サイバー脅威インテリジェンス(CTI)は、企業ネットワークのセキュリティにとって極めて重要な概念ですが、その背後にある考え方を真に理解するのは容易ではありません。ましてや、企業のITおよびセキュリティ体制への脅威インテリジェンスの実装は容易ではありません。このガイドでは、CTIとは何か、どのように機能するか、そしてセキュリティに真に貢献する無料ソリューションをいくつかご紹介します。
- 脅威とは一体何でしょうか?
- サイバー脅威インテリジェンスとは何ですか?
- インテリジェンスサイクル
- CTIの手順
- CTI の恩恵を受けられるのは誰でしょうか?
- さまざまな種類のCTI
- 痛みのピラミッド
- サイバーキルチェーン
- データ収集
- データフィード
- TLPが登場すると
- CTIツール
脅威とは一体何でしょうか?
サイバー脅威インテリジェンスとは何かを詳しく説明する前に、「脅威」という言葉が何を定義するかを理解することが重要です。
サイバー脅威とは、「情報システムを通じて、不正アクセス、破壊、開示、情報改ざん、サービス拒否などにより、組織の運営(使命、機能、イメージ、評判を含む)、組織資産、個人、他の組織、または国家に悪影響を及ぼす可能性のある状況または事象」と定義できます。
脅威は、単一のイベント(マルウェアが単一のコンピュータに感染するなど)から発生する場合もあれば、複数のイベントが結びついて発生する場合もあります(Web サーバーが侵害され、攻撃者がそこから他のサーバーに移動し、バックドアを設置して機密情報を盗むなど)。
2021 年に最もよく見られた脅威は次のとおりです。
- ランサムウェア攻撃
- データの盗難、クレジットカードの盗難、サイバースパイ活動など、さまざまな目的でのマルウェア感染。
- クリプトジャッキング:コンピューターやサーバーを侵害して暗号通貨のマイナーとして使用する
- 電子メール関連の脅威: ビジネスメール詐欺、フィッシング、金融詐欺
- データ侵害/データ漏洩
- データの整合性とデータの可用性に対する脅威: 特に DDoS 攻撃はデータの可用性に大きな影響を与え、データの損失につながる可能性があります。
- 悪意のない脅威: インフラストラクチャの一部への物理的な損傷や人為的ミスなど、悪意のある要素を持たない脅威
サイバー脅威インテリジェンスとは何ですか?
サイバー脅威インテリジェンスは広く使われている用語ですが、その意味が曖昧な場合もあります。これは、十分な知識がないまま、あるいは完全に誤解した上で、文章や発言をしていることにも起因しています。
CTI は単なるレポートとデータフィードであると考える人が多いですが、実際にはそれ以上のものです。
NIST によれば、「脅威インテリジェンスとは、意思決定プロセスに必要なコンテキストを提供するために集約、変換、分析、解釈、または拡充された脅威情報です。」
明確に言えば、データと情報だけではインテリジェンスにはなりませんが、そのデータを相関させ、分析し、関連する利害関係者と共有するプロセスによって、真のインテリジェンスになります。
インテリジェンスサイクル
民間または軍事情報機関で使用される情報サイクルは、サイバー脅威情報を完璧に把握します (図 A )。
図A
CTIの手順
方向
「計画と指示」とも呼ばれるこのステップは、回答を必要とする最初の質問を指します。質問の内容と、場合によっては回答が求められる期間を可能な限り正確に定義します。また、質問に対応するためのリソースも定義する場合もあります。
コレクション
これは、質問に答えるために必要なすべてのデータを収集するプロセスです。収集内容は、データの取得に使用したソース(オープンソース、社内ソース、個人ソース、商用ソースなど)に大きく依存します。
処理
処理とは、データをより使いやすい形式に整えることです。これには、データ形式の変換、言語翻訳、データの復号化、データの関連性と信頼性の評価など、様々な作業が含まれます。このステップは高度な技術を要するため、様々なオープンソースシステムや商用システムが役立ちます。
分析
