脅威インテリジェンス プログラムの構築についての考え方
セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。最新の Voice of the Community ブログ シリーズの投稿では、 Microsoft 製品マーケティング マネージャーのNatalia Godylaが、SANS Institute の認定インストラクターであるRed Canary インテリジェンス ディレクターのKatie Nickelsと対談しています。このブログでは、効果的な脅威インテリジェンス チームを構築するための戦略、ツール、フレームワークを Katie が共有しています。
ナタリア: サイバー脅威インテリジェンス (CTI) チームはどこから始めるべきですか?
Katie : 脅威インテリジェンスは、組織が意思決定を行い、何が重要で何が重要でないかを理解するのに役立ちます。多くのインテリジェンス チームは、実際には必要のないツールやインジケーター フィードから始めます。私の推奨事項は、Intel チームの潜在的な消費者に耳を傾け、彼らが直面している問題を理解し、彼らの課題を要件に変換することです。 セキュリティ オペレーション センター (SOC)のアナリストがいる場合は、彼らの問題点について話してください。大量のアラートが発生し、どれが最も重要かがわからない場合があります。何か大きなことが起こったときに何をすべきかわからないシステム管理者に相談してください。管理者が重要な脆弱性を理解するのを助けるのと同じくらい簡単かもしれません。
インテル チームは、これらの要件を達成する方法を決定できます。戦術、技術、手順 (TTP)、および脅威の指標を追跡する方法が必要になる可能性があるため、脅威インテリジェンス プラットフォームを取得することにしました。あるいは、敵対者がネットワークで何をしているかを理解するために、エンドポイントの収集が必要な場合もあります。彼らは、敵対的な行動を整理するのに役立つフレームワークやモデルが必要だと判断するかもしれません。要件から始めて、チームが解決する必要がある問題を尋ねることは、大きな影響を与える方法を理解するための鍵です。
また、脅威インテリジェンス アナリストは無私無欲でなければなりません。私たちは他の人のために知性を生み出すので、要件を設定することは話すことよりも聞くことに重点を置いています。
Natalia: 脅威インテリジェンス ツールを選択する際、セキュリティ チームは何を考慮すべきですか?
Katie : 私はいつも、史上最高の CTI ツールの 1 つはスプレッドシートだと冗談を言っています。もちろん、スプレッドシートには制限があります。多くの組織は、MISP などの無料のオープンソース ソフトウェアまたは商用オプションの脅威インテリジェンス プラットフォームを使用します。
ツールについては、CTI アナリストはこれらすべてのスレッドを利用する方法を必要としています。組織は無料のツールから始めることをお勧めします。 Twitter は脅威インテリジェンスの驚くべき情報源です。 Twitter でハッシュタグをフォローするだけで、Qbot のようなマルウェア ファミリを追跡し、驚くべき情報を得ている研究者がいます。オンライン サンドボックスなど、優れた無料のリソースがあります。 VirusTotal には無料版と有料版があります。
チームが成長するにつれて、無料のツールを試して壁にぶつかるレベルに到達する可能性があります。ドメイン情報を長年にわたって収集できるため、多くの価値を提供する商用ツールがあります。パッシブなドメイン ネーム サーバー (DNS) 情報または WHOIS 情報を参照してピボットできる商用サービスがあります。これは、チームが脅威について知っていることを相互に関連付けて構築するのに役立ちます。 Maltego には、便利なグラフ作成およびリンク分析ツールの無料バージョンがあります。
ナタリア: 脅威インテリジェンス チームはどのようにフレームワークを選択する必要がありますか?彼らはどれを考慮すべきですか?
