脅威インテリジェンスプラットフォーム(TIP)とは?
脅威インテリジェンスを収集、管理、共有します
脅威インテリジェンスプラットフォームの目的
現在、サイバーセキュリティの世界は膨大なデータ量、アナリスト不足、ますます複雑化する敵の攻撃等、共通の問題をいくつか抱えています。 現在のセキュリティインフラは、この情報を管理するツールを数多く提供していますが、それらはほとんど統合されていません。 これはシステムを管理する膨大な技術的努力が、限られたリソースと時間の中で無駄になってしまっているということです。
これらの問題と戦うため、多くの企業が脅威インテリジェンスプラットフォーム (TIP)の導入を選択しています。 脅威インテリジェンスプラットフォームはSaaSとして、もしくはオンプレミスのソリューションとして導入でき、サイバー脅威情報やアクター、キャンペーン、インシデント、シグネチャ、レポート、TTP等の関連項目の管理を容易にすることができます。 次の4つのキーとなる機能を実行する能力により定義されています:
- 複数ソースからのインテリジェンス収集
- データのキュレーション、標準化、リスクのスコア化
- 既存のセキュリティシステムとの統合
- 脅威情報の分析と共有
脅威インテリジェンスは強力なセキュリティ体制を達成するのに不可欠だと思う人の割合
サイバー脅威データが増えすぎて困っている組織の割合
TIPとは
脅威(Threat)
情報ネットワークの正常な操作により、他者がアクセスができてしまう可能性。 今日の共通の脅威には次のようなものがあります:
インテリジェンス(Intelligence)
脅威に関して、人間による分析またはシステム内のイベントにより獲得された知識。 インテリジェンスというと幅が広いのですが、TIPは自動化できる特定の種類のインテリジェンスをアナリストに報告します。インテリジェンスには次のようなものが含まれます:
- IOCを含む、攻撃の技術的知識
- 完成したインテリジェンス – 手に入る情報を見て、状況認識について結論を導き出し、潜在的な結果や将来の攻撃を予想し、敵の能力を予想するアウトプット。
- ヒューマンインテリジェンス -フォーラムに潜んだり、疑わしい行動をチェックしたりすることで、人間によって収集されたインテリジェンス
プラットフォーム
既存のツールや製品に統合できる製品パッケージで、アナリストがこれまで自分でしていた作業をを自動化もしくは軽減する脅威インテリジェント管理システムを提供するもの。
TIPを使うのは誰?
脅威インテリジェンスプラットフォームは組織内の多くの部署の役に立ちます
Security Operations Center (SOC) チーム
このチームは日々のタスクに集中し、脅威が起こった時にそのつど対応します。 TIPはインテグレーション、業務拡大や評価等のルーチン活動を自動化します。
脅威インテリジェンスチーム
このチームはアクターやキャンペーンの状況による(contextual)情報に基づいて、予想を立てます。TIPはこのプロセスを簡素化し、最適化する情報を提供します。
経営・役員チーム
TIP は技術的レベルと高レベルの両方でレポートを見られる単一のプラットフォームを経営陣に提供します。 これにより、インシデントが起こるたびに、データを効果的に共有して分析ができます。
データ集約
脅威インテリジェンスプラットフォーム は様々なソースやフォーマットから、自動的にデータを収集します。 様々なソースから情報を取り込むことは強いセキュリティ・インフラのためには必須の要素です。 サポートされているソースとフォーマットには次のものがあります:
ソース:
- オープンソース
- 有料サードパーティー
- 政府
- 信用できる共有コミュニティ (ISACs)
- 内部
フォーマット:
- STIX/TAXII
- JSON および XML
- Eメール
- .csv, .txt, PDF, Word ドキュメント
データの標準化とリッチ化
様々なフィードからデータを収集すると1日にソートするIOCは何百万という数になります。効率的なデータ処理が必要不可欠です。 処理にはいくつかのステップがありますが、それは標準化、重複排除、データのリッチ化の三大要素で成り立ちます。
コンピュータへの負荷、アナリストの時間、金額的な面から言うとこれらはとても高額になります。 脅威インテリジェンスプラットフォームはこれらのプロセスを自動化するため、アナリストは収集されたデータを管理するよりも分析する方に時間をかけられるようになります。
- 標準化 -異なるソースフォーマットのデータを統合
- 重複排除 - 重複した情報の削除
- データのリッチ化 -誤検出の排除、IOCの評価、コンテキストの追加
インテグレーション
標準化、審査、リッチ化されたデータは自動的な行動と監視に使用できるよう、システムに移します。 この目的は、これらのテクノロジーに対して空港の搭乗拒否リストのように、「サイバー搭乗拒否リスト」を提供することにあります。 経歴情報に基づくならば、特定のIP・ドメイン等は、アクセスしたり、ネットワークに入れるべきではありません。
脅威インテリジェンスプラットフォーム は SIEM およびにログ管理システムベンダーと協力し、顧客のネットワークインフラにおいてIOCをチェックし、セキュリティーソリューションに引き渡します。 これらのインテグレーションを構築し、維持していく負担はアナリストの手を離れ、SIEMおよびTIPベンダーが肩代わりしてくれるのです。
統合できるセキュリティ製品は次のようなものがあります:
- SIEM
- エンドポイント
- ファイヤウォール
- IPS
- API
分析と対応
脅威インテリジェンスプラットフォームは、アナリストによる潜在的脅威の分析を支援し、通信の手間を減らす機能を提供します。 具体的には、これらの機能がアナリストをサポートします:
- 脅威を探索
- 調査ワークフローの提供
- 脅威のコンテキストや予想される影響を理解する
- 情報を共有
TIP はすべてのデータ、リッチ化、その他入手可能なコンテキストをすべて取り入れ、ダッシュボード、ルーラー、アラート、メモ等、価値を生み出す方法で表示します。
脅威インテリジェンスプラットフォームはリサーチと収集プロセスを自動化し、レスポンスに要する時間を縮めることでもアナリストをサポートします。 脅威インテリジェンスの分析部分に含まれる機能の幾つかを挙げると…
- IOCの拡大及びリサーチのサポート
- インシデントの評価とレスポンスプロセス
- アナリストのワークフロープロセス
- インテリジェンス関連製品の開発とステークホルダーとの共有