CTIの魔法のほとんどは、この段階で起こります。このステップは主に人間が担当し、1人または複数のアナリストが処理されたデータの分析に取り組みます。サイバー脅威インテリジェンスの経験が真に活きるのはここです。企業は、このステップに少なくとも1人または2人の分野の専門家を配置する必要があります。また、この段階ではデータが文脈化されます。専門家は収集・処理されたすべてのデータを分析し、脅威に関する事実と考察を書き留め、最初のステップで提起された疑問に答えます。
普及
このステップでは、適切なステークホルダーに回答が提供されます。対象者によって結果の形式が異なることに注意が必要です。アナリストはCSV、JSON、XLSといった簡単に利用できる形式の純粋なデータを好むかもしれませんが、例えばCISOは生データではなくPDF形式の脅威レポートを見るでしょう。
フィードバック
フィードバックは、ステークホルダーがアナリストにフィードバックを返すステップです。アナリストは、質問に明確な回答が得られているかどうかを確認する必要があります。明確な回答が得られている場合は、さらなる質問が提示される可能性があります。回答が得られていない場合は、より適切、あるいはより正確な新たな質問を定義する必要があるかもしれません。
参照: Google Chrome: 知っておくべきセキュリティと UI のヒント (TechRepublic Premium)
CTI の恩恵を受けられるのは誰でしょうか?
セキュリティ チェーン内のほぼ全員が CTI の恩恵を受けられるため、会社全体にとって非常に有益です。
- 脅威に対応するインシデントハンドラーは、CTIの受信と提供を行っています。インシデント対応中に、彼らは入手した情報(主に侵害の兆候(IOC)と脅威に関連するコンテキスト)をCTIに入力することができます。その後、CTIはインシデント対応から得られた情報を用いて、同じ脅威に関連する追加情報を見つけ出し、インシデントハンドラーに提供します。インシデントハンドラーは、この情報から大きな恩恵を受けることで、任務をより迅速かつ効率的に遂行できます。
- セキュリティオペレーションセンターのアナリストは、CTIを活用してアラートや脅威の自動処理を支援できます。これらのセンターは通常、毎日数千件ものアラートを処理する必要があり、それらのアラートを自動でトリアージすることは、受信したアラートの処理にかかる時間を短縮し、最も重要なアラートに効率的に集中するための最良の方法と言えるでしょう。
- 脆弱性管理チームは、CTI を使用して特定の脆弱性に関する詳細なコンテキストを取得し、脅威に関連するリスクが差し迫ったものか、それとも潜在的なものなのかを把握できます。
- リスクアナリスト、不正行為アナリスト、その他のセキュリティ担当者は、タスクの優先順位を決定するために脅威を理解する必要があります。CTIは、そのために必要な情報を提供します。
- CISOはあらゆる脅威を認識するだけでなく、自社を標的とする脅威に基づいて意思決定を行う必要があります。CTIは、自社内で起こっていることだけでなく、より明確で幅広い視点を提供し、中期的または長期的な意思決定に大きく貢献します。
さまざまな種類のCTI
CTIは、管理や焦点を絞る目的に応じて、様々なサブタイプに分類できます。CTIが活用できる情報の種類は人それぞれ異なるため、アクセスしやすいように分類することは理にかなっています(図B)。
図B
戦略的CTI
このサブタイプは、主に意思決定者や取締役によって使用されます。主に統合されたCTIレポート、ブリーフィング、または会話で構成されます。
運用CTI
オペレーショナルCTIは、組織に特有の差し迫った脅威に関する情報を取得する際に役立ちます。これは、上級セキュリティ担当者によって活用されています。多くの場合、攻撃前に誰が企業を攻撃するかを予測することは非常に困難ですが、ハクティビストが企業への攻撃を宣伝している場合や、現実世界で特定の出来事が発生し、それが企業への攻撃を強く促すような場合には、予測が可能な場合があります。
テクニカルCTI
これはCTIの中で最も技術的なサブタイプです。これは技術的な情報(例えば、特定のマルウェアがコマンドアンドコントロールサーバーとして使用しているIPアドレスなど)で構成されますが、攻撃者はインフラを頻繁に変更する傾向があるため、発見されるとすぐに削除されてしまうことが多く、その情報は短期間しか保持されません。