Katie : 大きな 3 つのフレームワークは、Lockheed Martin Cyber Kill Chain®、Diamond Model、およびMITRE ATT&CKです。 4 つ目がある場合は、Verizon が年次データ侵害調査レポートで使用しているフレームワークである VERIS を追加します。どのフレームワークが最適かという質問をよく受けますが、アナリストとしての私のお気に入りの答えは、常に「何を達成しようとしているかによって異なります」です。
ダイアモンド モデルは、アナリストがアクティビティをまとめるための素晴らしい方法を提供します。これは非常に単純で、侵入イベントの 4 つの部分をカバーしています。たとえば、攻撃者が特定のマルウェア ファミリと特定のドメイン パターンを使用しているのを今日確認し、来週その組み合わせを確認した場合、ダイヤモンド モデルはそれらが類似していることを認識するのに役立ちます。キル チェーン フレームワークは、インシデントがどこまで到達したかを伝えるのに最適です。偵察または最初のフィッシングが確認されましたが、敵対者は目的に対して何か行動を起こしましたか? MITRE ATT&CK は、TTP レベルまで追跡しようとしている場合に非常に役立ちます。敵対者が使用している動作は何ですか?これらの異なるフレームワークを組み込むこともできます。
ナタリア: 脅威モデルはどのように設計しますか?
Katie : 脅威のモデル化には非常に正式なソフトウェア エンジニアリング アプローチがあり、ソフトウェアに対する潜在的な脅威と、それを安全に設計する方法を考えます。私のアプローチは、それを単純化しましょう。脅威のモデル化は、敵対者が標的とする可能性のある組織が持っているものの交差点です。お客様から、「Lazarus Group と北朝鮮の脅威が非常に心配です」と言うかもしれません。私たちは、「あなたは国の真ん中にある小さなコーヒー ショップであり、このグループが過去に行ったことに基づいて、その脅威はあなたにとって最も重要ではないかもしれません.あなたにとってより関連性の高い脅威は、 おそらくランサムウェアだと思います。」ランサムウェアは、誰もが予想していたよりもはるかに悪質です。ほぼすべての組織に影響を与える可能性があります。大小の組織は、ランサムウェアの影響を等しく受けています。
チームがすべての脅威に集中すると、チームは燃え尽きてしまいます。代わりに、「攻撃者が欲しがる可能性のある、私たちの組織には何がありますか?」と尋ねてください。脅威に優先順位を付けるときは、仲間と話すことから始めるのが最適です。そこには豊富な情報があります。あなたが金融会社なら、他の金融会社と話をしてください。このコミュニティで私が気に入っている点の 1 つは、競合他社であっても、ほとんどの人が喜んで共有してくれることです。また、必ずしも脅威インテリジェンス アナリストと呼ばれているわけではないセキュリティ オペレーションの担当者も、依然としてインテリジェンスを行っていることを認識してください。脅威インテリジェンスを行うために、脅威インテリジェンス チームを持つ必要はありません。
ナタリア: 脅威インテリジェンスの未来とは?
Katie : サイバー脅威インテリジェンスはおそらく数十年前から存在していますが、歴史の範囲では、それは非常に短い時間です. ATT&CK や Diamond Model などのフレームワークにより、もう少し形式化され始めています。私はそれが構築され、私たちが行うことと行わないことの基準を備えた業界の専門化がさらに進むことを願っています.たとえば、分析を行う場合、考慮すべき点は次のとおりです。 ATT&CK のようないくつかのフレームワークを除いて、標準的な通信方法はありません。標準があると、人々は業界から出てくるものを信頼しやすくなります。
もう 1 つの希望は、ツールと自動化を改善して、人間のアナリストをサポートできるようにすることです。 「脅威インテリジェンスを自動化するにはどうすればよいですか?」とよく聞かれます。脅威インテリジェンスは、基本的に人間の規律です。人間は、複雑でバラバラな情報を理解する必要があります。脅威インテリジェンスには常に人的要素が含まれますが、どのツールがアナリストを強力にし、セキュリティ チームが下さなければならない決定をサポートできるかを理解する上で、業界としてより良い結果が得られることを願っています。
もっと詳しく知る
Katie の詳細については、 @likethecoinsで彼女をフォローしてください。Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイトを参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments