>
ブログ

脅威インテリジェンスライフサイクルの 6 つのフェーズがチームにとって何を意味するか

投稿: 2020年1月15日
作成者 : Recorded Futureチーム

編集者注:今後数週間にわたって、人気書籍「The Threat Intelligence Handbook: Moving Toward a Security Intelligence Program」の第2版から抜粋を共有します。 ここでは、第 2 章「脅威インテリジェンスのライフサイクル」を見ていきます。

セキュリティインテリジェンスへの道のりでは、包括的なリアルタイムのインテリジェンスをセキュリティプロセス、サードパーティリスク管理プログラム、ブランド保護戦略にしっかりと織り込む必要があります。しかし、そこにたどり着くためには、組織に真に価値を付加する 脅威インテリジェンス をどのように開発できるのでしょうか。 また、提供するインテリジェンスが、セキュリティ機能全体のチームにとって実用的なものであることを確認するにはどうすればよいでしょうか。

これらの疑問に答えるには、脅威インテリジェンスの生成を、ポイントインタイムのタスクではなく、多段階の循環的なプロセスとして捉えることが重要です。

まず、サイバー脅威インテリジェンスサイクルの目標は、主要なステークホルダーによって定義されなければなりません。 これらの目標は、 ユースケース、優先順位、リスクに応じて、組織ごとに大きく異なります。 そこから、内部、技術、人的など、さまざまなソースからデータを収集し、潜在的なサイバー脅威と実際のサイバー脅威の全体像を把握する必要があります。 次に、このデータを処理して、SOCの人員配置、セキュリティインシデントへの対応、脆弱性の管理、サードパーティリスクの分析、デジタルブランドの保護、高レベルのセキュリティに関する意思決定など、すべての人にとってタイムリーで明確で実用的な実際のインテリジェンスに変換する必要があります。 この完成したインテリジェンス出力は、主要な利害関係者に戻り、主要な利害関係者はそれを使用して、将来のインテリジェンスサイクルを継続的に改善し、意思決定プロセスを磨くことができます。

次の「脅威インテリジェンスハンドブック:セキュリティインテリジェンスプログラムへの移行」からの抜粋は、わかりやすくするために編集および要約されています。 このレポートでは、脅威インテリジェンス ライフサイクルの 6 つのフェーズのそれぞれを検証し、脅威インテリジェンスのソースを確認し、 脅威インテリジェンス ツールと 人間のアナリストの役割を見ていきます。

6ステップで見る脅威インテリジェンスのライフサイクル

脅威インテリジェンスは、 政府や軍事機関が数十年にわたって磨いてきた分析技術に基づいて構築されています。 従来のインテリジェンスは、「インテリジェンスサイクル」と呼ばれるものを構成する6つの異なるフェーズ、つまり、指示、収集、処理、分析、配布、フィードバックに焦点を当てています。

サイバー脅威インテリジェンスのライフサイクルとは?

脅威インテリジェンスとインテリジェンス ライフサイクルの 6 つのフェーズ。

1. ディレクション

ライフサイクルの方向性フェーズは、脅威インテリジェンス プログラムの目標を設定するときです。 これには、次のことを理解し、明確にすることが含まれます。

  • 保護する必要がある情報資産とビジネス・プロセス
  • これらの資産を失ったり、プロセスを中断したりすることによる潜在的な影響
  • セキュリティ組織が資産を保護し、新たな脅威に対応するために必要な脅威インテリジェンスの種類
  • 保護対象に関する優先事項

高レベルのインテリジェンスのニーズが決定されると、組織は情報の必要性を個別の 要件に導く質問を定式化できます。 たとえば、潜在的な敵対者を理解することが目標である場合、論理的な質問の 1 つは、「アンダーグラウンド フォーラムで、どの脅威アクターが私たちの組織に関するデータを積極的に求めているのか」です。

2. コレクション

収集とは、最も重要なインテリジェンス要件に対処するための 情報を収集する プロセスです。 情報収集は、次のようなさまざまな手段を通じて有機的に行うことができます。

