定義
サイバーセキュリティの状況は常に変化しており、脅威インテリジェンスは、攻撃者の動機、エクスプロイト、マルウェア、インフラ、リソースに関する情報を収集する役割を担っています。脅威から企業を守るため、サイバーセキュリティの研究者は、次に来たる攻撃に関するインテリジェンスを常に探し求めています。脅威インテリジェンスの研究者は脅威を発見して修正し、ハッカーなどの攻撃者は防御を回避する新しい方法を見つけるという、常にいたちごっこのようなゲームを繰り広げています。
脅威インテリジェンスの重要性
ハッキングは違法行為ですが、攻撃者は重大なデータ侵害に対して莫大な金銭的利益を得ることができます。ハッカーがお金を稼ぐ一方で、侵害が成功すると企業にとって1件あたり数百万ドルのコストがかかるため、企業は経営の持続性に壊滅的な打撃を受けることになります。ハッカーは、法執行機関から隠れることができる小さなコミュニティで、情報共有したり、最近のエクスプロイトを隠蔽したりしています。脅威インテリジェンスは、ハッカーの活動を監視し、次の大規模な攻撃を阻止することを目的としています。
サイバーセキュリティ研究者は、社内のスタッフである場合もあれば、ビジネスとしてリサーチを行う外部組織である場合もあります。収集された脅威インテリジェンスは、通常、攻撃者を阻止するための共同作業として、他の研究者間で共有されます。研究者が人気のあるアプリケーションに脆弱性を発見した場合、研究者は開発者に静かに報告し、公開する前に問題を修正させるのが一般的です。脆弱性を発見し、それを悪用する代わりに知らせることができた人に、報奨金を提供している開発者もいます。
データ侵害は高額であるため、サイバーセキュリティに熱心な人たちは、脅威インテリジェンスの収集やホワイトハットハッキングといったキャリアパスを歩むようになりました。脅威インテリジェンスは、ペネトレーションテストやマルウェア研究と重なることが多く、研究者はビジネスソフトウェアの脆弱性を見つけるために報酬を得ます。ホワイトハットハッカーは、脆弱性を発見し、それが重大なデータ漏洩になる前に組織に修正するよう助言します。
公開ソフトウェアに脆弱性を見つけたインテリジェンス研究者は、ソフトウェア開発者に知らせ、その脆弱性は既知問題リポジトリに公開されます。脆弱性が公表されることで、ITスタッフに警告が発せられ、既知の問題を持つソフトウェアにパッチを適用することができます。サイバーセキュリティの研究者がいない組織でも、IT管理者は脅威の暴露を監視し、侵害を回避する必要があります。一般的な脆弱性とエクスポージャー (CVE) の発表は、攻撃者がその問題を悪用する前に、ソフトウェアにパッチを適用するために利用することができます。
脅威インテリジェンスの仕組み
ソフトウェアの開発と同じように、脅威インテリジェンスにもライフサイクルがあります。ライフサイクルの各段階は、どの脅威インテリジェンスプラットフォームでも同じですが、研究者は独自の手法で各段階を実行します。共通のライフサイクルを持つことは、コラボレーションに役立ち、それはビジネスを支援するサイバーセキュリティの本質的な側面です。
脅威インテリジェンスにおける基本的なフェーズは以下の通りです。
- プランニング: 研究者がデータ収集を始める前に、目標と目的を計画する必要があります。計画段階では、各目標を達成するために脅威インテリジェンスをどのように実行するかを決定します。
- 収集: 脅威がシステムに侵入したかどうかを判断するために、研究者は、ログ、データベース監査、ファイアウォール、ファイルなど、複数のソースからデータを取得する必要があります。このフェーズは、組織が継続的な攻撃に遭っているかどうかを判断するために侵害前に行うことも、侵害後のインシデント対応中に行うことも可能です。
- 処理: 収集フェーズの結果、数百万件の生データを分析しなければならない場合もあります。処理は、通常、セキュリティ情報およびイベント管理(SIEM)などのソフトウェアの助けを借りて行われます。この段階では、貴重なデータからノイズを取り除くために、人工知能(AI)も有効です。
- 分析: SIEMやその他の分析ソフトウェアを活用し、脅威インテリジェンスの研究者がデータを確認し、侵害が発生したかどうかを判断します。
- 発信: 脅威が発見されると、研究者は情報をさまざまなチャネルに送信します。チャネルは、発見された内容によって異なります。企業でサイバー事件が発生した後であれば、ITスタッフに情報を伝達し、ITスタッフは脆弱性を修正してネットワークから排除することができます。脅威に関する情報を公開する場合は、他の人が自分のローカルネットワークで修正できるように情報を公開します。
