サイバーセキュリティ脅威検出

サイバーセキュリティ脅威検出

絶えずさらされるサイバーセキュリティ攻撃の脅威

2018年のサイバーセキュリティ攻撃のコストは、驚くべき450億ドルと推定されています。Internet Societyの Online Trust Alliance (OTA)は、セキュリティとプライバシーのベストプラクティスを特定、推進して、消費者のインターネットへの信頼を高めるために活動している団体です。OTAは、2018年の全体の侵害や情報漏洩件数は減少したものの、ランサムウェアによる経済的な打撃が60%増加し、ビジネスのEメールの侵害(BEC)による損失が2倍になり、暗号処理を使った侵害の件数が3倍以上になったと サイバーインシデントと侵害の傾向に関する報告書(Cyber Incident & Breach Trends Report)で報告しています。

ネットワークやセキュリティベンダーは、顧客の保護のために今までより精度の高い、タイムリーに対応できるソリューションが必要です。正確で適時性のある脅威データを利用しなければ、効果的なセキュリティは実現できません。

違法行為の経済への影響
従来のサイバーセキュリティ脅威検出システムの弱点
SOLORIGATE: Microsoft

従来のアプローチはサイバーセキュリティ脅威の牽制不適

サイバーセキュリティ脅威の検出には、複数のデータソースからデータをより集めて統合する能力が必要で、しかもミリ秒レベルで処理できるスピードが必要です。インターネットの規模は計り知れないほど大きく、脅威検出にはテラバイトに及ぶ情報量が必要です。

リレーショナルデータベース上に構築された脅威検出システムでは、数分、それどころか数時間かけても不正を検出するのは困難です。ましては数秒でなど不可能です。情報をネットワークエンティティタイプごとに1つずつ別々のテーブルに格納するリレーショナルデータベースでは、接続を明らかにするため、複数の結合が必要になります。

同様に、従来のグラフアプローチでは、ディープリンク分析(つまり5つ以上のエントリをトラバースする機能)をリアルタイムで実行できないため、攻撃の検出と防止は不可能です。

サイバーセキュリティにTigerGraphのグラフデータベースを活用する理由は?

グラフデータベースサイバーセキュリティ脅威の検出に理想的な方法

ITのネットワークは、コンポーネントやプロセスが網目のようにつながって構成されています。インターネットも同じように、サーバー、ルーター、ブリッジ、ノートパソコン、スマートフォン、その他多くのコンポーネントが相互接続されて構成されているシステムで、各々のコンポーネントがどのように作用して全体の機能を支えるかはプロセスによって定義されています。企業のイントラネットには等価性があります。サイバー攻撃は、ネットワークにあるコンポーネントを次から次へと連鎖的に渡って進行していく出来事なので、インターネット、イントラネット、どちらの場合でも、どのようなサイバー攻撃でも、各要素が相互接続されているからこそ攻撃は成功するのです。

これらのエンティティ間の相互接続は、グラフデータベースによって完全に表すことができます。社外または社内からの攻撃は、グラフデータベースを利用してモデル化できます。

さらに、グラフデータベースは、次に挙げるような多くの理由により、攻撃の検出と防止に最適です。

  • 巨大なデータサイズ – 1日に生成される最大テラバイトのログデータを分析する必要があります。
  • 複数のデータソース – ログファイル、インフラストラクチャー情報、ユーザー情報など、複数の性質の異なるソースの情報を統合する必要があります。
  • マルチレベル構造 – サービス、マイクロサービス、ドメインとサブドメイン、組織の各階層に格納されているデータを参照する必要があります。
  • ディープリンク分析 – クエリは複数(多くの場合5つ以上)のエンティティをトラバースする必要があります。
  • 迅速な応答時間 – ほんの数秒でクエリに応答する必要があります。

グラフデータベース以外に、これらすべての要件を満たす高度な分析アプローチはありません。

TigerGraphの高度なサイバーセキュリティシステム
グラフデータベースによるサイバーセキュリティー攻撃への対策例

さまざまな方法でサイバーセキュリティ脅威と闘うグラフデータベース

グラフデータベースはさまざまな方法でサイバーセキュリティ脅威に対する反撃を支援できます。例えば、

  • 悪意のある攻撃に関連した振る舞いのパターンを探すこと。パターンには、[USBが挿入される – ファイルがコピーされる – USBが抜き取られる] などの一連の操作、または、[ファイアーウォールチェックをバイパス – 秘密ファイルを読む]、などが挙げられます。

グラフデータベースによって、これらのパターンをリアルタイムで見つけ出し、機密情報の漏洩を防ぐことができます。

エラー/アラート/問題をソースにトレースバックします。たとえば「誰かがファイルに書き込もうとしてファイルが破損し、アラートが生成された」または「あるユーザーがファイルに接続しているときに高CPU使用率のアラートが生成された」などです。

グラフデータベースを使用すれば、これらのアラートを、ユーザーや特定のIPアドレスにまでさかのぼって追跡できます。そして注目すべきは、これを成功させるには、複数のホップをトラバースする必要があるということです。リレーショナルデータベースでは数分または数時間かかるこの作業を、グラフデータベースならほんの数秒で行うことができます。

  • 異常検知 – これには、サービスが通常より多くのリクエストを受信した場合のフラッディング検出イベント、または単一のユーザーからの大量のリクエスト(サービスのセキュリティの弱点を探っている可能性があります)を受信した場合のフットプリンティング検出イベントが含まれます。

正常な行動パターンをモデル化したグラフデータベースは、異常なイベントをリアルタイムで検出できます。

  • 機械学習に使用できる抽出機能セット – 1つの機能は、新しいユーザーからブラックリスト登録ユーザーおよびIPアドレスへの最短経路の数です。もう1つは、1ホップ、2ホップ、3ホップ…以内にいるブラックリスト登録ユーザーの数です。もう1つは、k近傍法を利用して新しいユーザーの環境を特徴付けることです。

これらのタイプのグラフ機能は簡単に生成でき、人工知能をトレーニングを行って、インターネット規模でのサイバーセキュリティ攻撃のリアルタイム検出・防止することができます。