ブログ(トレンド&インサイト)

現場から得た一次情報の洞察を活用(パート2)- Joseph and the Amazing Primary Color CTI Function

このシリーズのパート1では、一次情報インテリジェンスについて紹介し、その利点について説明しました。これは、一次情報の洞察がいかに組織のセキュリティ態勢を強化するための重要な推進力となり得るかを浮き彫りにしました。

一次情報インテリジェンスには明確な利点がありますが、それ自体が目的であると考えるべきではありません。なぜなら、インテリジェンスは、セキュリティチームの幅広い成熟度、インテリジェンスを活用する能力、および他のデータソースと融合する能力に応じてのみ効果を発揮するからです。

本ブログでは、サイバーセキュリティ機能の中で一次情報インテリジェンスを運用する方法について、実践的なステップをいくつか紹介します。

基盤を確立する

これらの優れた一次情報の洞察で盛り上がる前に、CTIチームとサイバーセキュリティ機能が関連する基盤を整えることが重要です。一次情報インテリジェンスは目的を達成するための手段であり、主要なビジネス課題に関連する意思決定の利点を提供するという幅広い目標に役立つはずです。

これは、組織内のインテリジェンスの目的を理解することから始めることを意味します。パッチの優先順位付けや脅威ハンティングからリスク管理や戦略的意思決定に至るまで、組織がCTIを活用できる方法は最終的に多くあります。したがって、インテリジェンス機能は、インテリジェンスのユースケースを理解し、関連する内部の利害関係者との関係を構築し、インテリジェンスレポートが意思決定プロセスにどのように役立つかをよりよく理解できるようにする必要があります。

この明確な使命が達成されたら、インテリジェンス機能は、どの種類のインテリジェンスと情報が利害関係者の要件に最も適しているかを問う必要があります。利害関係者の要件にマッピングされた堅牢な収集プログラムは、高品質で実用的なインテリジェンスを生み出すための重要な要素です。一次情報インテリジェンスがビジネス上の課題解決に大きく貢献できる可能性がありますが、それでも常に推進力となるのは利害関係者の要件です。

統合

インテリジェンス情報は、セキュリティ機能のツールとテクノロジーに完全に統合されていると、より効果的になります。これには、たとえば、CTIフィードを脅威インテリジェンスプラットフォーム(TIP)、セキュリティ情報およびイベント管理(SIEM)システムに送信することが含まれます。洞察に満ちた一次情報インテリジェンスがどのようなものであっても、それは使用可能でアクセス可能な方法で提示されなければなりません。最終的に、CTIが既存のワークフローを補完して統合できれば、活用される可能性がはるかに高くなります。

CTIベンダーから得られた一次情報インテリジェンスは、組織に関連する脅威の幅広い理解を提供しますが、これは常に組織自体の内部運用環境に関する深い知識と統合する必要があります。内部ネットワーク内のインフラおよび資産に対してCTIをマッピングすることにより、セキュリティ機能は自身のエクスポージャーを理解できます。ここで、組織はまた、外部インテリジェンスを、極めて近い場所にある一次情報データ(つまり、独自のネットワーク内から取得したデータ)と統合する必要があります。
情報の組み合わせは、それらの部分の合計よりも強力になります。たとえば、FireEyeでは、インシデント対応エンゲージメントから収集されたインジケーターが、エンドポイントが追加の悪意のあるアクティビティを検出するのに役立つ可能性があります。これにより、高度な実践的エンゲージメントを介して追加の攻撃者の作戦を明らかにするための新鮮な洞察が得られる可能性があります。また、攻撃者のTTPに関する新しいコンテキストが発掘され、そのすべてが脅威インテリジェンス製品に提供されます。したがって、さまざまなCTI情報が相互に通知し、強力な相乗効果を生み出します。

経験的アプローチを採用する

サイバー脅威の状況は非常に複雑であり、攻撃のベクトルには事欠きません。しかし、すべての攻撃手法が組織に一様な脅威をもたらすわけではありません。ほとんどのサイバーセキュリティ機能は、何が本当に重要なのかに焦点を当て、優先順位をつけるための洞察力を必要としています。CTI チームは、脅威をもたらす可能性のあるすべての攻撃手法を網羅的にリストアップするのではなく、ノイズを選別し、最も重要かつ可能性の高い脅威をもたらす一握りの TTP を特定できるインテリジェンスによって、常により多くの価値を提供することができます。経験に基づくデータ駆動型の分析は、このアプローチの基盤となります。これは、一次情報インテリジェンスを利用することで可能になります。

新型コロナウイルス感染症(COVID-19)は、二次報告によってサイバー脅威の状況がどのように歪められるかの一例を示しています。2020年3月には、パンデミックに対する世界的な関心の高さから、ウイルスがソーシャル・エンジニアリング・キャンペーンでどのように活用されているかについての報道への関心が高まっていました。これらのレポートの多くが短期間で公開されているため、フィッシングメールの大部分に新型コロナ・ルアーが含まれていることは容易に想像できます。それでも、主流派の読者を対象としたサイバーセキュリティのレポートは、当然のことながら、目新しく、話題性のあるものを報道しています。結局のところ、誰がまた一般的なフィッシングメールを読みたいと思うでしょうか?

対照的に、Mandiant Threat Intelligenceは、悪意のある電子メール検出データを活用して、新型コロナのコンテンツが当時の悪意のある電子メールのわずか2%で使用されていることを確認できました。これは、CTIへのよりデータ主導のアプローチが、より広範な誇大宣伝やメディアの見出しの偏見から具体的な脅威をどのように解き明かすことができるかを浮き彫りにします。最終的に、サイバーセキュリティのニュース報道とインテリジェンスの両方が重要な機能を果たしますが、それらは異なる目的のために開発された根本的に異なる産物です。

同じ原則は、脆弱性インテリジェンスにも適用できます。複数のシステムやアプリケーションを実行している組織全体へのパッチ適用は、膨大な作業になる可能性があります。そのため、優先順位付けが非常に重要になります。しかし、ヘッドラインニュースに登場する卑劣で醜い脆弱性は、必ずしも重大な脅威をもたらす脆弱性とは限りません。

組織は、最も恐ろしい脆弱性に焦点を当てるよりも、状況に応じたアプローチを採用した方が良いでしょう。このアプローチでは、積極的に悪用されている脆弱性と、関連する地域や業界の業種に影響を与えている脆弱性の両方にパッチを当てることに優先順位をつけます。これにより、組織のパッチ適用の努力が標的型攻撃の防止につながる可能性が大幅に高まります。繰り返しになりますが、このようなコンテキストには、広範囲のテレメトリーと豊富なデータセットが必要です。

最後に

サイバーセキュリティ業界で長く働いていなくても、ただ注意を引くためのもの、誇大広告、疑わしい情報の数々に遭遇することがあります。一次情報インテリジェンスは、その存在を望むあらゆるサイバーセキュリティ専門家にとって、すべての課題を解決する特効薬とはいかないまでも、それが健全で切望されている根拠のある視点を提供できることは間違いありません。これにより、組織は本当に重要な脅威に集中することができます。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:January 21, 2021 「Joseph and the Amazing Primary Color CTI Function (Part Two) — Leveraging Primary Source Insight From the Front Lines