- フィードバック: 情報を共有した後、脅威を特定するためのライフサイクルと手順を見直し、すべての目標が達成されたかどうか、計画がうまく実行されたかどうかを判断します。
脅威を特定するために収集されるデータは、計画や疑われる脆弱性によって異なります。これらのデータポイントは、セキュリティ侵害インジケーター (IOC) と呼ばれます。データポイントの一例を紹介します。
- ドメインとIPアドレス: あるIPアドレスからの不審なトラフィックは、攻撃者がいることを示す可能性があります。マルウェアの中には、攻撃者が管理するサーバーに接続して企業データを転送するものがあります。また、同じIPから継続的に認証が試みられている場合も、攻撃による乗っ取りを示唆している可能性があります。
- メールメッセージ: フィッシング攻撃の疑いがある場合、添付ファイル付きのメッセージも含めて、攻撃元を追跡するためにメールメッセージが必要です。
- 被害を受けたデバイスのファイル: 攻撃を受けているデバイスやマルウェアに感染しているデバイスには、さらなる分析に使用できる重要なファイルが保存されている可能性があります。レジストリキー、DLLファイル、実行ファイル、その他デバイスから得られるあらゆるデータは、調査に役立つ可能性があります。
また、外部リソースもデータ収集に利用することができます。脅威インテリジェンスの研究者は、しばしばダークネット市場から収集したデータを使って調査を行ったり、ハッカーのコミュニティに参加して最新の活動を把握したりしています。リスク管理システムや侵入検知システムの中には、IPアドレスや悪意のあるドメインの大規模なデータベースを使用して、攻撃が組織を標的としているかどうかを判断するものもあります。
脅威インテリジェンスのツールやプラットフォーム
最も一般的な脅威インテリジェンスプラットフォームは、人工知能を使用しており、アナリストが潜在的な脆弱性を判断するのに役立ちます。優れたSIEMは、AIを使用し、他のサイバーセキュリティシステムとシームレスに統合してデータを収集・保存します。ツールはローカルまたはクラウドで実行できますが、多くの組織は、難しいインストールやインフラストラクチャの設定を省略するために、クラウドベースのソフトウェアを使用します。
脅威インテリジェンスプラットフォームを探す際には、4つの主要な属性を確認する必要があります。
- 複数の異なるソースからデータを収集し、集約できること。
- 研究者がレポートや自動分析を容易に理解できるように、AIを使用して数値によるスコアリングやわかりやすいリスクレベルを提供すること。
- 他のデータポイントや分析ツールと連携できるように、他のサイバーセキュリティシステムに統合すること。
- 情報の共有に役立ちつつ、機密データを攻撃者から安全に保護すること。
脅威インテリジェンスプラットフォームは、サイバーセキュリティ業界の専門家とIT専門家の両方の研究を支援します。適切なツールは、不正確な結果を追いかけながらリソースを費やすことを避けるため、誤検出を制限する必要があります。組織は、脅威インテリジェンスに積極的に参加する必要はありませんが、ITスタッフは、一般的なソフトウェアで報告されている最新の脆弱性とエクスプロイトを定期的に確認する必要があります。簡単な調査によって、企業はソフトウェアにパッチを適用し、脅威が重大なデータ漏洩に発展する前に阻止することができます。
最先端の脅威インテリジェンスサービス
より詳しい関連データとセキュリティツールとのシームレスな統合を実現するため、プルーフポイントの最先端の脅威インテリジェンスが、どのようにタイムリーで正確なサイバー脅威インテリジェンスを提供しているかをご覧ください。
米オスターマンリサーチ:脅威インテリジェンスの価値
サイバーセキュリティは、高度で資金力のある悪質業者と、その攻撃から企業ネットワークを守るべき人々との間で継続的な戦いが繰り広げられています。しかし、残念ながら、後者が勝利を収めることはほとんどないことが報告されました。
ソリューション概要:プルーフポイントの高度サイバーセキュリティ対策
プルーフポイントの高度サイバーセキュリティ対策は、重要な情報を保護し、適切なインテリジェンスとツールを用意して、問題が発生したときに迅速に対応できるようにします。