脅威インテリジェンスとは何か
脅威インテリジェンスの定義
脅威インテリジェンス(TI、またはサイバー脅威インテリジェンス)は、既存および新たなサイバー脅威の調査と分析を通じて得られるコンテクスト情報です。脅威インテリジェンスは、サイバーセキュリティの専門家が脅威アクターの最新の戦術を理解し、積極的に防御するのに役立ちます。これにより組織は、新しい脅威タイプを検出し対応する能力を拡大できます。
通常、セキュリティチームは複数の脅威インテリジェンスソースを受け取っています。これらのソースは、セキュリティアナリストに生の脅威フィードを提供したり、チームのセキュリティツールに直接統合して新しい脅威タイプを自動検出したりすることもできます。この生データが処理され、解析され、解釈されると、実用的な脅威インテリジェンスになります。
脅威インテリジェンスが重要な理由
脅威インテリジェンスは、積極的なサイバーセキュリティ戦略の重要な構成要素です。サイバー脅威の検知と対応に必要となる重要なコンテクストを組織に提供し、リスクを軽減し、防御の強化を可能にします。
セキュリティオペレーションセンター(SOC)では、脅威インテリジェンスは、侵害の兆候(IoC)を特定することで、チームが脅威を検出、優先順位を付け、対応する上で重要な役割を果たします。これらには、サイバー攻撃に関連する悪意のあるドメイン名、IPアドレス、URL、またはファイルハッシュが含まれる可能性があります。さらに、脅威インテリジェンスフィードは、脅威アクターに人気のある戦術、テクニック、プロシージャ(TTP)に関する洞察を提供します。脅威インテリジェンスを活用することで、組織は標的型攻撃を予測し対策を講じることができ、セキュリティインシデントの発生確率と影響を低減し、最終的には全体的なセキュリティ体制を強化することができます。
脅威インテリジェンスにおいて考慮すべき重要な点は、3つあります。
- 脅威インテリジェンスは、定期的に、可能であればリアルタイムで更新する必要があります。最新のTIと攻撃手法によって、セキュリティチームは最適な検出ルールやその他のサイバーセキュリティ防御策を知ることができます。
- 脅威インテリジェンスはサイロ化できません。さまざまなソースからのTIをセキュリティワークフローに統合し、可視性と実装を確保する必要があります。
- コンテクストは重要です。脅威インテリジェンスを活用するセキュリティチームは、業界、技術スタック、地域、事業規模など、最も関連性の高い情報に依存しています。
脅威インテリジェンスの仕組み
脅威インテリジェンスは、さまざまなソースからデータを収集して分析し、潜在的な脅威を特定し、潜在的な脅威や現在の攻撃に関する実用的なインサイトを提供します。
サイバーセキュリティチームとしては、脅威インテリジェンスはアナリストによって収集されることもありますが、より一般的には、セキュリティ担当者が自分たちの環境に統合するフィードとして提供されます。いずれにしても、脅威データを収集、分析、解釈して脅威インテリジェンスレポートを作成することが目標です。
脅威インテリジェンスはどのように収集されますか?
