習して評価し続けるために、継続的なデータストリームを必要とするアルゴリズムに依存している部分がある。AI と ML(機械学習)の開発に数世代を費やしている主要ベンダーが、市場のペースを握ることを期待している。

GigaOm Radar for Patch Management Solutions Report」は、トップパッチマネジメントプロバイダーの技術的な強みと弱みを浮き彫りにしている。展開モデルとパッチカバレッジによって提供される市場セグメントでベンダーを比較し、各ベンダーを評価しているため、これは注目のレポートだ。本レポートでは、Atera、Automox、BMC Client Management Patch powered by Ivanti、Canonical、ConnectWise、Flexera、GFI、ITarian、Ivanti、Jamf、Kaseya、ManageEngine、N-able、NinjaOne、SecPod、SysWard、Syxsense、Tanium などのベンダーについて分析している。

GigaOm Radar では、ベンダーのソリューションを同心円状に配置した。中心に近いほど総合的な価値が高いと判断されるものだ。このチャートでは、各ベンダーを2つの軸(成熟度 vs. 革新度、機能プレイ vs. プラットフォームプレイのバランス)で特徴づけ、今後12~18ヶ月間の各ソリューションの進化を予測する矢印を表示している。
出典:GigaOm Radar for Patch Management Solutions Report

受け身のチェックリストのメンタリティを壊すには

大手保険会社や金融サービス会社の CISO が匿名で VentureBeat に語ったところによると、エンドポイントやミッションクリティカルなシステムにパッチを当てる緊急性は、通常、エンドポイントのパッチがダウンレブしたためにシステムが侵害された場合にのみ生じるそうだ。ある CISO が最近、VentureBeat に打ち明けたところによると、これは規定的な反射ではなく、受け身の反射なのだそうだ。侵入、ミッションクリティカルシステムの侵害、盗まれたアクセス認証の発見など、重要な出来事があれば、必要なパッチ適用作業がエスカレートすることがよくある。

CISO が語っていることは、Ivanti の「State of Security Preparedness 2023 Report(2023年セキュリティ準備状況報告書)」と一致している。Ivanti によると、外部からのイベント、侵入の試み、侵害がパッチ管理の取り組みを再開させるケースが61%にのぼるという。組織はサイバー攻撃からの防御を急いでいるが、業界はまだ反応的でチェックリスト的な考え方を持っている。10人中9人以上のセキュリティ専門家が、パッチに優先順位をつけていると回答していますが、彼らはまた、すべての種類のパッチが上位にランクされており、どのパッチも上位にランクされていないことを意味している。

サイバーセキュリティチームは、パッチ管理の優先順位を決めるための、より効率的でスケーラブルなシステムを必要としている。このシステムは、より重要な洞察とインテリジェンスを備えたプロセスを自動化し、チームがより良いワークロードを共有できるようにする。
Image source: Ivanti’s State of Security Preparedness 2023 Report

AI によるパッチ管理がサイバーセキュリティを強化

多様なデータセットを活用しながらパッチ管理を自動化し、RBVM プラットフォームに連携することは、サイバーセキュリティにおける AI の完璧なユースケースと言える。先進的な AI ベースのパッチ管理システムは、脆弱性評価のテレメトリを解釈し、パッチの種類、システム、エンドポイントごとにリスクに優先順位をつけることができる。リスクベーススコアリングは、AI と ML (ML)がこの市場のほぼすべてのベンダーによって急速に進められている理由だ。

AI や ML ベースの脆弱性リスク評価やスコアリングは、セキュリティチームが必要とするインサイトを提供すると同時に、パッチのワークフローに優先順位を付け、自動化することができる。

以下は、AI ドリブンのパッチ管理が、サイバーセキュリティの未来を再定義している最たる5つの方法をご紹介する。

1. 正確なリアルタイム異常検知と予測

攻撃者は、パッチの脆弱性や弱点を機械的に利用することで、エンドポイントの境界ベースのセキュリティを圧倒している。データに基づいて訓練された教師ありの ML アルゴリズムは、攻撃パターンを特定し、それを知識ベースに追加する。機械による ID が人間の ID を45倍も上回る現在、攻撃者は、最新のパッチで保護されていないエンドポイント、システム、資産に侵害の機会を見出すのだ。

Ivanti の Mukkamala 氏は、VentureBeat のインタビューに応じ、パッチ管理がより自動化され、AI コパイロットがより高いコンテキストインテリジェンスと予測精度を提供することを想定していると述べている。

現在16万件以上の脆弱性が確認されており、IT およびセキュリティの専門家が圧倒的にパッチ適用を過度に複雑で時間のかかるものと感じているのは不思議ではない。

このため、組織は AI ソリューションを活用する必要がある。パッチの優先順位付け、検証、適用においてチームを支援するためだ。セキュリティの未来は、機械に適したありふれた反復作業を AI コパイロットにオフロードすることで、IT とセキュリティチームがビジネスの戦略的イニシアチブに集中できるようにすることだ。(Mukkamala 氏)

