脅威インテリジェンスの共有 | Anomali
なぜ脅威インテリジェンスなのか

脅威インテリジェンスの共有

サイバーセキュリティの秘密兵器

共有する相手は?

脅威情報から価値を導き出す方法は様々あります。完全な脅威インテリジェンスプラットフォーム、脅威フィードの取り込み、一般的なセキュリティーツールの脅威インテリジェンスの機能などを利用してもよいでしょう。 脅威インテリジェンスからメリットを受ケル方法として採用されていない方法の一つに情報の共有があります。共有することにより、対応までの時間を短縮し、予防措置を講じることができます。

業界または政府が主導し、政府と企業・業界間の脅威インテリジェンスの共有は劇的に増加しました。 これらには次のものが含まれます:

情報共有組織

どのような共有の仕方がありますか?

共有の方法には2種類あり、誰が情報を共有するかによって定義されます。

一方向脅威インテリジェンス共有 -ある1つの企業が脅威インテリジェンスを作成し、それを取得する者と共有します。取得する側は情報を提供することはありません。 一方向脅威インテリジェンス共有には次のような例が含まれます:

  • オープンソース・インテリジェンス。オープンソース・インテリジェンス・フィードの取り込み、最近の攻撃のIOCと方法が記載された公開報告書のダウンロードなどを含む。
  • クローズドソースの報告書およびフィード

双方向脅威インテリジェンス共有 -提供された情報が取得されるが、組織メンバーからの情報を取り込むこともできます。 これらのプログラムでは共有は許可され奨励されますが、すべての組織で共有されているとは限りません。

アナリストと共有

共有することの懸念

脅威インテリジェンスは間違いなく価値のある物なのですが、組織が共有を躊躇する共通の懸念事項があるようです:

  • プライバシー保護と責任の問題 – これは、インテリジェンスの共有について正確に理解すること、法的書面にて保護条項を明記すること、最近の法律、共有するものの管理をすることで克服できます。
    • 共有の種類に関わらず、個人情報やデリケートな企業情報は共有前に除去することが望ましいでしょう。
    • 2015年のサイバーセキュリティ情報共有法案 (CISA) はプライバシー保護と責任についての懸案に対応する条項が含まれています。 これらの保護対策の一部は、特定の契約条項を満たされていることを前提としています。 CISAが特定の状況にどのように適用されるかを理解するためには、他の問題と同様、適切な法的アドバイスを受けることをお勧めします。
  • 「うちには提供する価値のある情報はありませんよ」 – どの組織も、全ての攻撃を経験しているわけではありません。 一見無意味に見える些細な情報も、現在あまり知られていない攻撃を世に知らしめるキッカケになるかもしれません。また、インテリジェンス分析のためには、情報が多く揃えば揃うほどいいのです。
  • 専門知識の不足 – あなた自身が訓練を受けたプロでないとしても、何らかのコンテキスト、受けた攻撃の観察情報、そして可能なら現場のスタッフによる分析等を追加していただくことが、コミュニティの役に立ちます。
  • 組織がハッキングされたことを外部に漏らしていいのか? – 侵害の詳細について、最低限必要な範囲以外の人々に話すことをためらうのは、あなただけではありません。しかし、共有する際に以下のようなベストプラクティスを守れば大丈夫です。

インテリジェンス共有をどこから始めるか、どこまで広げるか

あなたの組織が既に積極的にインテリジェンスを共有していても、まだしていなくても、共有をどこから始めるか、既に始まった共有をどこまで広げるかについて、いくつかのヒントを挙げます。

  • ツールとコミュニティ –脅威インテリジェンスを共有する適切なツールとコミュニティを選択します。 次のようなオプションがあります:
    • 電子メール。スタートとしては最もお手頃です。
    • Anomaliが提供する無料の Anomali STAXXのようなツール。これは、STIXとTAXIIによりIOC(インディケーター)の共有を支援します。
    • ISACなどの業界団体。これらは通常、共有用のメカニズムを持っています。
    • 地元の団体や他の業界のパートナーとの臨機応変な共有
    • Anomali ThreatStream のユーザは既に他の組織とIOCその他のインテリジェンスを共有したり、独自の共有用コミュニティを作ったりするための強靭なソリューションを手に入れています。
  • 共有して貢献しよう –観察した敵対行動、その時の状況コンテキスト、目撃した攻撃、インシデント対応の詳細などから共有を始めましょう。 最初に共有された情報に対する分析の方法がなくても気にしなくていいです。
  • 縦の関係以外と共有しましょう – 縦の関係にある組織以外と共有する機会を探しましょう。フュージョンセンターのようなローカライズされた組織でもよいでしょう。また、法律関係のチームや弁護士と協力して、団体間の共有をスムーズにする適切な契約書を作っておくことは必須です。
  • ハンティングと防衛の技術を共有しましょう –私達が情報を共有すればするほど、攻撃者はやりにくくなります 。 以下のものを共有することも検討しましょう:
    • 検索、特定のログエントリー等、脅威ハンティングの詳細
    • YARAルール、Snortシグネチャ、 Broルール、スクリプト等、効果的な防衛技術
  • 侵害の詳細を共有しましょう – 侵害の詳細を早く伝えることで同じく脅威を受けている人を助けて、早く侵害を阻止することができます。 また、ほかの組織から追加のリソースをもらえることで、追加情報をもらったり、より早く答えが分かったりして、インシデント対応がより容易になります。

シェアすることはケアすること。

脅威インテリジェンス共有のためのガイド

もっと詳しく知るには

もっと詳しく知りたい方は、ホワイトペーパーをダウンロードして、業界の縦のつながりを越えた共有、特定ターゲット情報のシェア等についてご覧ください。

今すぐ読む