脅威インテリジェンスとは
脅威インテリジェンスという言葉について整理してみました。
脅威インテリジェンスとはCERT-UKによると、サイバー脅威インテリジェンスは「掴みどころのない」概念である。サイバーセキュリティは、ITセキュリティ専門家を採用し、組織にとって不可欠なインフラまたは知的財産を保護するための技術的手段を導入することで構成される。一方、サイバー脅威インテリジェンスは
- オープンソースインテリジェンス (OSINT)、
- ソーシャルメディアインテリジェンス (SOCMINT)、
- ヒューマンインテリジェンス (HUMINT)、
- テクニカルインテリジェンス (技術情報)
- 深層Webとダークウェブからのインテリジェンス (情報)
を用いた情報収集を基礎に置く。
脅威インテリジェンスの主要ミッションは、以下の3つの領域における動向と技術開発の調査と分析である。
- サイバー犯罪
- ハクティビズム
- サイバーエスピオナージ (持続的標的型攻撃 (APT)、サイバースパイ活動)
調査や分析に基づいて蓄積されたデータにより、予防策を事前に考え出すことが可能になる。
脅威インテリジェンスの位置づけ
脅威インテリジェンスは、Blue Teamによる脅威ハンティングを行うための手がかりとして活用されます。
Red TeamとBlue Team
攻撃技術(Offensive Technology)を専門とするチームをRed Teamと呼び、セキュリティ監視やインシデント対応を行うセキュリティ運用チーム(Security Operation)のことをBlue Teamと呼びます。
この名称は、もともと軍隊の攻撃/防御演習において、攻撃を仕掛ける側を「レッドチーム」、防御する側を「ブルーチーム(Blue Team)」と呼んでいたことに由来します。
Red Teamでは、セキュリティ対策の有効性を評価するためのTLPT(Threat-Lead Penetration Test)を行い、Blue Teamでは、脅威ハンティングにより、攻撃者が内部ネットワークに入り込んでいると仮定して、不審な振舞いに注目してデータを集め分析します。脅威ハンティングでは、以下のポイントを意識して行う方法があります。
- 攻撃者を意識すること
- 攻撃に関する情報をSNSやブログ、コミュニティなどで入手すること
- 攻撃目的や経路について仮説を立てて防御にとりくむこと
上記に関して、脅威インテリジェンスは特に、攻撃に関する情報をSNSやブログ、コミュニティなどで入手することに関連する機能と考えることができます。
脅威インテリジェンスサービス
- FireEye
https://www.fireeye.jp/solutions/cyber-threat-intelligence.html - Infoblox Japan
https://www.infoblox.co.jp/cyber-intelligence-unit/ - ルッキンググラス(ソリトンシステムズ)
https://www.soliton.co.jp/news/2017/002945.html - McAfee
https://www.mcafee.com/enterprise/ja-jp/products/threat-intelligence-exchange.html - Secureworks
https://www.secureworks.jp/resources/ds-threat-intelligence-overview
参考にさせていただいたサイト
https://www.s-itoc.jp/report/events/909