2. 継続的に学習・改善・拡張するリスクスコアリングアルゴリズム

手動パッチは、多くの未知の制約とソフトウェアの依存関係を同時にバランスさせる必要があるため、失敗する傾向がある。セキュリティチームが対処する必要のあるすべての要因を考えてみよう。企業向けソフトウェアベンダーは、パッチの発行に時間がかかることがある。リグレッションテストが不完全である可能性がある。顧客に急がせるパッチは、ミッションクリティカルなシステムの他の部分を壊すことが多く、ベンダーはその理由を知らないことが多い。エンドポイントでのメモリ競合も頻繁に発生し、エンドポイントのセキュリティが低下する。

パッチマネジメントを自動化する上で、リスクスコアリングは非常に有効だ。脆弱性のリスク評価を行うことで、最もリスクの高いシステムやエンドポイントに優先順位をつけて管理することができる。Ivanti、Flexera、Tanium などは、AI ベースのパッチ管理の合理化に役立つリスクスコアリング技術を開発している。

VRR とは、組織や企業に対する脆弱性のリスクを0~10点の間で示すスコアだ。リスクが高いほど、VRR は高くなる。Ivanti Neurons は、脅威要因と基本スコアを特定することで、脆弱性に VRRを割り当てる。
Source: Ivanti

3. ML がリアルタイムパッチインテリジェンスの向上を促進

CISO は VentureBeat に対し、 ML は大規模インフラにおける脆弱性管理を改善する上で最も価値のある技術の1つであると語っている。教師あり、教師なしの ML アルゴリズムは、より迅速なSLAを実現するのに役立ちる。また、データ分析やイベント処理の効率、規模、速度を向上させることができる。また、異常検知にも役立ちる。ML アルゴリズムは、パッチインテリジェンスを使用して、何千ものパッチの脅威データを提供し、システムの脆弱性や安定性の問題を明らかにすることができる。このように、セキュリティの脅威に対抗する上で、ML  は非常に有効だ。

この分野のリーダーには、Automox、Ivanti Neurons for Patch Intelligence、Kaseya、ManageEngine、Tanium がある。

4. 改善策の決定を自動化することで、IT およびセキュリティチームの貴重な時間を節約し、予測精度を向上

ML アルゴリズムは、遠隔測定データを継続的に分析・学習することで、予測精度を向上させ、修復の意思決定を自動化することができる。この分野のイノベーションで最も魅力的な分野のひとつが、170人の専門家の英知を結集して作られた ML モデル「Exploit Prediction Scoring System(EPSS)」の急速な発展だ。

EPSS は、増え続けるソフトウェアの脆弱性を管理し、最も危険な脆弱性を特定するために、セキュリティチームを支援することを目的としている。現在、3回目の反復が行われ、このモデルは以前のバージョンよりも82%性能が向上している。Gartner のレポート「Tracking the Right Vulnerability Management Metrics(正しい脆弱性管理法追跡、アクセス権要)」では、「迅速なパッチ適用による脆弱性の是正はコストがかかり、最も活発な脅威を見失う可能性があります」と書かれている。「リスクベースパッチ適用による脆弱性の修復は、より費用対効果が高く、最も悪用されやすいビジネスクリティカルな脅威をターゲットにしている。

5. エンドポイント資産とそれに割り当てられたアイデンティティの文脈理解

AIベースのパッチ管理イノベーションのもう一つの魅力的な分野は、ベンダーがAIと ML を使用して、アップデートが必要なエンドポイントの場所を特定し、インベントリを作成し、パッチを適用する方法を急速に改善していることだ。各ベンダーのアプローチは異なりますが、時代遅れでエラーが起こりやすい、手作業のインベントリベースのアプローチを置き換えるという目標は共通している。パッチマネジメントと RBVM プラットフォームのプロバイダーは、どのエンドポイント、マシン、システムにパッチが必要かを特定する能力を向上させ、予測精度を高める新リリースを迅速に進めている。

ML アルゴリズムのライフサイクルへの適用

パッチマネジメントの更新を自動化することが最初のステップとなる。次に、パッチ管理システムと RBVM プラットフォームを連携して、アプリケーションレベルでのバージョン管理と変更管理を改善する。教師あり、教師なしの ML アルゴリズムによって、モデルが潜在的な異常を早期に発見し、リスクスコアの精度を微調整することで、組織はより優れたコンテキスト・インテリジェンスを得ることができる。

今日、多くの組織がパッチマネジメントに関してキャッチアップモードに陥っている。これらのテクノロジーがその潜在能力を最大限に発揮するためには、企業はライフサイクル全体を管理するためにこれらのテクノロジーを使用する必要がある。

【via VentureBeat】 @VentureBeat

【原文】

BRIDGE Members

BRIDGEでは会員制度の「Members」を運営しています。登録いただくと会員限定の記事が毎月3本まで読めるほか、Discordの招待リンクをお送りしています。登録は無料で、有料会員の方は会員限定記事が全て読めるようになります(初回登録時1週間無料)。
  • 会員限定記事・毎月3本
  • コミュニティDiscord招待
無料メンバー登録