脅威インテリジェンスプラットフォーム(TIP)とは?
脅威インテリジェンスの収集、管理、共有
脅威インテリジェンスプラットフォームの目的
今日のサイバーセキュリティの世界は、膨大なデータ量、アナリスト不足、複雑化を続ける敵からの攻撃など、複数の共通の問題を抱えています。現在のセキュリティインフラストラクチャはこの情報を管理するためのツールを数多く提供していますが、ツール間の自動連携はほとんど行われていません。これは、システム管理のためにエンジニア膨大な労力が浪費されており、限りあるリソースと時間が無駄になっているということです。
これらの問題に対処するため、多くの企業が脅威インテリジェンスプラットフォーム(TIP)の導入を選択しています。脅威インテリジェンスプラットフォームを SaaS として、またはオンプレミスソリューションとして導入することで、サイバー脅威インテリジェンスの他、アクター、キャンペーン、インシデント、シグネチャ、レポート、TTP などの関連項目を容易に管理できるようになります。次の 4 つの重要な機能を実行できるものが、脅威インテリジェンスプラットフォームと呼ばれます。
- 複数のソースからのインテリジェンスの集約
- データの収集、エンリッチメント、リスクのスコア化
- 既存のセキュリティシステムとの連携
- 脅威情報の共有と分析
脅威インテリジェンスは強力なセキュリティ体制を実現するのに不可欠であると答えた回答者
膨大なサイバー脅威データの扱いに苦労している組織
TIP の定義
脅威(Threat)
ネットワークの計画された正常な運用に他者がアクセスする、またはそれを妨害する危険性。今日の一般的な脅威には次のものがあります。
インテリジェンス(Intelligence)
アナリスト(人間)によって取得された、またはシステム内のイベントにより特定された脅威の知識。インテリジェンスは幅広い意味を持つ用語ですが、TIP は次のように自動化可能なタイプのインテリジェンスをアナリストに示します。
- IOC を含む、攻撃の技術的知識
- 完成したインテリジェンス – 入手できる情報を確認し、状況認識に関する結論に達して、潜在的な結果や将来の攻撃、または敵の能力を予想する。
- ヒューマンインテリジェンス - フォーラムに潜んで疑わしい行動をチェックしたりすることで、人間が収集するインテリジェンス
プラットフォーム
アナリストがこれまで自分で行っていた作業の大半を自動化/簡素化する脅威インテリジェンス管理を提供、および既存のツールや製品との自動連携が可能な製品パッケージ。
TIP を利用する部門
脅威インテリジェンスプラットフォームは組織内の多くの部門に有用です。
セキュリティ運用センター(SOC)チーム
このチームは日々の運用業務に携わり、脅威が発生した場合の対処を担当します。TIP は統合、エンリッチメント、スコア化などの日常業務を自動化します。
脅威インテリジェンスチーム
このチームは、アクターやキャンペーンなどの関連性やコンテキスト情報に基づいて予測を立てます。TIP はこのプロセスを簡素化および合理化する情報の「ライブラリ」を提供します。
経営・幹部チーム
TIP により、技術レベルと概要レベルの両方でレポートを表示できる単一プラットフォームが経営陣に提供されます。これにより、インシデントが発生した場合にデータを効果的に共有して分析することが可能になります。
データの集約
脅威インテリジェンスプラットフォームはさまざまなソース/フォーマットのデータを自動的に収集し、調整します。さまざまなソースから情報を取り込むことは、強力なセキュリティインフラ基盤に不可欠な要素です。サポート対象のソースとフォーマットは次のとおりです。
ソース:
- オープンソース
- 有料サードパーティ
- 政府
- 信頼できる共有コミュニティ(ISAC)
- 社内
フォーマット:
- STIX/TAXII
- JSON および XML
- 電子メール
- .csv、.txt、PDF、Word 文書
データの標準化とエンリッチメント
さまざまなフィードからデータを収集すると、分類が必要な IOC は 1 日当たり数百万に上るため、効率的なデータ処理が不可欠です。処理には複数のステップがありますが、データの標準化、重複排除、エンリッチメントの 3 つが主要な要素です。
これらに取り組むには、コンピューターへの負荷、アナリストの時間、コスト面の大きな負担が必要です。脅威インテリジェンスプラットフォームによってこれらのプロセスが自動化されるため、アナリストは収集したデータの管理ではなく分析に時間を費やすことができます。
- 標準化 - ソースやフォーマットが異なるデータを統合
- 重複排除 - 重複した情報を削除
- エンリッチメント - フォルスポジティブの排除、IOC のスコア化、コンテキストの追加
自動連携
標準化、精査、エンリッチメントを行ったデータはシステムに提供し、自動的なアクションや監視に使用できるようにする必要があります。これは、空港の搭乗拒否リストのように、「サイバー搭乗拒否リスト」を提供することが目的です。背景知識に基づいて、特定の IP やドメインなどがネットワークにアクセスしたり使用したりすることを禁止します。
脅威インテリジェンスプラットフォームはバックグラウンドで SIEM やログ管理システムと連携し、顧客のネットワークインフラストラクチャ内のセキュリティソリューションへ引き渡します。そのため、アナリストはこれらの統合を構築、維持する責任から解放されます。
自動連携が可能なセキュリティ製品は次のとおりです。
- SIEM
- エンドポイントセキュリティ
- ファイアウォール
- IPS
- API
分析と対応
脅威インテリジェンスプラットフォームは、潜在的脅威の分析と対策を支援する機能を提供します。具体的には、これらの機能によりアナリストの以下の作業をサポートします。
- 脅威の探索
- 調査ワークフローの提供
- 「脅威」の幅広い意味や背景の理解
- 情報の共有
TIP はすべてのデータ、エンリッチメント、その他入手可能なすべてコンテキストを取り込み、その情報をダッシュボード、グラフ、アラート、メモといった使いやすい形で表示します。
また、調査や収集のプロセスを自動化し、応答時間を大幅に短縮することでアナリストをサポートします。 脅威インテリジェンスプラットフォーム の分析に関する固有の機能として、次のものがあります。
- IOC の拡張と調査のサポート
- インシデントのエスカレーションと応答プロセス
- アナリストのワークフロープロセス
- インテリジェンス製品の開発およびそれらの関係者との共有
