脅威インテリジェンスプラットフォームとは?
脅威インテリジェンスプラットフォームは、外部の脅威データの収集、集約、調整を自動化し、セキュリティチームに最新の脅威インサイトを提供することで、組織に関連する脅威リスクを軽減します。
サイバーセキュリティの防御側にとって、脅威インテリジェンスはインシデントの前後の意思決定を可能にする重要な要素です。今日のサイバーセキュリティチームは、脅威インテリジェンスの情報源や配信元に事欠きません。何十ものニュース記事、何百という無料のオープンソースインジケーターフィード、業界コミュニティリスト(各種ISAC)、ベンダーが提供する脅威インテリジェンスの存在を思えば、専門家がインテリジェンス過多に陥っているのがすぐにおわかりいただけるでしょう。当然ながら、こうしたデータを利用する側にとっての疑問は、どれを信頼すべきか、重複はないか、そしてこうしたデータをコントロールやワークフローで直接使用できる情報にどうやって変換できるかです。
2023年版脅威ハンティングレポート
2023年版脅威ハンティングレポートでは、CrowdStrikeのCounter Adversary Operationsチームが攻撃者の最新の手口を明らかにし、侵害を阻止するための知識とインサイトを提供しています。
脅威インテリジェンスプラットフォームを使用するロール
脅威インテリジェンスプラットフォームを使用する主な利点は、外部の脅威情報を技術系と非技術系のどちらの利害関係者とも組織全体で簡単に共有できることです。これを実現するのが、自動化されたワークフローと、収集データの継続的な統合とエンリッチメントです。
脅威インテリジェンスに関連する組織の職務とユースケースには、次のようなものがあります。
セキュリティアナリストとITアナリスト
脅威インテリジェンスを使用して、防止や検知の機能を最適化し、より強力な防御を築き上げます。
アナリストのユースケース
- 脅威インテリジェンスのフィードを他のセキュリティ製品と統合する
- 有害なIP、URL、ドメイン、ファイルなどをブロックする
セキュリティオペレーションセンター (SOC)
組織に与えるリスクと影響に基づき、インシデント対応に優先順位を付けます。
SOCのユースケース
- 脅威インテリジェンスを使用してアラートを強化する
- アラートをインシデントにリンクする
- フォールスポジティブやアラート疲れを削減する
コンピューターセキュリティインシデント対応チーム (CSIRT)
セキュリティイベントの調査、管理、優先順位付けを迅速化します。
CSIRTのユースケース
- インシデントの動機や属性と、戦術、手法、手順 (TTP) に関する情報を探す
- 根本原因を分析し、インシデントの範囲を特定する
インテリジェンスアナリスト
組織を標的とする脅威アクティビティを発見して追跡することで、脅威の現状に関連する側面の理解を深めるとともに、高度な分析を実施して、既知のアクター、活動、インシデント、マルウェア、シグネチャ、TTP、脆弱性にわたる、組織レベルのコンテキストアラートをすみやかに理解します。
インテリジェンスアナリストのユースケース
- 脅威アクターに関連する構造化および非構造化データ(レポート)を集約し、それらをより的確に検知する方法を習得する
- アラートのトリアージとインシデント対応を実現する
- 脆弱性パッチの優先順位付けを指示する
経営幹部
組織が直面しているリスクと、その影響に対処するための選択肢を理解します。
経営幹部のユースケース
- 組織の全体的な脅威レベルを評価する
- セキュリティロードマップを策定する
脅威インテリジェンスプラットフォームの仕組み
脅威インテリジェンスプラットフォーム (TIP) は、外部のさまざまな情報源からデータを自動的に収集し、それらを人間や機械が分析したり利用したりできる形式に整理します。
とはいえ、脅威は絶えず進化しているため、組織が断固たる行動を取るには迅速な順応が必要です。フレームワークによって、セキュリティチームがリソースを最適化し、脅威の最新状況を常に把握できるようになります。脅威インテリジェンスのライフサイクルは、組織が以下の目標を達成するための6ステップのフレームワークです。
1. 要件
これは計画ステップであり、組織は、生成されるインテリジェンスの利用者と望まれる成果を決定します。必要とされるインテリジェンスは、例えば具体的な検知、インシデント後の対応、組織の攻撃対象領域に最も関連性の高い脅威の把握に用います。要件を整理する際には、大きな問題を引き起こすと想定される潜在的なセキュリティ脅威のタイプから始めることが重要です。例えば、自組織を標的にする可能性が最も高い悪意のあるアクター、最も一般的な戦術、そしてそれを誰に知らせるかなどです。
2. 収集
TIPは、通常、セキュリティベンダー、コミュニティ、国の脆弱性データベース、オープンソースフィードなど、組織外からの生データ収集から始めます。セキュリティソリューションベンダーであれば、自社のユーザーベース全体からのデータを集約し、その結果得られるインテリジェンスフィードを顧客の利益のためにソリューションに組み込んだり、フィードを別製品として利用できるようにしたりできます。情報源には他にも、各業界のフィード、サイバーセキュリティ専門家の「トラストサークル」、ダークウェブフォーラムなどがあります。オープンソースフィードは、米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA)、SANS、Googleなど、さまざまな所から入手できます。Webクローラーでインターネットを検索してエクスプロイトや攻撃を検索するという手もあります。
