脅威インテリジェンス

さまざま業界において脅威が迫る中、脅威インテリジェンスプラットフォームでプロアクティブな対策を。

Rapid7 Threat Comamnd

脅威インテリジェンスとは

脅威インテリジェンス(TI、サイバー脅威インテリジェンスとも呼ばれる)とは、セキュリティ組織が迫り来る脅威やリスクに関して収集する情報を指します。こうした脅威に関する情報を自動で優先順位付けし、その後の復旧作業に必要なデータを提供できる脅威インテリジェンスを利用することが理想的です。

TIの実務担当者は、セキュリティ組織のあらゆる部署が、検知、対応、全体的なリスク管理という日常業務の一環として、脅威データを効果的に活用するために取り組むという任務を負っています。TIに関連し、Forresterは最近、複雑化が進む脅威の状況に際し、セキュリティチームが脅威インテリジェンスを管理し、ビジネスを保護するために内部プロセスを採用する必要があることを指摘しました。

業界や地域にかかわらず、世界中で脅威の被害が増加して身近に迫る中、脅威インテリジェンスプラットフォームは脅威を未然に防ぐ強力なツールとして活躍します。防御は確かに重要ですが、脅威インテリジェンスでは、セキュリティオペレーションセンター(SOC)から見えにくく、対応しにくい傾向も把握することが出来ます。こうした情報があれば、SOCは脅威の動向に合わせてリスクを把握し、セキュリティ対策を強化できます。

脅威インテリジェンスが重要な理由

脅威インテリジェンスプラットフォームは、潜在的な脅威について事前に把握し、脅威アクターが悪用する可能性のある脆弱性を防御するためにも重要です。脅威インテリジェンスはまた、重要な収益を守るためにも役立ちます。阻止する脅威が多ければ多いほど、ビジネスに代わってより多くのお金を節約できます。堅実な脅威インテリジェンスプログラムの重要性を示すいくつかのメリットを見てみましょう。

  • 非常に重要な監査 : 時間と手間がかかるプロセスにも思われますが、セキュリティ組織がTIプログラムに対して求める要素を正確に把握するためには、これ以上の手段はありません。優先順位付けされたインテリジェンス要件(PIR)を作成すると、全体的に望ましい結果につなげることができます。
  • アクセスの拡大 : 現在、多くのTIベンダーでは脅威インテリジェンスへのアクセス拡大に取り組んでおり、より多くの人が利用でき、セキュリティ担当者がそれを元に対応しやすい体制づくりを目指しています。さらに、実用的な洞察をセキュリティデバイスとTIプラットフォームにシームレスに統合できるようになりました。
  • 修正の自動化 : 脅威インテリジェンスのアクセス拡大とは、実務者がさらにデータにアクセスしやすくなるだけでなく、デバイスが実際に実用的なデータを受信し、差し迫った攻撃を自動的に遮断できるようになることも意味します。これをプロセスに組み込んだTIプログラムやソリューションこそ、真に価値があると言えるのです。

実用的な脅威インテリジェンスの登場で、多くのプロセスが自動化され、セキュリティ組織が大量の未分析のデータを抱えてただ攻撃を待つのではなく、実際にそれらのデータを活用できるようにするという点で、近年は飛躍的な進歩が見られました。

脅威インテリジェンスが役立つ場面

言ってしまえば、誰もが脅威インテリジェンスの恩恵を受けていると言えます。 今日インテリジェンスを活用することで、SOC担当者の負担を減らし、ビジネス全体のコストを節約し、企業やその商品に対する顧客の信頼を高めることができます。 、TIこのページはセキュリティ担当者をターゲットとしているため、 脅威の検出と対応を容易にするという脅威インテリジェンスのメリットを直接的に受けるのは、セキュリティ組織内のアナリストと担当者です。 脅威インテリジェンスの利点とは

  • 時間の節約 : 脅威のリスクを人の手で特定することにかかる時間は、高性能なTIフレームワークを持っていないSOCが抱える深刻な課題となっています。自動化を活用することで、系統的なTIソリューションに作業の大半を任せ、脅威特定にかかる時間を節約することが出来ます。
  • 攻撃の影響を最小限に抑える:攻撃可能領域(アタックサーフェス)が世界中に拡大する中、セキュリティ組織は、膨大な量の脅威から自社と顧客を守るため、過剰な負担を強いられています。脅威インテリジェンスによって誤検知率を下げることができれば、全体的なセキュリティ体制を改善できる可能性があります。
  • 優先順位付け : 脅威対ノイズ比を下げるには、優先順位付けが重要となります。AIや機械学習(ML)など、重要度が高まるテクノロジーを活用することで、SOCは有効ですぐに対応に移せるアラートを確認できます。
  • 対応の効率 : 適切に優先順位付けを行えば、他のセキュリティ関連のビジネス施策に集中する時間が増えます。ノイズを無視し、有効なアラートに対応し、脅威をより迅速に排除でき、結果として時間を大幅に節約することができます。このためには、ステークホルダーが実務者と連絡を取り合い、注意が必要な他のセキュリティ領域を特定する必要があります。

脅威インテリジェンスのライフサイクル

TIを実用的な情報に変えるのは簡単なことではありません。生データを取得し、それを真のインテリジェンスへ変換するには、フレームワークが必要です。ただ、進化する脅威の状況に対応するにはどんなフレームワークが必要となるのでしょうか。まずは、現在と将来に適応可能なTIのライフサイクルを定義しましょう。

