脅威インテリジェンスソースとは?
編集者注:以下のブログ記事は、Dave Shackleford氏と共催したSANSウェビナーの一部をまとめたものです。
多くの組織は、 脅威インテリジェンス は「困難」で手の届かないものであると認識しています。 実際には、最初から明確なビジョンを持っていれば、単にスキルの欠点を強調するのではなく、特定の問題を解決するようにプログラムを調整することができます。
先日、Recorded FutureはSANS Instituteと共催でウェビナーを開催し、セキュリティを重視する組織が脅威インテリジェンスの最大の落とし穴を特定し、回避するのを支援することを目的としています。 このウェビナーでは、セキュリティチームと利害関係者向けの実用的なインテリジェンスを開発するために、さまざまなソースから脅威インテリジェンスデータを収集、分析、配布することについて、組織がどのように考えるべきかについて説明しました。 これにより、デジタル資産を保護し、サイバーセキュリティインシデントや、単一のソースに過度に依存することの危険性に効果的に対応することができます。
講演者は、Recorded FutureのテクノロジーアドボケイトであるChris Pace氏と、SANSアナリスト、インストラクター、コース著者である Dave Shackleford氏でした。
Key Takeaways
- 明確な目標を持ってサイバー脅威インテリジェンスにアプローチしなければ、情報源の選択が、インテリジェンスが組織に価値を提供する方法と場所についての理解に影響を与えます。
- 多くの組織は、脅威インテリジェンスは「困難」で手の届かないものであると認識しています。 実際には、最初から明確なビジョンを持っていれば、単にスキルの欠点を強調するのではなく、特定の問題を解決するようにプログラムを調整することができます。
- 脅威フィードだけに頼ると、情報過多とアラート疲れの原因となります。
- サイバー脅威インテリジェンスにはさまざまな情報源があり、それぞれに長所と短所があります。 最大の成果は、複数のソースを自動的に組み合わせて、インテリジェンスを裏付け、コンテキスト化してから、人間のアナリストに渡すことで得られます。
- 進化する脅威の状況に適応するための継続的なフィードバックループを確立することは非常に重要です。 脅威インテリジェンスデータを収集、分析、配布することで、セキュリティチームはステークホルダーにとって実用的なインテリジェンスを開発できます。
サイバー脅威インテリジェンスソースとは?
脅威インテリジェンスソースには、潜在的または既存のサイバー脅威に関する重要な情報を提供するさまざまなデータポイントとフィードが含まれます。 これにより、組織はデジタル資産( 攻撃対象領域の重要な部分)を保護し、サイバーセキュリティインシデントに効果的に対応することができます。
これらのソースは、インターネット上の悪意のあるアクティビティやパターンを監視するリアルタイムの 脅威インテリジェンスフィード や、組織のシステムからの内部セキュリティログなど、さまざまなチャネルから脅威インテリジェンスデータを収集し、異常な動作や過去の攻撃シグネチャを特定するのに役立ちます。
脅威インテリジェンスソースの種類
脅威インテリジェンスは、潜在的または既存の脅威に関する脅威インテリジェンスデータの収集、分析、および適用を含む継続的なプロセスです。 脅威インテリジェンス データにはさまざまなソースがあり、それぞれに長所と短所があります。 最大の成果は、複数のソースを自動的に組み合わせて、インテリジェンスを裏付け、コンテキスト化してから、多くの場合、セキュリティオペレーションセンター内の人間のアナリストに渡すことで得られます。 このアプローチは、組織の全体的なセキュリティ体制を維持および強化するために重要です。
明確な目標を持って脅威インテリジェンスにアプローチしなければ、情報源の選択は、インテリジェンスが組織に価値を提供する方法と場所についての理解に影響を与えます。 脅威フィードだけに頼ると、情報過多と「アラート疲れ」の元になります。
もちろん、 脅威インテリジェンスを使用して解決できる問題を理解するには、まず、どのようなインテリジェンスが利用できる可能性があるかを理解する必要があります。 ウェビナーでは、Dave氏とChris氏が最も一般的な情報源を取り上げました。
1. オープンソースの脅威インテリジェンスフィード