戦術的CTI
この部分はTTP(戦術、技術、プロトコル)と呼ばれることが多く、脅威アクターがどのように攻撃を実行しているかを指します。このデータは、脅威インテリジェンスレポート、ホワイトペーパー、技術情報、インシデント対応、または同業者から入手できます。
痛みのピラミッド
David J. Biancoは、CTIを効果的に活用するための概念モデルを発表しました。特に、脅威アクターの運用コストの増加に焦点を当てています。彼はこれを「痛みのピラミッド」(図D)と呼んでいます。
図D
このモデルでは、CTIプロセスで収集された様々な種類の指標によってピラミッドが構築されます。防御側がピラミッドの上位に登り、そこから指標を露出させるほど、脅威アクターにとっての脅威は増大します。
簡単に言えば、脅威アクターの完全な TTP を公開すると、攻撃を中止するか、最初からやり直すかの 2 つの選択肢が与えられます。
サイバーキルチェーン
サイバーキルチェーン(図E)は、CTI(サイバー・インテリジェンス・インテリジェンス)で用いられる最もよく知られた脅威モデルです。ロッキード・マーティン社によって開発されたこのモデルにより、防御側は攻撃を複数の段階に分割し、適切な対策と対応を行うことができます。
図E
サイバー キル チェーンは次のステップで構成されます。
偵察
これは、攻撃者がターゲットを検索し(または、第三者のために活動する脅威アクターの場合はターゲットを割り当てられ)、後でそのターゲットを侵害するために役立つ情報を収集し始める段階です。
通常、これは主に、インターネットに接続されているすべてのネットワーク部分 (Web/電子メール/DNS/VPN サーバーなど) を識別し、それらのシステムに対して悪用される可能性のある脆弱性を探して、ターゲットのネットワーク内に最初の足掛かりを得ることから構成されます。
また、標的の企業内で興味深い人物を探し、後にその人物向けに特別に作成されたスピアフィッシングの標的にすることも考えられます。
兵器化/配送/搾取
これらのステップは密接に関連しています。偵察の後、脅威アクターは発見された脆弱性を悪用するマルウェアやコードを準備するか、スピアフィッシングメールを準備します。そして、脆弱性を悪用するか、標的企業の従業員に武器化されたスピアフィッシングコンテンツを送信します。
このステップの後、脅威の攻撃者がサーバーを直接侵害することを選択したか、スピアフィッシングのオプションを選択するかに関係なく、標的の企業のネットワーク内に最初の足場を築くことになります。
インストール
このフェーズでは、脅威の攻撃者は永続化の方法をインストールします。通常、ネットワーク上の簡単にアクセスできる場所に少なくとも 1 つのバックドアがインストールされます。
コマンド&コントロール
この段階で、攻撃者はバックドアとの間で通信できるようになります。
目標達成に向けた行動
脅威の攻撃者は、データの盗難、破壊活動など、侵入を必要とするあらゆることを実行できるようになります。
一部のセキュリティ企業はこのキルチェーンを少し改良し、若干の違いを加えていますが、基本的な考え方は同じです。より一般的なキルチェーンは以下のようになります。
- 偵察フェーズ
- 最初の妥協
- 権限の昇格とアクセスの維持
- 横方向の移動
- 流出/その他の目的
これらの手順は非常に単純で、ロッキード・マーティンのオリジナルのサイバーキルチェーンで実際に行われていることを説明しています。これはラテラルムーブメント、つまり標的のネットワーク全体をラテラルムーブメントし、脅威アクターが探している関連データを見つけるというアクションのみを含んでいます。また、ネットワーク内で権限を昇格させることで、攻撃への対応力と制御性を高めるという考え方にも、より重点が置かれています。
攻撃&CK
MITREのATT&CKマトリックスは近年ますます人気が高まっています。これは、実世界の観察に基づいた、脅威アクターのTTP(戦術・技術・プロセス)に関する、世界中からアクセス可能なナレッジベースです。民間セクター、政府機関、そしてサイバーセキュリティ製品・サービスコミュニティにおいて、特定の脅威モデルや手法の開発の基盤として活用されています。
