10年以上前、セキュリティ市場では、インフラストラクチャ層とアクセス層における検知精度の向上を目指し、ルールベースのソリューションを補強する統計分析が導入されました。しかし、ユーザーおよびエンティティ行動分析(UEBA)は、ユーザー行動は1日あたりの平均アクティビティ数などの統計量で特徴付けられるという根本的な誤った前提のせいで、精度を劇的に向上させ、誤検知アラートを削減するという期待に応えることができませんでした。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
この誤った前提はUEBAに組み込まれており、ユーザーをアクティビティの平均値で特徴づけています。実際には、人々は「平均的な行動」をとるわけではないため、単一のアクティビティの平均値、標準偏差、中央値といった数値で人間の行動を特徴づけようとするのは無駄です。
UEBAが異常行動の検出に不十分な点
非凡な行動の例として、大手銀行の個人口座マネージャーであるデイビッド氏をご紹介します。デイビッド氏は、日常業務の一環として、様々な職務をこなしています。
- 顧客から、外部、支店間、または同じ支店の口座間での銀行振込を依頼されることがあります。
- また、さまざまな株式の売買に関して顧客を支援することもあります。
- David は毎月、担当するすべての顧客のステータス レポートを作成し、それを上司に電子メールで送信します。
デイビッドの1日の活動の平均を計算するのは無意味です。代わりに、デイビッドの複数の典型的な活動プロファイルを学習することに焦点を当てるべきです。
UEBAは、上記で説明した根本的な誤った前提に加え、SaaSアプリケーションとカスタムアプリケーション間の大きな相違点により、ビジネスアプリケーションにおいても機能不全に陥っています。そのため、モデルは金融セクターなど、限られたアプリケーション層のシナリオのみを対象として開発されてきました。結果として、特定のアプリケーション向けに作成されたカスタムルールが、依然として最も一般的なアプリケーション検出ソリューションとなっています。
悪意のある行為を検出する方法
ユーザー行動分析は、各アクティビティに対して単一のベースラインを設定し、各アクティビティを個別に分析するのに対し、ユーザージャーニー分析は、アクティビティのシーケンスに注目し、各ユーザーについてアプリケーションにおける典型的なユーザージャーニーの完全なセットを学習します。将来的には、アプリケーション層にシーケンスベースの検出を実装し、SaaSアプリケーションやカスタムビルドアプリケーションにおける一連のアクティビティのユーザージャーニー分析を実行することで、より正確な検出を実現することが期待されます。
ユーザー間の真の違いは、最終的に行う具体的な行動ではなく、行動を起こすまでの過程にあります。なりすまし者がユーザーの通常のプロフィールを模倣することははるかに困難であり、アプリケーションを悪用または悪用しようとする内部関係者は、最終的には通常のプロフィールから逸脱することになります。
例えば、現金、金、宝石といった貴重品を保管する金庫室を含む、多くの部屋を持つ銀行を想像してみてください。銀行には当然正面玄関があり、金庫室にも専用の扉があり、人々はそこから貴重品を預け入れたり引き出したりします。
人々は正面玄関から銀行に出入りします。金庫室に出入りし、その部屋の中で様々な活動を行うこともあります。
私たちの目標は、金庫室における不正使用や盗難を発見することです。しかし、金庫室の扉やその動作を監視するだけでは、正確な検知に必要な情報が不足しています。なぜなら、関係者のほとんどが金庫室で正当な行為を行っているからです。
銀行の正面玄関から入った瞬間から、廊下や部屋を通り抜け、金庫室へ、金庫室の中へ、そして金庫室から出るまでの人々の動線を分析することで、どのような動線が正常で予想されるのかを知ることができます。こうした正常な動線が、検知の基盤となります。
悪意のあるユーザーは、通常とは異なる行動をとる傾向があるため、各ユーザーの行動を、彼らが学習した通常の行動と比較することで、悪意のある行動を特定します。銀行内での行動が長くなるのは、行き先がわからないからかもしれませんし、疑いを持たれないようにできるだけ素早く出入りしているのかもしれません。
ユーザージャーニー分析による悪意ある行動の正確な検知は、「異常なセッションは、アプリケーションにおけるユーザーの典型的なジャーニーとは異なるジャーニーを特徴とする」という根本的な仮定に基づいています。したがって、典型的なジャーニーを学習し、規範的なジャーニープロファイルを作成することで、悪意のあるアクティビティと高い相関関係にある異常なジャーニーを正確に検知できます。
ドロン・ヘンドラーは、RevealSecurityの共同創業者兼CEOです。経験豊富な経営幹部兼営業担当役員として、アーリーステージのテクノロジー系スタートアップ企業の成長において確かな実績を誇ります。彼は、直接およびパートナーを通じて、幅広いグローバル市場における複雑なビジネス環境をマッピングしてきました。キャリアを通じて、NICE Systems(NASDAQ:NICE)、Trivnet(Gemaltoが買収、NASDAQ:GTO)、Surf Communication(Lytxが買収)、mPrestといった企業において、ストレージ、サイバーセキュリティ、DR/BC、グリーンエネルギー/EV、クラウド、SaaS分野の製品、ソリューション、プロジェクトの販売チームを率いてきました。