オープンソースインテリジェンス(OSINT)には、 公開されているソースから の情報の収集 が含まれます。これらには、ニュース記事、ブログ、ソーシャル メディア、フォーラム、公開データベースが含まれます。 2023 年には、脅威インテリジェンスのために収集されたデータのほとんどは、ニュースやメディアのレポートなどの外部ソースや、コミュニティや業界団体からのものでした。
これらは数百種類あり、想像できるセキュリティのあらゆる側面をカバーしています。 基本的な 脅威インテリジェンスプラットフォーム (TIP)を導入すれば、本当に管理しきれない数のアラートを消化するために必要なものがすべて揃います。 さらに、脅威研究者とセキュリティ専門家のグローバルコミュニティから生成されたコミュニティの脅威データへのオープンアクセスを提供するプラットフォーム。 これにより、共同研究が促進され、STIX、OpenIoC、MAEC、JSON、CSV などのさまざまな形式で利用可能なあらゆるソースからの脅威データを使用してセキュリティ インフラストラクチャを更新するプロセスが自動化されます。
2. 社内の脅威インテリジェンス
「セキュリティ分析」と呼ばれることが多い社内インテリジェンスは、 インシデント対応 チーム、セキュリティ運用センター (SOC) の担当者、セキュリティアナリスト、セキュリティ専門家によって作成されます。 内部ネットワーク監視には、組織のシステム内からのデータの分析が含まれます。 これには、ファイアウォール、侵入検知システム (IDS)、およびその他のネットワーク デバイスからのログが含まれます。
3. 垂直型コミュニティ
特定の業界や業種は、Financial Services Information Sharing and Analysis Center(FS-ISAC)などの情報共有コミュニティにアクセスできます。 さらに、 CISA(Cybersecurity and Infrastructure Security Agency )は、脅威インテリジェンス情報とAIS(Automated Indicator Sharing)脅威インテリジェンスフィードを提供する、インフラストラクチャセキュリティ機関として重要な役割を果たしています。 これらのコミュニティは非常に価値がありますが、多くの場合、ゲート化されているため、大量の取引を処理する組織であっても、「正しい」ブランド名を持っていない場合、アクセスが許可されない可能性があります。
4. 商用サービス
2022年には、約 78%が主要な脅威インテリジェンスソースとして商用の脅威インテリジェンスフィードを使用していました 。 商用の脅威インテリジェンス サービスは、最新の脅威と脆弱性に関する厳選されたリアルタイムのデータを提供します。
数十のセキュリティベンダー(プロバイダーと呼ばれることが多い)が提供する商用脅威インテリジェンスサービスは、品質と範囲が大きく異なります。 サイバーセキュリティ企業が提供するこれらのサービスは、さまざまなソースからの情報を集約して分析し、詳細で実用的なインテリジェンスを提供します。
最高の状態では、インテリジェンスの1つ以上の領域に関する重要な洞察を提供し、オープンソースの代替手段よりもはるかに少ない誤検知を実現します。 ただし、 MISPのような無料の脅威インテリジェンスプラットフォームを利用できるため、ユーザーはコストをかけずに脅威情報を検索、スキャン、強化、共有できることに注意してください。 最悪の場合、商用サービスは高価であり、真に実用的なインテリジェンスを提供できません。
5.ダークウェブインテリジェンス
ダークウェブは、従来の検索エンジンによってインデックス化されていないインターネットの一部であり、違法行為によく使用されます。 先入観を忘れてみてください。 機能的には、ダークウェブは「Googleによってインデックスされていないすべてのもの」ではありません。 サイバーセキュリティの観点から見ると、ダークウェブは約500〜600のアンダーグラウンドフォーラムであり、専用のブラウザを使用してのみアクセスできます。
ダークウェブを監視する ことで、データ侵害や新たなマルウェアなど、新たな脅威について早期に警告することができます。 脅威インテリジェンスの世界で最も最近の寵児である ダークウェブは、盗まれた資産を特定し、脅威アクターの標的を調査し、エクスプロイトキットを分析する機会を組織に提供します。 マルウェアのURLやスパムIPアドレスなど、特定の種類の脅威アクティビティに焦点を当てることで、組織はダークソースの脅威フィードから貴重な洞察とコンテキストを得ることができます。