現在では、ベンダーが公開する脅威レポートのほとんどにこの脆弱性が含まれています。
データ収集
インテリジェンスサイクルの収集フェーズで既に述べたように、あらゆるCTIフレームワークにはデータの入力が必要です。データを取得する方法はいくつかあり、無料または有料のサービスとしてオンラインで利用可能です。
信頼できるデータの必要性
ソースが多ければ多いほど CTI が向上すると考える人もいるかもしれませんが、それはデータ ソースが関連性があり、信頼できる場合のみ当てはまります。
例えば、誤検知によって生じるデータを提供するデータソースは、CTIフレームワークに含めるべきではありません。また、事実ではなく仮説に基づいてデータを追加するデータソースも、CTIから絶対に除外する必要があります。優れたデータソースとは、曖昧な線や誤検知がなく、信頼できるデータのみを提供するデータソースです。
データフィード
データフィードと呼ばれるものは、多くの場合、あらゆるCTIフレームワークと容易に連携できる形式で提供されるパブリックまたはプライベートのフィードで構成されます。これらのフィードには、一般的にJSON、CSV、またはXML形式のIOCが含まれており、簡単に利用できます。また、サイバー脅威インテリジェンス専用のSTIX形式である場合もあります。この形式では、IPアドレス、脅威アクターのTTPなど、サイバーキルチェーンのあらゆる要素を共有できます。
こうしたデータフィードの一例としては、abuse.ch研究プロジェクトのURLhausが挙げられます。URLhausは、その目標を「マルウェアの拡散に利用されている悪意のあるURLを共有すること」としています。これは、様々なマルウェアファミリーに関連付けられたURLのリストであり、常に更新されています。このリストには、Webインターフェース(図F)またはAPI(図G)を介してアクセスできます。
図F
図G
データ フィード ソースのリストはインターネット上で簡単に見つかります。
ハニーポット
ハニーポットは、さまざまな脆弱なプロトコルやソフトウェアを装い、インターネットからの攻撃者がどのようにシステムを侵害しようとしているか、またはシステムが侵害された後に攻撃者が何を行っているかを確認することを唯一の目的として作成されたシステムです。
ハニーポットは、ポートで実行されている SSH サービスをシミュレートし、すべての接続試行を記録するソフトウェア(たとえば、攻撃者が最もよく使用するパスワード試行を調査するため)のように単純なものから、偽の文書や偽のコンピューターを含むネットワーク全体をシミュレートするほど複雑なものまであります。
参照: パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
インシデント対応 / 内部ソース
インシデント対応は、攻撃から情報を得る最も包括的な方法ですが、攻撃が発生した時点では、企業はすでに攻撃を受けている場合がほとんどです。インシデント対応担当者は、ネットワークサーバー、侵害されたエンドポイントなど、攻撃のグローバルな状況にアクセスできる唯一のセキュリティ担当者です。
インシデント対応者は、さまざまなレベルで役立つ可能性があるため、発見した内容を常に社内の他のすべての CTI 担当者と共有する必要があります。
サイバー犯罪者フォーラム/チャット
ダークウェブであろうとクリアウェブであろうと、サイバー犯罪フォーラムの内部情報を得ることは非常に興味深いことですが、それを監視してCTI(サイバー情報)を抽出しようとする者には、莫大な投資、多くのリソース、そして労力がかかります。言語の問題(ロシア語や中国語のフォーラムへのアクセスは非常に困難)、アクセスの問題(一部のフォーラムは既知のメンバーによる審査が必要)、そしてサイバー犯罪フォーラムの数が多すぎて追跡できないなど、いくつかの障壁があります。
CTI のこの部分に本格的に投資することに関心のある企業は通常、専用プロバイダーの CTI サービスを使用します。
