こんにちは ;)
技術本部のAIです。長く人間をやってきています。
Sumo Logic社のブログを日本語化したいと思ったが吉日、ということで定期的にSIEM製品メーカのブログを日本語にして公開していきたいと思います。
こちらはSumo Logic社のブログを日本語化したものです。
原文はこちらをご参照ください。
サイバー脅威は絶え間なく進化し、巧妙化し続けています。これに有利な立場にいるためには、脅威インテリジェンスをもはやオプションのツールとして扱うことはできません。それは積極的かつ防御態勢を整えた戦略の基盤となるものです。
脅威インテリジェンスフィードは、高度なトレンドから詳細な侵害指標 (IoC) まで、セキュリティチームにとって重要なインサイトを提供します。
しかし、単一のフィードだけではあらゆる潜在的な脅威をとらえることはできません。脅威の状況は急速に変化し、攻撃者は多様な手法やターゲットを使用します。この現実を踏まえると、組織は複数のフィードを活用する必要があります。それぞれのフィードが独自のインサイトを提供し、組み合わせることでリスクをより包括的に把握できるようになります。
Sumo Logic社が実施した複数の組織に対する最新調査では、脅威インテリジェンスの活用方法、ニーズ、優先事項が多岐にわたることが明らかになりました。これはSOCチームが自社のリスクプロファイルや目標に最適な形でフィードをカスタマイズしていることを示しています。
一部の組織はSOCの運用を支えるために戦術的フィードを重視する一方で、経営層向けのインサイトを得るために戦略的フィードを優先する組織もあります。この多様性は単なる好みではなく、それぞれの組織に最適化された効果的な防御を実現するために必要な対応です。
脅威インテリジェンスのカテゴリ
脅威インテリジェンスフィードとは、悪意のあるIPアドレス、ドメイン、ファイルハッシュ、攻撃パターンを含む潜在的もしくは進行中のサイバー脅威に関する有益なインサイトを提供する、整理されたデータのストリームです。脅威インテリジェンスには多様なデータが含まれていますが、フィードは一般的に4つの主要なタイプに分類されます。それぞれのフィードは異なる目的を持ち、リアルタイムのアラート提供から戦略的な指針の提供まで幅広く活用されます。
- 戦略的フィード
高度なトレンド、新たなリスク、攻撃手法に関するインテリジェンスを提供し、セキュリティリーダーが計画策定やリソース配分を行う際の支援をします。
- 運用可能なフィード
アクティブな脅威に重点を置いたこれらのフィードは、攻撃者によって現在使われている戦術 (Tactics)、技術 (Techniques)そして手順 (Procedures) (以下、3点をまとめてTTP)を監視し、関連する脅威に備えるためのインサイトをSOCチームに提供します。
- 技術フィード
非常に詳細なため、それらは即時対応に役立つ実用的なデータを提供します。技術フィードは、IPアドレス、ドメインおよびマルウェアハッシュ等の特定の侵害指標を提供するため、既知の脅威をブロックするために必要不可欠です。
- 戦術フィード
これらのフィードは迅速な対応を目的として設計されており、インシデント発生時にSOCが迅速に対応するために役立つ実(生)データを提供します。
単一のフィードですべての脅威ベクトルを捉えたり、進化するすべての攻撃をカバーしたりすることはできません。多くの組織は、これらの制限に対処するために、フィードタイプの組み合わせを採用し、カバレッジを最適化し、そして潜在的なリスクのより包括的な視点を提供します。
脅威インテリジェンスフィードでの主要なニーズの充足
脅威インテリジェンスフィードは、セキュリティチームに様々な機能を提供し、現代のサイバーセキュリティフレームワークの根幹を形成します。
- 積極的な脅威の検出
組織は、攻撃者よりさきに行動するために早期警報機能が必要です。インテリジェンスフィードはセキュリティチームに潜在的な脅威を特定することを可能にし、彼らに不正ドメインや有害なIPアドレスのような怪しい活動が内部システムに侵入する前に認識させる助けとなります。