  • 内部ネットワークとセキュリティデバイスからのメタデータとログのプル
  • 業界団体やサイバーセキュリティベンダーから の脅威データフィード の購読
  • 知識豊富な情報源との会話やターゲットを絞ったインタビューの実施
  • オープンソースのニュースやブログのスキャン( OSINT の一般的な手法)
  • スクレイピングとハーベスティングのWebサイトとフォーラム
  • ダークウェブフォーラムなどのクローズドソースへの侵入

通常、収集されるデータは、サイバーセキュリティの専門家やベンダーからの インテリジェンスレポート などの完成したインテリジェンス情報と、マルウェアのシグネチャや貼り付けサイトで漏洩した資格情報などの生データの組み合わせです。

3. 処理

処理とは、収集した情報を組織で使用可能な形式に変換することです。 収集されたほとんどすべての生データは、人間であろうと機械であろうと、何らかの方法で処理する必要があります。 収集方法が異なれば、多くの場合、必要な処理手段も異なります。 人間のレポートは、関連付けとランク付け、競合の解消、およびチェックが必要になる場合があります。

たとえば、セキュリティ ベンダーのレポートから IP アドレスを抽出し、それらを CSV ファイルに追加してセキュリティ情報およびイベント管理 (SIEM) 製品にインポートする場合があります。 より技術的な領域では、処理には、電子メールからインジケーターを抽出し、他の情報でインディケータをエンリッチメントし、エンドポイント保護ツールと通信して自動ブロックすることが含まれる場合があります。

4. 分析

分析は、処理された情報を意思決定に情報を提供できるインテリジェンスに変える人間のプロセスです。 状況によっては、新たな脅威を調査するかどうか、攻撃をブロックするためにすぐにどのようなアクションを取るべきか、セキュリティ制御をどのように強化するか、追加のセキュリティ リソースにどの程度の投資が正当化されるかなど、さまざまな決定が行われる場合があります。

情報が表示される形式は特に重要です。 情報を収集して処理し、 意思決定者が理解して使用できない形で提供することは無意味で無駄です。 たとえば、技術に詳しくないリーダーとコミュニケーションをとる場合、レポートは次の条件を満たす必要があります。

  • 簡潔にする(1ページのメモまたは数枚のスライド)
  • 混乱を招くような、過度に専門的な用語や専門用語は避けてください
  • ビジネス用語で問題を明確にする(直接コストと間接コスト、評判への影響など)
  • 推奨される行動方針を含める

一部のインテリジェンスは、ライブビデオフィードやPowerPointプレゼンテーションなど、さまざまな視聴者向けにさまざまな形式で配信する必要がある場合があります。 すべてのインテリジェンスを正式なレポートで消化する必要があるわけではありません。 成功したサイバー脅威インテリジェンスチームは、IOC、マルウェア、脅威アクター、脆弱性、脅威の傾向に関する外部コンテキストを使用して、他のセキュリティチームに継続的な技術レポートを提供します。

5. 配布

普及には、完成したインテリジェンスの出力を必要な場所に届けることが含まれます。 ほとんどのサイバーセキュリティ組織には、脅威インテリジェンスを活用できるチームが少なくとも 6 つあります。

これらのオーディエンスごとに、次の質問をする必要があります。

  • どのような脅威インテリジェンスが必要で、外部情報はどのようにして彼らの活動をサポートできるのでしょうか?
  • その視聴者にとって理解しやすく、実行可能なものにするためには、インテリジェンスをどのように提示すべきでしょうか?
  • 更新情報やその他の情報はどのくらいの頻度で提供する必要がありますか?
  • インテリジェンスはどのメディアを通じて広められるべきですか?
  • 質問がある場合、どのようにフォローアップすればよいですか?