また、ますます多くのサイバー犯罪者が、Web フォーラムではなくプライベート チャネルを使用して通信し、Telegram を頻繁に使用するようになっており、見つけるのが少し難しくなっています。
CTIレポート
多くのベンダーや政府機関は、脅威の攻撃者の行動を阻止し、レポートが提供するすべての IOC をチェックして他のすべてのセキュリティ チームが自社のネットワークの侵害を検出できるようにするために、無料の CTI レポートを定期的に公開しています。
ソーシャルメディア
ソーシャル メディアでは IOC や CTI がますます多く見られるようになり、多くのセキュリティ研究者が好んで利用するソーシャル メディアは Twitter です。
一部の Twitter アカウントによって提供されるデータが完全に信頼できるかどうかを判断するのは難しいかもしれませんが、CTI の知識を充実させるためにデータを監視する価値はあります。
共有する必要がある
これはおそらく最も重要な点ですが、私の経験から言うと、残念ながら多くの企業がこれを理解していません。共有は非常に重要です。
さまざまなソースからの CTI を消費することは、もちろん優れた CTI 構造には必須ですが、そのデータを同僚やより広範なコミュニティと共有しなければ、その構造は最大限の強度に達しません。
他社、中には直接の競合相手とも言える企業とデータを共有するなんて、信じられないと思う人もいるかもしれません。しかし、CTIにとって、それはおそらく最も貴重な情報源の一つです。
まず、人々はコンピュータセキュリティカンファレンスに集まります。お互いのプレゼンテーションを見て、共通の関心事を見つけるとすぐに連絡を取り合い、話し合い、最終的にはデータを共有することになります。
次のステップは通常、公開または非公開のコミュニティに集まることです。多くの場合、メーリングリストやソーシャルメディアツール(Slack、Keybaseなど)のチャンネルという形で構築されます。
これらは、CTI担当者がデータや経験を共有するための効率的な方法です。ここで重要なのは、一般的に競争的な側面はないということです。人々は互いに信頼関係を築いている限り、様々なデータ共有プロトコル(最もよく使われているのはトラフィックライトプロトコル(TLP))に従って、競合他社と問題なくデータを共有します。
こうした関係と信頼は、特定の脅威を迅速に評価し、進行中の攻撃に関する詳細情報を得るために電話をかけるときに非常に役立ちます。
私たちは、すべての CTI チームに、同僚との関係を管理し、さまざまな TLP でデータを共有できる熟練したソーシャル ネットワーキング担当者が少なくとも 1 人必要であると強く信じています。
TLPが登場すると
情報共有を促進するために、信号プロトコルが作成されました。これは、機密情報が適切に共有されることを保証するための一連の指定であり、4つの色で構成されています(図H)。
図H
多くのプライベートコミュニティでは、デフォルトのTLPをアンバーに設定しています。このTLPにより、交換されたデータを効率的に処理できますが、データは組織内に留めるか、影響を受けるクライアントや顧客に「必要に応じて」のみに伝達する必要があります。
CTIツール
CTIツールは、インテリジェンスサイクルの段階に応じて使い分けられます。データを自動的に収集、保存、共有し、分析を実行するツールもあります。人々はすべてを備えた独自のソリューションを求める傾向があり、ベンダーが提案するのは一般的にそのようなソリューションですが、中小企業には手が届かない高額な価格となっています。
そのため、私たちは、CTI の処理に最も役立つと思われる、無料または低コストのツールをいくつか公開することにしました。
オープンCTI
このプロジェクトは、CTI の世界で非常に重要なプレーヤーであるフランス国立ネットワーク セキュリティ エージェンシー (ANSSI – Agence Nationale de la Sécurité des Systèmes d'Information) が CERT-EU (EU の機関、代理店、団体のためのコンピュータ緊急対応チーム) と提携して開発しました。