- 強化されたインシデント対応と調査
インテリジェンスフィードは攻撃中もしくは攻撃後に重要な資産となり、チームがより大きな文脈(背景/状況)でインシデントを理解することに役立ちます。攻撃者の手法とパターンを特定することで、セキュリティチームが正確に対応し、セキュリティのギャップを速やかに狭めることができます。
- SOC効率向上のためのアラート強化
アラート強化は脅威インテリジェンスフィードの重要なアプリケーションです。アラートが脅威の深刻度、検出された指標に関連するTTPもしくは既知のキャンペーンへの関連性のような文脈情報で強化されると、SOC分析者はより早く、より情報に基づいた意思決定をすることができます。強化は生のアラートを行動可能な情報に変換し、トリアージにかかる時間を削減、そして対応の効率を向上させます。
- 役員レベルでの明確なセキュリティ判定
セキュリティリーダーには戦略的なアラート以上のものが必要であり、彼らは戦略的な決定を支援するインサイトを必要としています。これはセキュリティ投資が長期的な目標や脅威のトレンドと一致することを確保します。戦略的なフィードは計画とリスク軽減を支援する高度な情報を提供します。
各組織の唯一な環境、利用可能なリソースそして優先順位は、これらのニーズを満たすために情報を活用する方法に影響します。
組織が脅威インテリジェンスフィードをどのように活用するか
数十の組織を対象にしたSumo Logicの調査により、今日のさまざまな脅威インテリジェンスのアプローチに関する貴重なインサイトを得られました。
脅威インテリジェンスに対するアプローチは一つではありません。一部の組織では、SOCを稼働するために技術的なフィードを優先する一方で、他の組織ではハイレベルな意思決定のために戦略的なフィードを重視しています。たとえば、回答者の65%が日々のSOCオペレーションには運用フィードが必要不可欠だと認識していますが、その一方で40%の役員レベルの計画には戦略フィードが価値あるものだと認識しています。
こうした多様なニーズは、さまざまな脅威に直面している様々な分野に広がっています。組織は、業界固有のインテリジェンスを優先することで対応しています。たとえば、医療業界の回答者はデータ侵害やランサムウェアに焦点を当てたフィードを好みました。これはHIPAAコンプライアンスを含む患者の機密データを保護するという業界の取り組みを反映しています。
対照的に、小売業の回答者は決済セキュリティと電子商取引の脆弱性に重点を置いていました。これらのセクターでは、固有のリスクを反映した関連情報が最優先事項となっています。
多くの回答者がリアルタイムの技術的および戦略的フィードの重要性を強調し、約75%が即時アラートによってSOCがインシデント対応で優位に立つと報告しています。これらのフィードにより、特に小規模なセキュリティチームにとって、重大度の高い脅威の特定と優先順位付けが容易になります。
利用可能なインテリジェンスプロバイダー数の増加に伴い、組織はさらなるカスタマイズを求めています。回答者の何名かは、カスタマイズ可能なフィードを使用して優先度の高い脅威に焦点を絞り、ノイズを減らしてより効率的に集中できるようにしていると述べました。量よりも精度が求められるようになったため、特定のユースケースに合わせて調整可能なフィードの人気が高まっています。
調査回答者のほぼ半数が、オープンソースインテリジェンス (OSINT) フィードを使用して、つまりコミュニティと企業が共にデータを活用して商業的な選択肢を補っていると報告しました。これらのフィードは有償の情報に代わるものではありませんが、追加の認識する階層を提供し、追加費用なしで貴重なコンテキストを得ることができます。
実例:脅威インテリジェンスフィードの実際の使用
調査のフィードバックでは、組織が脅威インテリジェンスフィードを利用して、セキュリティ運用を強化する実用的な方法がいくつか明らかになりました。
- 早期に怪しいドメインの活動を見つける
