脅威インテリジェンスを収集、管理、共有します
現在、サイバーセキュリティの世界は膨大なデータ量、アナリスト不足、ますます複雑化する敵の攻撃等、共通の問題をいくつか抱えています。 現在のセキュリティインフラは、この情報を管理するツールを数多く提供していますが、それらはほとんど統合されていません。 これはシステムを管理する膨大な技術的努力が、限られたリソースと時間の中で無駄になってしまっているということです。
これらの問題と戦うため、多くの企業が脅威インテリジェンスプラットフォーム (TIP)の導入を選択しています。 脅威インテリジェンスプラットフォームはSaaSとして、もしくはオンプレミスのソリューションとして導入でき、サイバー脅威情報やアクター、キャンペーン、インシデント、シグネチャ、レポート、TTP等の関連項目の管理を容易にすることができます。 次の4つのキーとなる機能を実行する能力により定義されています:
情報ネットワークの正常な操作により、他者がアクセスができてしまう可能性。 今日の共通の脅威には次のようなものがあります:
脅威に関して、人間による分析またはシステム内のイベントにより獲得された知識。 インテリジェンスというと幅が広いのですが、TIPは自動化できる特定の種類のインテリジェンスをアナリストに報告します。インテリジェンスには次のようなものが含まれます:
既存のツールや製品に統合できる製品パッケージで、アナリストがこれまで自分でしていた作業をを自動化もしくは軽減する脅威インテリジェント管理システムを提供するもの。
脅威インテリジェンスプラットフォームは組織内の多くの部署の役に立ちます
このチームは日々のタスクに集中し、脅威が起こった時にそのつど対応します。 TIPはインテグレーション、業務拡大や評価等のルーチン活動を自動化します。
このチームはアクターやキャンペーンの状況による(contextual)情報に基づいて、予想を立てます。TIPはこのプロセスを簡素化し、最適化する情報を提供します。
TIP は技術的レベルと高レベルの両方でレポートを見られる単一のプラットフォームを経営陣に提供します。 これにより、インシデントが起こるたびに、データを効果的に共有して分析ができます。
脅威インテリジェンスプラットフォーム は様々なソースやフォーマットから、自動的にデータを収集します。 様々なソースから情報を取り込むことは強いセキュリティ・インフラのためには必須の要素です。 サポートされているソースとフォーマットには次のものがあります:
ソース:
フォーマット:
様々なフィードからデータを収集すると1日にソートするIOCは何百万という数になります。効率的なデータ処理が必要不可欠です。 処理にはいくつかのステップがありますが、それは標準化、重複排除、データのリッチ化の三大要素で成り立ちます。
コンピュータへの負荷、アナリストの時間、金額的な面から言うとこれらはとても高額になります。 脅威インテリジェンスプラットフォームはこれらのプロセスを自動化するため、アナリストは収集されたデータを管理するよりも分析する方に時間をかけられるようになります。
標準化、審査、リッチ化されたデータは自動的な行動と監視に使用できるよう、システムに移します。 この目的は、これらのテクノロジーに対して空港の搭乗拒否リストのように、「サイバー搭乗拒否リスト」を提供することにあります。 経歴情報に基づくならば、特定のIP・ドメイン等は、アクセスしたり、ネットワークに入れるべきではありません。
脅威インテリジェンスプラットフォーム は SIEM およびにログ管理システムベンダーと協力し、顧客のネットワークインフラにおいてIOCをチェックし、セキュリティーソリューションに引き渡します。 これらのインテグレーションを構築し、維持していく負担はアナリストの手を離れ、SIEMおよびTIPベンダーが肩代わりしてくれるのです。
統合できるセキュリティ製品は次のようなものがあります:
脅威インテリジェンスプラットフォームは、アナリストによる潜在的脅威の分析を支援し、通信の手間を減らす機能を提供します。 具体的には、これらの機能がアナリストをサポートします:
TIP はすべてのデータ、リッチ化、その他入手可能なコンテキストをすべて取り入れ、ダッシュボード、ルーラー、アラート、メモ等、価値を生み出す方法で表示します。
脅威インテリジェンスプラットフォームはリサーチと収集プロセスを自動化し、レスポンスに要する時間を縮めることでもアナリストをサポートします。 脅威インテリジェンスの分析部分に含まれる機能の幾つかを挙げると…