“Threat Intelligence: An Explainer Guide” November 14, 2022 by Alex Vakulov より
脅威インテリジェンスとは?
脅威情報(サイバー脅威情報とも呼ばれる)とは、脅威の実行者や、の手法と手口といったデータや情報を集めることです。脅威情報(以降TI)は、脅威を予測して攻撃を検出するのに役立ち、情報セキュリティの世界で働くチームや個々のメンバーに貴重なデータを与えてくれます。
サイバー脅威情報は情報セキュリティの中でも最も複雑で、同時に最も重要な要素といえます。情報セキュリティシステムのほかの要素と同様、TIも独自のツールとサービスを使っています。こうしたツールを上手に使えば、核となる大切なセキュリティ情報を得るための効果的なプロセスを構築するのに役立ちます。
この「脅威インテリジェンス」という言葉は、情報セキュリティのこの分野の目的が、脅威に関する知識を収集してそれを分析することだというのを端的に現しています。SANS Instituteでは次のように定義しています。「妨害行為を成そうという敵の意図と機会、能力を分析することをサイバー脅威情報という」 。
TIは、次の2つの要素を組み合わせたものとされています。
- さまざまなソースから脅威に関する知識を取得して蓄積するプロセス
- 蓄積した知識をまとめ、分析し、使用することができるプラットフォームの実用化
このブログでは、脅威情報についてさらに詳細な全体像と、いかにそれを利用して攻撃を効率よく防げるかということについてお話しします。
誰がサイバー脅威情報が必要なのか、その理由は?
脅威インテリジェンスの能力は、サードパーティベンダーのTIプラットフォームが使えるようになる以前に、社内で実証されています。プラットフォームが使えるようになるより前に、企業は既存の脅威と監視されたやり取りに関する情報を収集していました。実際、情報セキュリティに然るべきべき注意が払われていれば、TIの最初の要素は、ほぼすべての企業で利用できるのです。
TIは、特定の知識とスキルの集合体と見ることができます。TIの知識とスキルは、その企業の情報セキュリティの成熟度レベルを反映しています。
基本的なレベルのTIは、ベンダーと業界のレポートを読み、分析することで形成されます。この情報は、企業が必要なプロセスを構築するためにその専門知識を増やす助けになります。その後、収集されたTI情報の価値は飛躍的に上がります。この知識を蓄積し、情報セキュリティのインフラストラクチャに組み込むことで、攻撃に対する備えができるのです。
TIベンダーとその利用顧客では、脅威情報への取り組み方が違うということにご注意ください。
ベンダーは、自社の保護ツールの開発の一環としてTIソリューションを作成します。総合的な商品を提供するために、最良の検出方法と脅威のフィードを作成しようとするのです。
ユーザ側の見方は少し異なっています。ユーザはまず戦略的なレベルでTIを取り入れようとして、こんな疑問を持ちます。TIはどんな脅威に対して防御の役に立ってくれるのか、どんなサイバーリスクに対応できるのか? このような質問に答えるには、その企業がセキュリティプロセスの点で成熟していなければなりません。
脅威インテリジェンスのレベル:戦略面、運用面、方策面
サイバー脅威情報は、戦略、運用、方策の三つのレベルから成っています。各レベルにそれぞれの「ユーザー」がいて、特定のツールを使い、その企業の情報セキュリティシステムに独自の影響を与えています。
- 戦略的レベルとは、関連する企業や業界に対する攻撃に関与した最新の攻撃傾向、リスク、ハッカー集団について情報を収集し、利用することを指します。集められた情報によって、情報セキュリティの世界全体で何が起きているかを評価し、特定の領域に広がっている最新の脅威について知ることができます。この戦略的レベルでは、企業内で関連する情報セキュリティの能力を評価し、優先順位をつけ、向上させることができます。
- 運用レベルでは通常、犯罪者が用いる技法や技術に関連したあらゆることに対応します。MITRE ATT&CKの表はこうした技法や技術について広く参照されている代表的な情報源です。攻撃者がどうやってシステムに侵入するかについて詳細な情報を与えてくれるのです。運用レベルのデータを使って、企業の保護システムを構築する際に、資金と人員を適切に割り当てることができます。運用レベルでは、特定の領域や業界で、外部の脅威からどのように身を守るかを理解できます。
- TI(脅威インテリジェンスの活用)の方策レベルでは、特定のサイバー犯罪グループに関する技術情報を表します。この情報を使って攻撃の指標を特定したり、企業が直面している脅威を検出したりすることができます。
すでに述べたように、企業のIT実装の程度は、情報セキュリティプロセスの成熟度に大きく依存します。多くの組織がフィード(一連の脅威指標)を買い、このフィードに基づいてサイバー情報のエコシステムを構築したいと考えています。これは純粋に技術的なTIの実装です。
一方でフィードをつなげればすべてのTIタスクが解決できるという誤解も生じています。指標が見つかったときは常に何が起こったのか正確に理解する必要があります。検出されたマルウェアが実際に、その会社のインフラストラクチャの中で何をしているのかを理解する必要があるということです。それにはさらに情報と分析が必要です。そうすることで情報セキュリティチームは次のステップに進むための計画を立てられるのです。これはもう既に脅威情報の運用レベルといえます。