このプロジェクトは、「あらゆるレベルのサイバー脅威インテリジェンスのための統合プラットフォーム」と自称しています。OpenCTIの根底にある理念は、可能な限りオープンでモジュール化することで、大規模なコミュニティが貢献できるようにすることです。
過去数年間、OpenCTI で利用できるコネクタが膨大に存在し、OpenCTI は非常にうまく機能してきました。
OpenCTI は、Python または Go API インターフェースと強力な Web インターフェース (図 I )で構成されるフレームワークです。
図I
OpenCTIは、複数のツールと表示機能に加え、サードパーティのデータソースへの複数のコネクタ(自動インポート可能)を提供します。サイバー脅威に関するデータと知識を保存、整理、ピボット、分析実行、共有するために設計されています。このツールは、IOC(情報漏えいの証拠)だけでなく、脅威アクターのTTP全体と脅威アクター自身に関する情報も保存できます。
OpenCTI は、STIX 2 データ モデルを含むいくつかの形式をサポートしています。
最後に、OpenCTI は、実際にインストールするかどうかを決める前に、好奇心旺盛なユーザーに対してデモ バージョンをオンラインで試用する機能を提供します。
マルテゴ
Maltegoは、グラフ分析のための包括的なツールです(図J)。いくつかのバージョンがあり、そのうちの1つは無料版ですが、CTIで実際に使用するには機能が制限されています。有料版(Pro/Enterprise)では、より多くの重要なオプションと機能が利用できます。
図J
Maltegoは、「Transforms」を使用して70以上のソースからデータを迅速に接続できる機能を提供します。一部のTransformsは無料で使用できますが、サードパーティからのライセンスが必要なものもあります。
脅威アクターが使用しているドメインのCSVリストがあるとします。これをMaltegoにインポートし、変換機能を使ってグラフィカルモードでより多くの情報(Whoisデータ、DNSサーバー、メールサーバーなど)を取得できます。
Maltego は、Windows/Linux/Mac システムにインストールできるクライアントとして提供されます。
また、MaltegoではOpenCTI用のトランスフォームも利用可能です。これにより、CTIアナリストはMaltego内で直接OpenCTIインスタンスのデータをクエリおよび探索できます。
Maltego は脅威を理解するための非常に便利なツールです。視覚的な表現は、生のデータよりもアナリストに明確な見解をもたらすことが多いからです。
イエティ
Yeti は、IOC と観測可能情報、TTP、脅威に関する知識を整理することを目的とした無料のオープンソース プラットフォームです (図 K )。
図K
Yeti は、さまざまな分析ツールを使用して、観測可能なデータ(ドメイン名の解決など)を自動的に強化します(図 L)。
図L
また、オブザーバブル間のグラフィカルな関係も提供し、Web インターフェースに加えて API も提供します。
マルテゴ用のイエティトランスフォームも存在します。
MISP
MISPは、CIRCL(ルクセンブルクコンピュータインシデントレスポンスセンター)によって作成されたオープンソースで無料の脅威インテリジェンスプラットフォームであり、脅威情報共有のためのオープンスタンダードです。
複数の IOC、脅威インテリジェンス、脆弱性情報、マルウェア情報などを保存できます。
また、異なる組織が所有する異なるMISPインスタンス間で情報を非常に簡単に共有できるように構築されています。複数の異なる形式でデータをインポートおよびエクスポートでき、自動的に使用できる複数のデフォルトフィードを備えています。
MISPはAPIとWebインターフェースを提供しています(図M)。Maltego用の変換もオンラインで入手できます。
図M
もちろん、CTI をあらゆるレベルで処理するためのツールは他にもありますが、これらは CTI を迅速に改善できる最もよく使用されるツールです。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
