編集者注：今後数週間にわたり、新たに改訂されて第2版となった人気書籍『The Threat Intelligence Handbook: Moving Toward a Security Intelligence Program』から抜粋を共有いたします。ここでは、第2章「脅威インテリジェンスのライフサイクル」を見ていきます。

セキュリティインテリジェンスへの道のりでは、包括的なリアルタイムのインテリジェンスをセキュリティプロセス、サードパーティリスク管理プログラム、ブランド保護戦略にしっかりと織り込む必要があります。しかし、そこにたどり着くためには、組織に真に価値を付加する 脅威インテリジェンス をどのように開発できるのでしょうか。 また、提供するインテリジェンスが、セキュリティ機能全体のチームにとって実用的なものであることを確認するにはどうすればよいでしょうか。

これらの疑問に答えるには、脅威インテリジェンスの生成を、ポイントインタイムのタスクではなく、多段階の循環的なプロセスとして捉えることが重要です。

Threat Intelligenceサイクルの定義

まず、サイバー脅威インテリジェンスサイクルの目標は、主要なステークホルダーによって定義されなければなりません。 これらの目標は、 ユースケース、優先順位、リスクに応じて、組織ごとに大きく異なります。 そこから、内部、技術、人的など、さまざまなソースからデータを収集し、潜在的なサイバー脅威と実際のサイバー脅威の全体像を把握する必要があります。 次に、このデータを処理して、SOCの人員配置、セキュリティインシデントへの対応、脆弱性の管理、サードパーティリスクの分析、デジタルブランドの保護、高レベルのセキュリティに関する意思決定など、すべての人にとってタイムリーで明確で実用的な実際のインテリジェンスに変換する必要があります。 この完成したインテリジェンス出力は、主要な利害関係者に戻り、主要な利害関係者はそれを使用して、将来のインテリジェンスサイクルを継続的に改善し、意思決定プロセスを磨くことができます。

以下の『The Threat Intelligence Handbook: Moving Toward a Security Intelligence Program』からの抜粋は、わかりやすくするために編集、要約されています。この中で、脅威インテリジェンスのライフサイクルの6つのフェーズをそれぞれ検証し、脅威インテリジェンスの情報源を確認し、脅威インテリジェンスツールと人間のアナリストの役割に注目します。

6ステップで見る脅威インテリジェンスのライフサイクル

脅威インテリジェンスは、 政府や軍事機関が数十年にわたって磨いてきた分析技術に基づいて構築されています。 従来のインテリジェンスは、「インテリジェンスサイクル」と呼ばれるものを構成する6つの異なるフェーズ、つまり、指示、収集、処理、分析、配布、フィードバックに焦点を当てています。

脅威インテリジェンスとインテリジェンス ライフサイクルの 6 つのフェーズ。

1. ディレクション

ライフサイクルの方向性フェーズは、脅威インテリジェンス プログラムの目標を設定するときです。 これには、次のことを理解し、明確にすることが含まれます。

• 保護する必要がある情報資産とビジネス・プロセス
• これらの資産を失ったり、プロセスを中断したりすることによる潜在的な影響
• セキュリティ組織が資産を保護し、新たな脅威に対応するために必要な脅威インテリジェンスの種類
• 保護対象に関する優先事項

高レベルのインテリジェンスのニーズが決定されると、組織は情報の必要性を個別の 要件に導く質問を定式化できます。 たとえば、潜在的な敵対者を理解することが目標である場合、論理的な質問の 1 つは、「アンダーグラウンド フォーラムで、どの脅威アクターが私たちの組織に関するデータを積極的に求めているのか」です。

2. コレクション

収集とは、最も重要なインテリジェンス要件に対処するための 情報を収集する プロセスです。 情報収集は、次のようなさまざまな手段を通じて有機的に行うことができます。

• 内部ネットワークとセキュリティデバイスからのメタデータとログのプル
• 業界団体やサイバーセキュリティベンダーから の脅威データフィード の購読
• 知識豊富な情報源との会話やターゲットを絞ったインタビューの実施
• オープンソースのニュースやブログのスキャン( OSINT の一般的な手法)
• スクレイピングとハーベスティングのWebサイトとフォーラム
• ダークウェブフォーラムなどのクローズドソースへの侵入

通常、収集されるデータは、サイバーセキュリティの専門家やベンダーからの インテリジェンスレポート などの完成したインテリジェンス情報と、マルウェアのシグネチャや貼り付けサイトで漏洩した資格情報などの生データの組み合わせです。

3. 処理

処理とは、収集した情報を組織で使用可能な形式に変換することです。 収集されたほとんどすべての生データは、人間であろうと機械であろうと、何らかの方法で処理する必要があります。 収集方法が異なれば、多くの場合、必要な処理手段も異なります。 人間のレポートは、関連付けとランク付け、競合の解消、およびチェックが必要になる場合があります。

たとえば、セキュリティ ベンダーのレポートから IP アドレスを抽出し、それらを CSV ファイルに追加してセキュリティ情報およびイベント管理 (SIEM) 製品にインポートする場合があります。 より技術的な領域では、処理には、電子メールからインジケーターを抽出し、他の情報でインディケータをエンリッチメントし、エンドポイント保護ツールと通信して自動ブロックすることが含まれる場合があります。

4. 分析

分析は、処理された情報を意思決定に情報を提供できるインテリジェンスに変える人間のプロセスです。 状況によっては、新たな脅威を調査するかどうか、攻撃をブロックするためにすぐにどのようなアクションを取るべきか、セキュリティ制御をどのように強化するか、追加のセキュリティ リソースにどの程度の投資が正当化されるかなど、さまざまな決定が行われる場合があります。

情報が表示される形式は特に重要です。 情報を収集して処理し、 意思決定者が理解して使用できない形で提供することは無意味で無駄です。 たとえば、技術に詳しくないリーダーとコミュニケーションをとる場合、レポートは次の条件を満たす必要があります。

• 簡潔にする(1ページのメモまたは数枚のスライド)
• 混乱を招くような、過度に専門的な用語や専門用語は避けてください
• ビジネス用語で問題を明確にする(直接コストと間接コスト、評判への影響など)
• 推奨される行動方針を含める

一部のインテリジェンスは、ライブビデオフィードやPowerPointプレゼンテーションなど、さまざまな視聴者向けにさまざまな形式で配信する必要がある場合があります。 すべてのインテリジェンスを正式なレポートで消化する必要があるわけではありません。 成功したサイバー脅威インテリジェンスチームは、IOC、マルウェア、脅威アクター、脆弱性、脅威の傾向に関する外部コンテキストを使用して、他のセキュリティチームに継続的な技術レポートを提供します。

5. 配布

普及には、完成したインテリジェンスの出力を必要な場所に届けることが含まれます。 ほとんどのサイバーセキュリティ組織には、脅威インテリジェンスを活用できるチームが少なくとも 6 つあります。

これらのオーディエンスごとに、次の質問をする必要があります。

• どのような脅威インテリジェンスが必要で、外部情報はどのようにして彼らの活動をサポートできるのでしょうか?
• その視聴者にとって理解しやすく、実行可能なものにするためには、インテリジェンスをどのように提示すべきでしょうか?
• 更新情報やその他の情報はどのくらいの頻度で提供する必要がありますか?
• インテリジェンスはどのメディアを通じて広められるべきですか?
• 質問がある場合、どのようにフォローアップすればよいですか?

6. フィードバック

私たちは、全体的なインテリジェンスの優先順位と、脅威インテリジェンスを利用するセキュリティチームの要件を理解することが非常に重要であると考えています。 彼らのニーズは、脅威インテリジェンスのライフサイクルのすべてのフェーズを導き、次のことを伝えます。

• 収集するデータの種類
• データを処理して強化し、有用な情報に変換する方法
• 情報を分析し、実用的な脅威インテリジェンスとして提示する方法
• 各タイプのインテリジェンスを誰に配布する必要があるか、どのくらいの速さで配布する必要があるか、および質問にどれだけ迅速に対応する必要があるか

各グループの要件を理解し、要件と優先順位の変化に応じて調整を行うには、定期的なフィードバックが必要です。

Threat Intelligenceライフサイクルがなぜそれほど重要なのか?

構造と組織を提供します:

Threat Intelligenceライフサイクルは、明確なフェーズ (計画、収集、処理、分析、配布、フィードバック) を持つ定義されたフレームワークを提供します。 この構造により、 Threat Intelligence取り組みが体系的かつ組織的になり、特に膨大な量のデータを扱う場合に混乱や手順の見落としが発生する可能性が低くなります。

集中的かつ関連性の高い情報を確保:

「計画」フェーズでは、要件と目標の定義に重点が置かれます。これにより、情報収集の取り組みが組織の特定の脅威とニーズに焦点を絞られるようになり、無関係な情報にリソースが浪費されることが防止され、生成される情報の価値が最大化されます。

データを実用的なインサイトに変換:

Threat Intelligenceライフサイクルは、データの収集だけではなく、データの変換も行います。 「処理」と「分析」を通じて、生のデータはクリーニングされ、強化され、コンテキスト化され、分析されて、情報漏洩 / 侵害の意味のあるパターン、傾向、指標が特定されます。 この変換は、セキュリティ チームにとってインテリジェンスを有用なものにするために不可欠です。

積極的なセキュリティ対策を実現します。

攻撃者の動機、戦術、インフラストラクチャ (分析フェーズで得られた情報) を理解することにより、組織は潜在的な脅威を予測し、攻撃が発生する前に防御するための強力なセキュリティ対策を実装できます。 これにより、セキュリティポスチャーは事後対応型から予防型に移行します。

侵害侵害と対応を改善します:

実用的なThreat Intelligenceセキュリティ ツールとアナリストの能力を強化し、インシデント時に脅威を正確に検出して効果的に対応することを可能にします。 コンテキスト化されたインテリジェンスは誤検知を減らし、より迅速な封じ込め、根絶、回復のための重要な情報を提供します。

情報に基づいた意思決定を促進:

Threat Intelligenceセキュリティ リーダーが実際の脅威の状況に基づいて、セキュリティ投資、ポリシー調整、リソース割り当て、リスク管理について情報に基づいた意思決定を行うための貴重なコンテキストを提供します。

継続的な改善をサポート:

「フィードバック」フェーズは、過去のインテリジェンス活動やセキュリティ インシデントから学ぶために重要です。このフィードバック ループにより、組織はプロセスを洗練し、インテリジェンスの質を向上させ、進化し続ける潜在アクターに適応することができます。

コラボレーションと情報共有を強化:

Threat Intelligenceライフサイクルの構造化された性質により、組織内および信頼できる外部パートナーとの間でThreat Intelligenceのコミュニケーションと共有が改善され、より総合的で効果的な防御が可能になります。

本質的に、 Threat Intelligenceライフサイクルは、サイバー脅威の圧倒的なノイズを明確で実用的なインテリジェンスに変換するためのロードマップを提供し、組織が脅威アクター / 敵対者をより深く理解し、防御を強化し、最終的にリスクを軽減できるようにします。

サイバー脅威インテリジェンスサイクルに関するFAQ

サイバー脅威インテリジェンスサイクルがセキュリティチームにとって重要なのはなぜですか?

サイバー脅威インテリジェンスサイクルは、脅威インテリジェンスを収集、分析、活用するための構造化された方法論を提供するため、セキュリティチームにとって極めて重要です。 このサイクルは、脅威の状況をよりよく理解するのに役立ち、その結果、セキュリティの脅威に効率的に備え、対応するのに役立ちます。 このサイクルを通じて、サイバー攻撃に対する組織のセキュリティ体制を強化するための情報に基づいた意思決定を行うのに役立つ実用的なインテリジェンスが生成されます。

脅威インテリジェンスプログラムを実装する主な利点は何ですか?

脅威インテリジェンス プログラムを実装することで、組織は潜在的なセキュリティ脅威を予測し、準備し、軽減する能力を得ることができます。 このプログラムは、脅威インテリジェンス プロセスの不可欠な部分であり、脅威アクターとその戦術をより深く理解するのに役立ちます。 これにより、脅威インテリジェンス チームは、プロアクティブな防御対策に不可欠な完成した脅威インテリジェンスを提供できます。 さらに、脅威インテリジェンスプログラムは、インシデント対応戦略を強化し、進化する脅威の状況に継続的に学習し適応する文化を育みます。

サイバー脅威インテリジェンスサイクルから最も恩恵を受けているのはどの組織ですか?