脅威ハンティング vs 脅威情報
TIは、脅威ハンティングとして知られている積極的な脅威探索法の重要な一要素です。脅威ハンティングチームは、ハッキングの形跡やマルウェアの挙動などを検出する責任を負っています。TIは、運用レベルで脅威ハンティングのための情報を与える行為を行なっているわけです。
脅威ハンティングと脅威情報は直接関係しています。ある会社がインシデントという背景で情報を得れば(そして、たとえインシデントが起きなかったとしても)、侵入されたデバイスに残る正しい指標と攻撃の痕跡を見つけ出すのに役立ちます。その後、脅威ハンティングでその指標と制御された攻撃のリストを使って制御法を確立するのです。
戦略レベルの脅威情報レポート
TI機能を提供している多くのプロバイダーは、一定期間に行なわれた最新の攻撃の傾向を量で示す脅威レポートを定期的に発行する一方、翌年の見込みも提示しています。こうしたレポートは企業にとって戦略的に意味があるものといえます。
こうしたレポートでは、再編成のしかた、注目すべき領域、将来考えられる種類の攻撃に余裕をもって耐えられるように能力を高めておくやり方などを顧客に教えてくれるという点で重要です。企業自体が脅威情報という能力に乏しい場合は、このようなレポート以外に情報セキュリティの傾向を教えてくれる手段はほかにないのですから。
同時に、このようなレポートはマーケティング資料にもなります。生の脅威統計資料や分析とマーケティングとに切り分けておくことが重要です。
脅威情報の実践的な応用
最近では、純粋に技術的な性質を持つ数百というTI情報源を無料で手に入れることができます。TTP(戦術、技術、手順)がわかれば、さらに百の情報源が公開サイトなどで手に入るでしょう。
戦略的な脅威情報レポートを無料で提供しているベンダーは少なくとも10社以上はあります。たいていの顧客はそんなに膨大な量の情報を効果的に処理することはできないのです。
SANS Instituteの調査によれば、2021年には回答者の80%が同時に複数のTI情報源を使っていたそうです。実際には、多くの企業が8件のサイバー脅威情報源を使っています。
オープンソースの脅威データのいちばんの価値は、大量の脅威を撃退するのに役立つところです。そのため、複雑で狙いを定めたしつこい攻撃は、運用レベルへと移行しなければなりません。複雑で狙いを定めた脅威のデータは見つけるのも分析するのも結びつけるのも簡単ではありません。そうした攻撃には骨の折れる調査が必要なのです。
TIを取り入れる際、インシデントレスポンスチームの存在は非常に望ましいものです。ここでの成功は、その会社がどのようなハッカー集団を相手にしているのか、攻撃側がすでにどんなことをしているのか、それがどの程度社内に浸透してしまっているのかを、どれだけ早く把握できるかに大いにかかっています。TIはこうした重大な情報を提供してくれます。
脅威情報ツールを使うことの効率性
TIの効果はさまざまなレベルで評価できます。戦略レベルで評価する場合は、その導入の有効性は時間が経たなければわかりません。時間の経過とともに、選択した決断、リスク評価、組み込まれた保護手段の正しさがわかってくるのです。
戦略レベルでは、技術的な詳細だけでなく、たとえばハックティビズム(政治的ハッカー活動)や戦争といった地政学的な面からも評価を行なうことが大切です。こうした要素を考慮しないでいると、簡単に次の標的にされてしまうかもしれません。
運用レベルでは、TIの有効性は、構築された保護手段の質に表れます。一見したところ、何も起こっていなければTI導入の努力は無駄だったように見えるかもしれません。しかし、そうではないのです。選択すべき制御の対象枠が狭まったことを示しているかもしれないのです。そのTIシステムは単に近くで何が起こっているかをチェックしているだけではありません。ですから、導入の有効性に関する評価は、常に特定の会社ごとに独自のものとなるでしょう。
サイバー脅威情報の発展の見込み
現在の傾向からして、サイバー脅威情報が会社内の戦略レベルと運用レベルの増加に伴って発展していくのは間違いありません。この結果、TIソリューションの顧客とベンダーとの結びつきはますます密接になるでしょう。顧客企業は自分たちでデータを分析し、より積極的に質問を投げかけ、業界の発展に寄与することになります。このような双方向のやり取りのおかげで、プロバイダー側でもカスタマー側でもTIの成熟度が上がるでしょう。
特権脅威情報についてもっとご興味がありますか? BeyondTrustのプラットフォームをチェックしてみてください。特権パスワード、ユーザ、セッション、アカウント動作のほか、アプリケーションやサービス、ソフトウェア、ポートといった因子を分析することによって、APTその他の疑わしい攻撃を特定するのに役立ちます。このプラットフォームによって、ゼロトラストに沿ったジャスト・イン・タイムのアクセスモデルとコンテキストベースのアクセス判断の運用が実現します。
参考 BeyondTrustソリューションについてもっと詳しく
Alex Vakulov, 社外ブロガー
Alex Vakulovは、ウイルス分析で20年以上の経験を持つサイバーセキュリティ研究者です。 マルウェアの排除について素晴らしい手腕を発揮しています。セキュリティ関連の記事を多数執筆しており、自身のセキュリティでの経験を世に広めています。