3. 処理
生データは、分析可能な形式に変換されます。その過程で、ファイルの復号、外国のコンテンツの翻訳、スプレッドシートを使用したデータポイント整理、データの信頼性と関連性の評価などが実施されます。
4. 分析
このステップでは、生データが実用的なインテリジェンスに変換され、「要件」フェーズでの決定に従ってアクションプランを策定する際に使用されます。最終的なインサイトは、さまざまなタイプの対象ユーザーが利用できるように、各種のレポートや評価としてパッケージ化されます。
- 戦略的インテリジェンスはシニアセキュリティプランナーを対象としています。セキュリティ投資やセキュリティポリシーを計画するうえで参考になるよう、幅広い傾向に焦点を当てています。
- 戦術的インテリジェンスは侵害の痕跡 (IOC) に焦点を当てています。潜在的な脅威をすみやかに特定および排除するために使用されます。戦術的な脅威インテリジェンスは、生成が最も簡単で、通常は自動化されています。
- オペレーショナルインテリジェンスは、悪意のあるアクターの戦術、動機、スキルレベルの理解を目標にしています。サイバー攻撃の「誰が、何を、どのように」を調べることで、次の攻撃や同様の攻撃の前に適切な防御態勢を確立することを目指しています。
5. 配布
分析結果は、特定の対象者向けにカスタマイズされた推奨事項に変換され、利害関係者に提示されます。このステップでは、技術用語を避け、簡潔に説明することが重要です。提示形式としては、1ページ程度のレポートや短いスライドが最適です。
6. フィードバック
脅威の状況は絶えず変化していることから、継続的なフィードバックループを確立する必要があります。このステップでは、提供されたレポートの関連性について利害関係者にフィードバックを求め、実施されている技術対策の有効性を測定します。このフィードバックループを使用して、脅威インテリジェンスの外部情報源の選択を調整したり、新たに生成されたインサイトの優先順位付けをコンテキストに基づいて調整したりできます。
脅威インテリジェンスプラットフォームの主な機能
痕跡のみに基づく脅威インテリジェンスプラットフォームは、今日の高度な脅威環境に適したセキュリティツールではありません。攻撃者は戦術を頻繁に変更するので、収集される痕跡からはアクターの動機や巧妙さがわかりません。複数の形式の脅威インテリジェンスを統合し、ユーザーがデータを検索して配布できるソリューションを探してください。脅威インテリジェンスプラットフォームは、複数の情報源からの痕跡を統合し、重複を排除する必要があります。ただし、セキュリティ運用チームが次にすべきことの指針となるのは、アクターと攻撃の戦術に関する情報の充実です。また、新しい攻撃活動の特定作業を自動化し、それをセキュリティ分析(SIEMやNBA)、エンドポイントでの検出と対応 (EDR)、次世代ファイアウォール (NGFW)、脆弱性および資産管理ツール、インシデント対応ワークフローなど、幅広いコントロールまたは検知ツールと統合する必要があります。
クラウドストライク2024年版グローバル脅威レポート
「2024年版グローバル脅威レポート」では、隠密な活動の憂慮すべき増加と、ステルスが主流となったサイバー脅威の状況を明らかにしています。データの窃盗、クラウド侵害、マルウェアフリー攻撃が増加しています。検知技術の進歩にもかかわらず、攻撃者がどのように適応し続けているかについてお読みください。
脅威インテリジェンスプラットフォームをクラウドストライクが支援する方法
クラウドストライクは、受賞歴を誇る脅威インテリジェンスモジュールであるCrowdStrike Falcon® Intelligence™に事前構築済みの統合とAPIアクセスを提供することで、脅威インテリジェンスプラットフォームを支援します。CrowdStrike Falcon® Intelligenceは、コンテキスト情報を充実させたIOC、脅威レポート、マルウェアのサンドボックス化、アトリビューション、検索可能なマルウェアリポジトリを提供します。クラウドストライクは他にも、ThreatQuotient、ThreatConnect、Anomaliなど、業界をリードするTIPベンダーとの統合を実現し、主要な脅威アクター、攻撃ベクトル、脅威インテリジェンスの傾向に関する実用的なインサイトを提供しています。
TIPはこの記事で前述したユースケースを実現するためのソリューションの1つにすぎないことに留意してください。CrowdStrike Security Cloudは、世界中の何百万というエンドポイントとクラウドワークロードから日々収集される兆単位の数のセキュリティイベントを関連付けています。当社のお客様には、人工知能と人間の専門家による分析という組み合わせを使用して、何百万というリアルタイムIOCと何千何万ものインテリジェンスレポートが毎年配信されています。これにより、クラウドストライクのお客様は、新たなインフラストラクチャの導入や、新たなワークフローの設計なしに、上記のTIPユースケースの多くを展開できます。
当社のお客様がクラウドストライクを活用してインテリジェンスに関する各社の目標をどのように達成しているか、ご興味をお持ちですか?当社のCrowdStrike Adversary IntelligenceやFalconプラットフォームのページで、当社がご用意しているすべてをご覧ください。