金融、ヘルスケア、政府など、価値の高いデータを扱うセクターで事業を行っている組織は、多くの場合、脅威アクターの主要な標的であるため、サイバー脅威インテリジェンスサイクルから大きな恩恵を受けています。 このサイクルは、定義された脅威インテリジェンスのライフサイクル段階とともに、潜在的なリスクを理解し、軽減するために重要なインテリジェンスの収集と脅威インテリジェンス分析を支援します。 さらに、オンラインで大きな存在感を持つ組織、稼働時間を重視する企業、または規制コンプライアンスの対象となる企業も、複雑なセキュリティ環境をナビゲートするためにサイバー脅威インテリジェンスサイクルが不可欠であると感じています。

サイバー脅威インテリジェンスサイクルを実装する際に直面する一般的な課題は何ですか?

実装時の一般的な課題には、堅牢な脅威インテリジェンス プラットフォームの初期設定、継続的で関連性のあるインテリジェンス収集の確保、データを正確に分析して実用的なインサイトを生成することが含まれます。 脅威インテリジェンスレポートの有効性は、熟練した人材の不足や不十分なリソースによって妨げられる可能性があります。 さらに、脅威インテリジェンス分析から得られた洞察を既存のインシデント対応手順に統合し、情報のシームレスな流れを確保することも、大きな課題を引き起こす可能性があります。

Threat Intelligenceライフサイクルによってセキュリティはどのように向上しますか?

Threat Intelligenceライフサイクルは、生データを脅威に関する実用的なインサイトに変換する構造化プロセスを提供することでセキュリティを強化します。 これにより、組織は、潜在的な攻撃を積極的に特定し、主観監視精度を向上させ、インシデント対応の有効性を高め、対象を絞った制御による防御を強化し、戦略的なセキュリティ上の決定を通知し、リソース割り当てを最適化し、積極的な脅威ハンティングを促進し、情報共有を改善し、重要なフィードバック ループを通じて進化する監視の状況に基づいてセキュリティ ポスチャーを継続的に改良することができます。

自動化とAI Threat Intelligenceライフサイクルをどのように強化するのでしょうか?

自動化と人工知能 ( AI ) は、複数のフェーズにわたってThreat Intelligenceライフサイクルを大幅に強化します。 1 コレクションは、自然言語処理を使用して非構造化テキストを含む、多様な情報源からの膨大な量のデータを自動的にスキャンして処理し、関連する情報や指標を識別するAIの機能の恩恵を受けます。 2 処理と分析では、 AIと機械学習のアルゴリズムにより、データを自動的に強化、相関付け、優先順位を付け、人間のアナリストが見落とす可能性のあるパターンや異常を特定し、将来の脅威を予測することもできます。 3 AI を活用したレポート生成と特定の対象者へのカスタマイズされたインテリジェンス配信により、情報の普及率を向上させることができます。4 最後に、フィードバック フェーズではAIを活用して過去のインテリジェンスの有効性を分析し、継続的な改善のためにライフサイクル全体を調整することで、より迅速で正確かつ実用的なThreat Intelligence実現できます。 5

Threat Intelligenceセキュリティ運用とどのように統合されますか?

Threat Intelligenceはセキュリティ運用に不可欠であり、積極的防御に必要な重要なコンテキストと洞察を提供します。 Threat Intelligenceフィードとプラットフォームを SIEM や EDR などの SOC ツールと統合することにより、アラートには攻撃者の詳細情報が強化され、より適切な優先順位付けと誤検知の削減が可能になります。 インシデントへの対応中、効果的な封じ込めと根絶のための重要な情報を提供すると同時に、隠れた脅威に対する積極的な脅威ハンティングを強化します。 さらに、 Threat Intelligence 、セキュリティ ツールの設定、優先順位を付けて脆弱性パッチを適用することを通知し、さらには対応ワークフローの自動化を推進し、最終的にはセキュリティ運用を事後対応型から予測型に変換し、進化する展望の状況を理解し緩和する能力を強化します。

「脅威インテリジェンスハンドブック」を入手する

本書の全章には、役立つ図表、これらの説明を独自の効果的な脅威インテリジェンスプログラムに適用するためのメモやヒント、 脅威データなどに関するより詳細な情報など、さらに多くの重要なコンテンツがあります。

書籍の続きは、『脅威インテリジェンスハンドブック』の完全版（完全無料）を今すぐダウンロードしてお読みください。

この記事は2020年1月15日に公開され、2024年2月5日に最終更新されました。