6. フィードバック

私たちは、全体的なインテリジェンスの優先順位と、脅威インテリジェンスを利用するセキュリティチームの要件を理解することが非常に重要であると考えています。 彼らのニーズは、脅威インテリジェンスのライフサイクルのすべてのフェーズを導き、次のことを伝えます。

  • 収集するデータの種類
  • データを処理して強化し、有用な情報に変換する方法
  • 情報を分析し、実用的な脅威インテリジェンスとして提示する方法
  • 各タイプのインテリジェンスを誰に配布する必要があるか、どのくらいの速さで配布する必要があるか、および質問にどれだけ迅速に対応する必要があるか

各グループの要件を理解し、要件と優先順位の変化に応じて調整を行うには、定期的なフィードバックが必要です。

サイバー脅威インテリジェンスサイクルに関するFAQ

サイバー脅威インテリジェンスサイクルがセキュリティチームにとって重要なのはなぜですか?

サイバー脅威インテリジェンスサイクルは、脅威インテリジェンスを収集、分析、活用するための構造化された方法論を提供するため、セキュリティチームにとって極めて重要です。 このサイクルは、脅威の状況をよりよく理解するのに役立ち、その結果、セキュリティの脅威に効率的に備え、対応するのに役立ちます。 このサイクルを通じて、サイバー攻撃に対する組織のセキュリティ体制を強化するための情報に基づいた意思決定を行うのに役立つ実用的なインテリジェンスが生成されます。

脅威インテリジェンスプログラムを実装する主な利点は何ですか?

脅威インテリジェンス プログラムを実装することで、組織は潜在的なセキュリティ脅威を予測し、準備し、軽減する能力を得ることができます。 このプログラムは、脅威インテリジェンス プロセスの不可欠な部分であり、脅威アクターとその戦術をより深く理解するのに役立ちます。 これにより、脅威インテリジェンス チームは、プロアクティブな防御対策に不可欠な完成した脅威インテリジェンスを提供できます。 さらに、脅威インテリジェンスプログラムは、インシデント対応戦略を強化し、進化する脅威の状況に継続的に学習し適応する文化を育みます。

サイバー脅威インテリジェンスサイクルから最も恩恵を受けているのはどの組織ですか?

金融、ヘルスケア、政府など、価値の高いデータを扱うセクターで事業を行っている組織は、多くの場合、脅威アクターの主要な標的であるため、サイバー脅威インテリジェンスサイクルから大きな恩恵を受けています。 このサイクルは、定義された脅威インテリジェンスのライフサイクル段階とともに、潜在的なリスクを理解し、軽減するために重要なインテリジェンスの収集と脅威インテリジェンス分析を支援します。 さらに、オンラインで大きな存在感を持つ組織、稼働時間を重視する企業、または規制コンプライアンスの対象となる企業も、複雑なセキュリティ環境をナビゲートするためにサイバー脅威インテリジェンスサイクルが不可欠であると感じています。

サイバー脅威インテリジェンスサイクルを実装する際に直面する一般的な課題は何ですか?

実装時の一般的な課題には、堅牢な脅威インテリジェンス プラットフォームの初期設定、継続的で関連性のあるインテリジェンス収集の確保、データを正確に分析して実用的なインサイトを生成することが含まれます。 脅威インテリジェンスレポートの有効性は、熟練した人材の不足や不十分なリソースによって妨げられる可能性があります。 さらに、脅威インテリジェンス分析から得られた洞察を既存のインシデント対応手順に統合し、情報のシームレスな流れを確保することも、大きな課題を引き起こす可能性があります。

「脅威インテリジェンスハンドブック」を入手する

本書の全章には、役立つ図表、これらの説明を独自の効果的な脅威インテリジェンスプログラムに適用するためのメモやヒント、 脅威データなどに関するより詳細な情報など、さらに多くの重要なコンテンツがあります。

続きを読むには、今すぐ「 脅威インテリジェンスハンドブック 」の完全版(完全無料版) をダウンロードしてください 。

この記事は2020年1月15日に公開され、2024年2月5日に最終更新されました。

関連