ブログ(トレンド&インサイト)

一次情報インテリジェンス(パート1)- Joseph and the Amazing Primary Color CTI Function

サイバー脅威インテリジェンス(CTI)は、組織のサイバーセキュリティ機能の重要な柱となります。しかし、すべてのインテリジェンスが同じように作成されているわけではなく、古臭くて時代遅れの危険性を示す指標から、刺激的な攻撃の詳細まで、様々な情報が含まれています。

インテリジェンスを洗練させようとすると、通常は量より質が優先されます。インテリジェンスの利害関係者の大半は、時間に制約があり、リーディングリストには既に十分な情報があります。したがって、最も差し迫った課題に関連した意思決定の優位性を利害関係者に提供できるような、高い影響力を持つインテリジェンスを生み出すことが課題となります。

CTI 機能がレポートの質を向上させる方法は様々あります。しかし、一次情報インテリジェンスの活用ほど劇的な改善をもたらすものはないでしょう。

一次情報インテリジェンス入門編

一次情報インテリジェンスとは、直接得た情報に基づいた報告を意味します。サイバーセキュリティでは、これは通常、目の前の脅威との直接の関係に基づく報告を意味します。

Mandiant 自身の一次情報データの多くは、例えば最も重要なネットワーク侵入などに対応した第一線での経験から得られたものです。また、Mandiant は、複数の業界にまたがる数百万のエンドポイントを保護する豊富なテレメトリー、攻撃者のインフラと行動を監視する有機的な収集機能、世界中に配置された複数のセキュリティ・オペレーションセンター、攻撃者の行動を積極的に発見して緩和するために活動するアドバンスドプラクティスチームからも恩恵を得ています。

しかし、一次情報インテリジェンスは有用な洞察力だけで占められているわけではありません。一般的には、二次情報インテリジェンスと比較されますが、二次情報インテリジェンスは、定義上、攻撃者の二次的な観測に基づいています。したがって、二次情報インテリジェンスは、メディアの記事、学術論文、または第三者の報告書に基づいている可能性があります。

そのため、FireEye を含む多くの組織は、一次情報と二次情報の両方を組み合わせて報告することになります。これは、二次情報から高品質の洞察が得られることは間違いないからです。最終的には、脅威の状況を神のように把握することはできません。そのため、外部情報源を利用することで、より広範な視点と追加的な洞察を得ることができるのです。

二次情報インテリジェンスが提供できる明確な貢献にもかかわらず、堅牢な一次情報主導のアプローチは、独自の非常に効果的な視点を提供するものであると考えています。

一次情報インテリジェンスの利点

攻撃者の行動を細部まで理解する

定期的に脅威アクターを直接観察することで、攻撃者の手口の詳細を知ることができます。このようなきめ細かなレベルでの理解を持つことは、様々な形式でのインテリジェンスの作成と普及の基盤となります(関連指標、経営者の視点、MITRE ATT&CK のプレイブック、あるいは、あえて深堀する人のための技術的な関連情報など)。

実際に観測された攻撃からインテリジェンスを構築することは、Mandiant の重要な活動の中心となっています。例えば、Mandiant の脅威インテリジェンスは、攻撃者が産業安全システムを操作するように設計されたマルウェアを展開した重要インフラ組織の侵害に対応した後、「TRITON」マルウェアファミリーの詳細な分析を提供することができました。

また、現場の理解に基づいたインテリジェンスは、報告が誤解されるリスクを減らすことで、曖昧さを取り除きます。二次情報源は、最初に観測された攻撃者の活動から最終報告書までの間のコミュニケーション・チェーンに追加のノードを導入します。このような追加のリンクは、ストーリーが異なる報告の繰り返しを経る中で、攻撃者の詳細が難読化されたり、修正されたりするリスクを増大させます。

例えば、詳細な技術報告書は、しばしば高レベルのメディア記事に要約されます。このようなメディア記事に基づいたインテリジェンスは、関連する利害関係者にとって有用な技術的詳細を提供することができません。対照的に、一次情報インテリジェンスは、中間者を排除しています。

攻撃者の行動を多角的に理解する

サイバーセキュリティには様々な一次情報源が存在し、幅広い情報源を活用することで、組織は自社の脅威の状況をよりよく理解することができます。これは、それぞれの情報源が異なる視点を提供してくれるからです。

ランサムウェアは、様々な一次情報を活用することで理解が深まる一例です。インシデント対応では、ランサムウェアが標的のシステムに到達した後、どのように動作するのかを理解するのに役立ちますが、これは、侵害後のランサムウェアオペレーションの需要が高まっていることを考えると、ますます重要な問題です。ここでは、マルウェアと攻撃者のインフラを追跡することで、これらのキャンペーンで使用されている多くのツールについてさらに多くの知見を得ることができます。

一方、エンドポイントのテレメトリーは、特定の地域や業界の業種に対する最も予見可能な脅威について、より広い視野を提供することができます。ダークウェブの犯罪フォーラムにアクセスすることで、販売のために宣伝されている新しい亜種を理解することもできます。ランサムウェアの活動にリンクされたデータ漏洩サイトを定期的に監視することで、公表された犠牲者を確認し、組織に影響を与える可能性のあるデータ漏洩の問題を確認することができます。

ここでのポイントは、これらの情報源のいずれかが優れているということではなく、これらを組み合わせることで、脅威の状況をより明確に把握することができるということです。

スピード

適時性は実行可能なインテリジェンスの重要な要素です。関連する指標であれ、新しい MITRE テクニックの使用であれ、CTI 機能は、攻撃者の活動と防御者への関連性のある実用的な洞察の普及の間の時間を短縮するように努力しなければなりません。

脅威アクターは常に革新を続けていますが、最前線での経験があれば、組織は脅威のスピードに合わせて行動することができます。目の前の脅威と直接関係のある情報源を活用することで、インテリジェンス機能は可能な限りリアルタイムに近い状態でインテリジェンスを提供することができ、完成された品質を保証されたインテリジェンス製品を提供することができます。

最後に

一次情報に基づくインテリジェンス能力は、攻撃者の行動に対する比類のない洞察力を提供します。現場の経験と専門知識を基にしたセキュリティ戦略を策定することで、組織は、自部門や地域の実情に即した 防御態勢をマッピングすることが可能となります。
しかし、一次情報インテリジェンスの付加価値は明らかであるにもかかわらず、その利点は、インテリジェンスが組織のセキュリティ機能の中に適切に統合されていなければ活用することができません。したがって、脅威インテリジェンスの利点を最大化するためには、組織は視野を拡大し、関連するプロセスと能力を特定することが極めて重要です。

このブログシリーズのパート2では、一次情報インテリジェンスを運用する方法と、実践的なステップをご紹介します。Mandiant Advantage:脅威インテリジェンスについての詳細はこちらをご覧ください。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:January 12, 2021 「Joseph and the Amazing Primary Color CTI Function (Part One) — An Introduction to Primary Source Intelligence