脅威インテリジェンスアナリストは、オープンソースインテリジェンス(OSINT)、政府および法執行機関のインテリジェンス、商用脅威フィード、内部ログとテレメトリ、業界固有の情報共有および分析センター(ISAC)など、さまざまなソースからデータを収集します。
たとえば、2024年にElastic Security Labsの研究者はElasticの独自テレメトリーから10億以上のデータポイントを分析し、その結果を毎年発行されるElasticグローバル脅威レポートで発表しました。このレポートから得られるインサイトは、セキュリティチームが優先順位を設定し、ワークフローを調整するのに役立ちます。
通常、組織は民間および公共の情報源からの脅威フィードを活用します。各脅威インテリジェンスフィードは、現在および新たな脅威に関する継続的で精選されたデータストリームであり、積極的な対応を可能にします。
脅威インテリジェンスフィードからのデータを収集、整理、分析、解釈するのを自社のセキュリティチームに依存している組織もありますが、小規模なチームにはそれが困難な場合があります。大量の脅威インテリジェンスデータを手動で集約して管理する代わりに、脅威インテリジェンスプラットフォーム(TIP)を活用できます。TIPは、異なる形式の複数のソースからのデータのインジェストと準備を容易にするサイバーセキュリティツールです。TIPは、すべてのIoCを統合的に表示し、検索、並べ替え、フィルタリング、拡充、およびアクションを実行する機能を備えているため、インテリジェンスアナリストが報告された脅威を迅速に確認し、対処するのに役立ちます。
TIPを選択する際、セキュリティリーダーは次の重要な機能を確認する必要があります。
- データインジェストの容易さと、主要な脅威インテリジェンスプロバイダーとの脅威インテリジェンス統合の幅広さ
- Log4j、BLISTER、CUBAなどの重大かつ広く使用されている脆弱性を自動的に可視化する機能
- すべてのアクティブなIoCにアクセスできる一元的なビュー
- IoCをリアルタイムで検索、並べ替え、フィルタリングする機能
脅威インテリジェンスはどのように使用されますか?
脅威インテリジェンスは、既存および新たな脅威に関するデータを組織に提供し、より積極的な防御システムを構築します。脅威インテリジェンスが利用される最も一般的な方法には、次のものがあります。
- 潜在的な脅威の特定: 脅威インテリジェンスアナリストは、脅威フィードを監視し、データを分析することで、新たな脅威、攻撃ベクトル、または悪意のある行為者を積極的に検出できます。
- IoCの調査:脅威インテリジェンスアナリストは、IoCをリアルタイムで調査できます。コンテクストに基づくインサイトが加わることで、アクティブな攻撃をより迅速に検出し、封じ込めることができます。
- 脆弱性の優先順位付け:TIは、詳細なコンテクストのインサイトとリスクおよび潜在的影響に基づく脆弱性のランク付けを活用して、優先順位を付け、早急な対応が必要な脆弱性に焦点を絞ることができます。
- インシデントの検出と対応:脅威インテリジェンスは、環境内で現在アクティブな脅威を特定するのに役立ち、セキュリティチームが情報に基づいて迅速に行動できるようにします。
- セキュリティ戦略の策定:潜在的および既存の脅威の概要を把握することで、組織はより強固なサイバーセキュリティ戦略を確立できます。
TIを使用して、セキュリティチームは、サイバーセキュリティの脅威を特定し、防御するための組織の可視性、能力、専門知識を評価します。セキュリティリーダーは、次のような質問の回答を導き出すのにTIを使用します。特定された現在および新たな脅威は、組織の環境にどのような影響を及ぼすだろうか?この情報は、組織のリスクプロファイルを変更したり、リスク分析に影響を与えるだろうか?また組織のセキュリティチームは、制御、検出、あるいはワークフローにどのような調整を加える必要があるだろうか?