方向性を決める

方向設定へのアプローチを決める上ではPIRが役立ちます。このプロセスでは通常、具体的なPIRの概要を説明し、次に望ましい結果を定義することから始めます。

収集するデータの優先順位を付ける

どのインテリジェンスが、あなたのチームが定義する方向性に最も役立つでしょう? インテリジェンスは、エンドポイント、サードパーティベンダー、 ダークウェブ、アプリケーションセキュリティプロセスとプラットフォームなど、ユースケースに応じて、ネットワーク上やネットワーク以外の様々なソースから得られます。 関連するすべてのソースからデータを収集して、最も適切な洞察を得ます。

分析のアプローチを設定する

このレベルでセキュリティを高速化するには、可能な限り多くの自動分析を活用することが大切です。もちろん、SOCでは手動の分析を行うこともでき、人間によるレビューから多彩な洞察が生まれる可能性があることも事実ですが、時間がかかるというデメリットがあります。脅威を自動で分類できれば、自動で修復できる可能性が高くなります。

分析を拡げる

このライフサイクルでの最終的な目標は、フレームワークに従って徹底的に分析を行った後に、差し迫った攻撃や脅威を自動的に防止するためにセキュリティデバイスに配布できる役立つインテリジェンスを提供することとなります。

したがって、適切なソースからインテリジェンスを引き出し、コンテキスト情報を含むアラートを自動的に生成し、 脅威を自動的に修復してプロセスを終了するソリューションを構築することが重要です。

脅威インテリジェンスの種類

サイバーセキュリティの脅威インテリジェンスは、ビジネスに直接的な影響を及ぼします。脅威のリスクを迅速に解消できるか、ライフサイクルが適切に定義されていないためにインテリジェンスが無駄になるかが成否の分かれ目となります。

Forresterは、ビジネスインテリジェンスを「生データを意味のある有用な情報に変換するものであり、企業全体のパフォーマンスの向上に貢献する、より効果的な 戦略的戦術的、 運用 上の洞察と意思決定を可能にするもと定義しています。 これら3つは脅威インテリジェンスでも同じです。それぞれについて詳しく見ていきましょう。

戦略的なTI

戦略的なインテリジェンスは、長期的な脅威とその影響に焦点を当てており、地理的な場所ではなく戦術と動機に注目して攻撃者を評価し、それらの脅威が組織へ与える影響を判断することにも役立ちます。通常、上位の意思決定者にはこの種のインテリジェンスが報告されるため、レポート内容をできるだけ分かりやすくすることが重要です。

運用上のTI

運用上のインテリジェンスでは、すぐに緩和することが求められる場合の短期的な脅威に焦点を当てており、他の取り組みの優先順位が迅速に変更されます。また、実際に誰がどのように標的にされているかを評価するのにも役立ち、ステークホルダーが即時に取るべき脅威対応措置を決定することに役立ちます。

戦術的なTI

戦術的インテリジェンスでは、主に攻撃者が取る行動に焦点を当て、アクセスの取得や侵入拡大に特定の方法やツールを使用しているかどうかなどを分析します。積極的に稼働状況を監視し、レポートに携わる担当者が戦術的脅威インテリジェンスツールを使用しますが、些細な危険信号を見つける能力が必要となります。

セキュリティに最適なものはビジネスにも最適であることを覚えておくとよいでしょう。

脅威インテリジェンスの使用例

ユースケースはさまざまです。 セキュリティインテリジェンスツールは 、ビジネスの運用とサイバー強度のセキュリティと整合性に対するあらゆる種類の脅威に積極的に対処するのに役立ちます。

  • 認証情報の漏洩 : TIは、権限のないユーザーにより漏えいした可能性があったり、そうしたユーザーの悪用に対して脆弱性のあるユーザー名とパスワードの特定に役立ちます。
  • 脅威マッピング : TIは、進化するデジタルフットプリントの追跡のための動的な資産マッピングのフレームワーク構築を支援します。起こりうる攻撃ベクトルを特定し、エクスポージャーが発生する可能性のある場所を把握することに役立ちます。脅威アクターに関するインテリジェンスを組織固有のデジタルフットプリントに自動で関連付けることが、脅威マッピングの中心となります。
  • ブランドと不正防止 : TIは、評判の低下を軽減し(詳細はデジタルリスクに対する保護を参照)、ブランドを使用している可能性のあるサイバー犯罪者によるドメインスプーフィングとIPアドレススプーフィングの監視を支援します。また、ダークウェブで販売されている貴重なデータを監視することもでき、フィッシング詐欺に対する防御に加え、ITシステムと評判の両方を保護することに役立ちます。
  • 攻撃面の監視 : TIは、既知のIP範囲やドメイン名に関連付けられている外部向け資産の特定に役立ちます(詳細はProject Sonarを参照)。脅威を隈なく検出、公開されたエンドポイントサービスとのやり取り、SSL証明書、HTTP応答内のHTMLリンク、サービスバナーなどのメタデータの収集を確実にできるスキャンが必要となります。

脅威インテリジェンスに関するその他の記事

Rapid7の脅威インテリジェンス製品の詳細

効果的な脅威インテリジェンスプログラムのための4つの簡単なステップ

サイバー脅威インテリジェンス(CTI)の進化

脅威インテリジェンスに関するニュース: 最新のRapid7ブログ記事