残念ながら、複数の言語(関連するスラングを含む)を理解する必要があり、危険な関係者の注意を引く可能性があることを考えると、これらの宝石を社内で集めることは、価値よりも面倒なことになる可能性があります。 より秘密主義的な(したがって価値のある)コミュニティの多くは、既存のメンバーに新規の応募者を保証する必要があり、数千ドルにも及ぶ参加費を要求するため、参加するのが非常に困難です。
脅威インテリジェンスを「見る」方法は、情報源によって決まります
まず、Daveは、サイバー脅威インテリジェンスに関する昨年実施されたSANSの調査結果の一部を示すグラフを掲載しました。 このケースでは、回答者に組織内の脅威インテリジェンスの上位3つのユースケースを求めました。
すぐに、面白いものを見つけました。 非常に多くの組織がすでに脅威インテリジェンスデータを使用して悪意のあるドメインやIPアドレスをブロックしており、多くの組織では、調査や侵害評価にコンテキストを追加するためにも使用しています。
しかし、これ以上のことをした組織はほとんどありませんでした。 脅威インテリジェンスの3番目に多い使用方法は、全回答者の3分の1未満であり、そこから派生したものでした。
Recorded Futureのクリス・ペースは、その理由を次のように説明しています。
「悪意のあるドメインと危険なIPアドレスを非常に二元的に提供するフィードのスタックがある場合、脅威インテリジェンスの有用性を認識する方法になります。なぜなら、それがアクセス可能なものだからです。」
「グラフの左側の数字が非常に高く、他のより興味深く、潜在的に有用なものが下位にあるのは、そのインテリジェンスにアクセスし、それを取り込み、使用可能な形式に変換するための参入障壁が認識されているからだと思います。」
一般的な慣行では、脅威インテリジェンスの取り組みは、基本的なプラットフォームといくつかのオープンソースフィードから始める必要があります。 そして、ある意味では、それは理解できます、なぜならそれは確かに始めるための最も安価な方法だからです。
しかし、実際には、 単一のソースの脅威インテリジェンスは機能しません。 既存の運用上の問題を解決したり、既知のリスクに対処したりする代わりに、 単一のソースを使用すると、非常に反応的な立場に追い込まれ、アナリストはコンテキストの方法がほとんど(あったとしても)新しい アラートを常にトリアージ することを余儀なくされる可能性があります。
そして、それだけです。 現在、意識の流れの脅威フィードだけにアクセスできるとしたら、脅威インテリジェンスの多くの価値ある側面は達成不可能に思えるでしょう。 悲しいことに、多くの組織はこれが自分たちの失敗だと考えていますが、実際には、脅威インテリジェンス施設がどのように強力に構築されているかについての基本的な誤解にすぎません。
脅威インテリジェンス情報を真に活用するには、組織はサイバー脅威インテリジェンスを収集、分析、視覚化するプラットフォームとツールにアクセスする必要があります。 これには、情報共有のために設計されたプラットフォーム、誤検知を減らすためのデータ分析、脅威データの異常なパターンを特定するためのツールが含まれます。
脅威インテリジェンスの課題
ご覧のとおり、オープンソースのインテリジェンスは氷山の一角にすぎません。 しかし、 残念ながら、多くの組織は、これらのソースが提供する低利回りのアラートの膨大な量にすぐに圧倒されるため、追加のソースを引き受けることはできません。
脅威インテリジェンスの単純な真実は、多ければ多いほど良いとは限らないということです。 アラートに関しては、ほとんどの場合、多ければ多いほど悪いです。
「利用可能なフィードやデータの大きさに圧倒される人がいるのは当然のことです」
クリスはウェビナーで次のように述べています。
「ベンダーとして、脅威インテリジェンスのプロバイダーとして、この問題に対処するのは私たち次第です。 データが消火栓から水を飲もうとするのを、組織に任せるべきではありません」
「消火栓」という用語の使用に注意してください。 実際には、多くの組織が脅威フィードのアラートに圧倒されていると感じているのは、彼らが受け取っているのはインテリジェンスではなく、生データだからです。 インテリジェンスと見なされるには、そのデータをフィルタリング、処理、およびフォーマットして、関連性のある 価値のあるアラート のみが人間のアナリストを通じて供給されるようにする必要があります。 脅威インテリジェンスフィードを他のセキュリティツールやプラットフォームと統合することで、このプロセスを自動化し、データを実用的なものにし、ノイズや誤検知を減らすことができます。
ほとんどの場合、これは起こりません。
では、アラートを増やすことが解決策ではなく、ほとんどのフィードが生データしか提供していない場合、組織はどのようにして強力な脅威インテリジェンス機能を開発することが期待できるのでしょうか? そこで、Dave氏とChris氏は、脅威インテリジェンスの「2つのC」、つまりコンテキストと検証について教えてくれました。
圧倒的な量の低収益アラートに対処するために、組織は脅威インテリジェンスデータの収集、分析、配布に注力する必要があります。 これには、進化する脅威の状況に適応するための継続的なフィードバックループを確立し、データがセキュリティチームや利害関係者にとって実用的で関連性のあるものであることを保証することが含まれます。
「脅威インテリジェンスは難しい」
もちろん、効果的な脅威インテリジェンス収集の障壁は情報源だけではありません。 多くの組織が脅威インテリジェンスにこれほど苦労している理由をさらに説明するために、Dave氏は2つ目のSANS調査グラフを作成しました。
効果的な脅威インテリジェンスを阻む上位2つの障壁、すなわち、訓練を受けたスタッフの不足と技術力の欠如を見てみましょう。
さて、スキルギャップはまったく新しい話ではありませんが、3番目に多い障壁である経営陣の賛同の欠如を考えてみましょう。 推測するに、この経営幹部や予算保有者からの賛同の欠如が、強力な脅威インテリジェンス機能の実装と維持に必要な熟練したセキュリティ専門家の不足に少なくとも部分的に責任がある可能性が高いと思われます。
次に、調査回答者が挙げたその他の障壁を見てみましょう。 ほとんどの場合、それらはボリュームの多さ、関連性の認識の欠如、および優先順位付けの欠如に関連しています。 簡単に言えば、多くの組織はアラートに圧倒されており、その多くが誤検知です。
繰り返しになりますが、これは間違った位置から始めるという問題です。 経営陣の賛同を得るのは難しい場合があるため、組織は、最も簡単で安価な方法と思われる脅威インテリジェンスフィードで脅威インテリジェンスイニシアチブを立ち上げようとしています。
しかし、実際には、これらのフィードは決して使いやすいものではありません。 彼らは膨大な量のアナリストの時間を浪費し、ほとんど提供せず、何よりも悪いことに、脅威インテリジェンスは 最新の脆弱性 や悪意のあるドメインで「モグラたたき」をしているだけであるという有害な見方を組織に与えます。
「それは自己実現的な予言です」とデイブは説明しました。この簡単に理解できるデータを簡単に入手でき、すぐに使用できるような気がします...しかし、それはそこで止まります**。」
では、脅威インテリジェンスフィードがない場合、どこから始めればよいのでしょうか? シンプル: 既存の問題を解決することから始めます。
「ブランドの監視、漏洩した認証情報の監視、 新たな脅威の発見、脆弱性の特定と優先順位付けなど、関係ありません」
とクリスは説明した。
「脅威インテリジェンスをどのように使用するかという問題に取り組む前に、まず目標を持つ必要があります。」
「オールソース」検証の重要性
より多くのデータを利用できるようになれば、組織が安全を保つために必要なアラートを受け取る可能性が必然的に高まるという事実を回避することはできません。
同時に、すでに見てきたように、大量の脅威データにアクセスできることは、最大かつ最も高度なスキルを持つアナリストチームでさえも管理できません。
そのため、熟練したアナリストが重視される世界では、より多くの脅威インテリジェンスデータの必要性とアラートを最小限に抑える必要性とのバランスを取ることが重要なのです。 答えは簡単です。
セキュリティ専門家向けの脅威インテリジェンスソースの活用
脅威インテリジェンスが成熟し始め、組織が脅威インテリジェンスに精通するにつれて、これら2つのバランスを取ることが、脅威インテリジェンス能力を段階的に向上させようとする人にとって最終的な目標となるでしょう。 リアルタイムのセキュリティ運用、調査、調査から抽出された高品質で優先順位の高い情報を提供するため、実用的な脅威インテリジェンスを重視することは非常に重要です。 さまざまなソースから脅威インテリジェンスデータを収集、分析、配布することは、セキュリティチームやステークホルダー向けの実用的なインテリジェンスを開発するために不可欠です。
すべてのソースの脅威インテリジェンスの実例をご覧になるには、 Cyber Dailyの無料メール に登録して、上位の標的業界、脅威アクター、悪用された脆弱性などのテクニカル指標の日次上位の結果を確認してください。 また 、今すぐデモを予約して 、Recorded Futureが多様な脅威インテリジェンスソースをセキュリティ戦略に統合する方法をご紹介します。
関連