組織は技術的フィードを使用して、自社のブランド名に類似したドメイン登録を追跡し、ユーザに影響を与える前にフィッシングやタイプミスを防止します。この早期検出は評判と顧客の信頼の両方を保護するために不可欠になっています。
- 運用フィードによるアラートの潤沢化
エンリッチメントはよくある活用事例であり、SOCがアラート検知に背景や文脈を加えることで、その具体性や関連性を高めることができます。組織はアラートを既知のTTPや脅威アクターのプロフィールと関連付けることで、アラートのトリアージを効率化し、対応時間を改善できます。たとえば、アラートが既知の脅威アクターのIoCと一致すると、そのアラートは優先度が高くなり、SOCチームがより迅速かつ効率的に対応できるようになります。
- 戦略的インテリジェンスによる投資の手引き
ハイレベルのインテリジェンスにより、セキュリティ投資を導き、規制対象の禁輸関連業界における新たな脅威を予測します。組織は戦略的なフィードを使用して、脅威のパターンを予測し、最も影響のある場所にリソースを割り当てます。
脅威インテリジェンスフィードの適切な組み合わせを選択する方法
脅威インテリジェンス戦略を改良す場合、適切なフィードの組み合わせを選択することが重要です。最善の選択を行うための考慮事項は以下のとおりです。
- フィードをビジネス目標に合わせる
インテリジェンスフィードは、組織の主要なリスクと規制上の義務に合わせる必要があります。たとえば、金融サービスでは詐欺情報の収集を優先し、テクノロジー企業は知的財産の保護に重点を置く場合があります。
- 量より質に重点を置く
脅威インテリジェンスでは、データが多いほど良いというわけではありません。厳選された高品質のフィードは、ノイズを減らし、アラート疲労を防ぐのに役立ち、SOCが影響力の大きい分析情報に集中できるようにします。
- 自動化を活用して効率を向上
現在、多くの脅威インテリジェンスプラットフォームには自動化が組み込まれており、組織はデータを迅速にフィルタリングして相関づけることが容易になっています。自動化により、優先度の高いアラートをより迅速にトリアージし、受信したインテリジェンスを解析するために必要な手作業の労力を削減できます。
- 特定のユースケースに合わせてカスタマイズ可能なフィード
調査結果から分かるように、特定の脅威に焦点を当てるようにカスタマイズされたフィードの必要性が高まっています。組織は範囲を絞りこむことでノイズを減らし、対応の取り組みを最適化できます。
脅威インテリジェンスの未来:カスタマイズとコンテキストインサイト
調査データから明らかなことは、脅威インテリジェンスフィードは包括的なサイバーセキュリティ戦略に不可欠であるということです。しかし、インテリジェンスのニーズは組織自体と同様に独特であり、脅威が複雑化し続けるにつれて、業界固有のカスタマイズされたインサイトの必要性も高まります。トレンドはカスタマイズとコンテキストの関連性を提供するフィードへ移行しており、セキュリティチームは無関係なデータにうもれることなく優位性を維持できるようになります。
インテリジェンス戦略に置いて、機敏性と適応性を維持する組織は、次に発生するあらゆる脅威に対処するための最適な態勢を整えることができます。常に警戒が必要な分野では、脅威インテリジェンスに対する柔軟なアプローチは有益であるだけではなく、必要不可欠です。
MITRE ATT&CK は、攻撃者の戦術・技術を特定し、脅威インテリジェンスを提供します。Sumo Logic は MITRE ATT&CK Coverage Explorer を使用して可視化し、セキュリティチームがギャップを特定して防御を最適化できるよう支援します。
Sumo Logic Cloud SIEM (CSE) で MITRE ATT&CK フレームワーク を活用してクラウドセキュリティを強化する方法をより知りたい方、興味のある方は、こちらをご参照ください。
- カテゴリ:
- Sumo Logic
- 技術情報
- 技術コラム