脅威インテリジェンスの種類
関係者、コンテクスト、脅威分析の複雑さに応じて、TIは戦略的、戦術的、運用的、技術的脅威インテリジェンスの4つのカテゴリーに分類されます。
戦略的脅威インテリジェンス
戦略的脅威インテリジェンスは、脅威の全体像とそれが組織に与える可能性のある長期的な影響を概観します。それには、地政学的なイベント、広範な業界トレンド、標的型サイバーセキュリティ脅威に関する情報が含まれます。
目標:リスク管理、長期計画、戦略的セキュリティ、ビジネス意思決定
関係者:経営幹部
戦術的脅威インテリジェンス
戦術的脅威インテリジェンスは、脅威アクターが使用するTTPについて詳細を提供します。これは、組織を標的とする可能性のある攻撃と、それらに対する最善の防御方法を説明します。
目標:防御またはエンドポイント、セキュリティコントロールの意思決定
ステークホルダー: SOCおよびITリーダー
運用的脅威インテリジェンス
運用的脅威インテリジェンスは、組織のために、より積極的な防御を構築します。そして企業を標的にする可能性が最も高い特定の脅威アクター、彼らが悪用する可能性のある脆弱性、あるいは彼らが標的にする可能性のある資産に関するインサイトを提供します。
目標:脆弱性管理、インシデント検出、脅威監視
関係者:SOCアナリスト、脅威ハンター
技術的脅威インテリジェンス
テクニカル脅威インテリジェンスは通常、IoCに焦点を当て、進行中の攻撃の検出と対応に役立ちます。この種のインテリジェンスは、変化するセキュリティ環境に継続的に適応し、自動化が最も容易です。
目標:インシデントレスポンス
関係者:SOCアナリスト、インシデントレスポンス担当者
脅威インテリジェンスのライフサイクルを知る
脅威インテリジェンスのライフサイクルは、生の脅威データを実用的なインサイトに変えるためのフレームワークです。このようなフレームワークを使用することで、組織はリソースを最適化しながら、絶えず進化する脅威の状況に対し、継続して警戒することができます。
脅威インテリジェンスのライフサイクルは通常、継続的なプロセス改善のためにループする6つの段階で構成されています。
- 計画。脅威インテリジェンスプログラム全体に明確な目標を設定することは、それを成功させるために極めて重要です。この段階では、チームは必要な目標、プロセス、ツールを決定し、それらの目標がビジネスおよびさまざまな関係者のニーズ(リスクと脆弱性も含む)に対応しているかどうかを判断する必要があります。
- データ収集。目標が設定されたら、さまざまなソースからデータを収集します。
- 処理。異なるソースからのデータは、形式が異なっている可能性があります。セキュリティチームは、この段階で生の脅威データを使用可能な形式に変換します。
- 分析。処理済みデータは分析の準備が整っています。チームは、計画段階で行った質問に対する答えを探し、パターンを特定し、潜在的な影響を評価し、データを意思決定者やステークホルダーにとって実用的な洞察に変換します。
- レポート。この段階で、セキュリティチームは分析結果をSOC内または経営陣と共有します。
- フィードバック。この段階でフィードバックが収集されるため、脅威インテリジェンスのライフサイクルが洗練されます。優先順位が変わることもあれば、脅威が進化することもあります。この段階では、TIプログラムの効率を確保するために調整と変更を行う必要があります。
TIライフサイクルは人間の脅威インテリジェンスアナリストと彼らの知識に依存していますが、脅威インテリジェンスの報告など、時間のかかる手順は自動化が可能です。Elasticは、Elastic AI Assistant for Securityを使用して脅威インテリジェンスレポートの作成プロセスを支援する合理化されたアプローチを提供します。マークダウンテンプレートとElastic AI Assistantのナレッジベースを使用します。
脅威インテリジェンスをセキュリティワークフローに実装する方法
脅威インテリジェンスは、組織のSecOpsワークフローを強化するものです。TIは、チームのセキュリティスタック内のツールと統合された時に、最大の効果を発揮します。自動化システムの一部として、さまざまなソースからの脅威データをセキュリティプラットフォームに直接取り込み、統合された分析と検出ワークフローを実現することが最も効果的です。
効果的なセキュリティプログラムには、脅威に対応し管理するためのツールを超えたワークフローが含まれます。これらのワークフローは、セキュリティインシデントを特定し、対応するために不可欠です。Elasticの検出エンジニアリング行動成熟度モデル(DEBMM)は、セキュリティチームがプロセスと行動を一貫して成熟させるための構造化されたアプローチを提供します。脅威インテリジェンスは、その重要な焦点の1つです。セキュリティチームが検出ルールの効果と精度を確保するには、良質なデータソースが不可欠です。これには、TIワークフローを組み込んで、関連する脅威コンテクストでテレメトリーデータを強化し、全体的な検出能力を向上させることが含まれます。
適切に統合された脅威インテリジェンスプログラムは、脅威データを組織のセキュリティインフラに取り込むことを容易にし、チームが脅威をより迅速に検出し対応するためのインサイトを提供します。