脅威インテリジェンスソリューションの5つのユースケース

ユースケース 脅威インテリジェンス トップ5

サイバー脅威はますます高度かつ頻繁になり、組織は攻撃を予測し対応するためにサイバー脅威インテリジェンスを活用することが不可欠です。脅威インテリジェンスソリューションは、 脅威アクター 挙動、新たな脆弱性、潜在的なリスクに対して実用的なインサイトを提供します。

脅威インテリジェンスのユースケースを理解することで、組織はより効果的なセキュリティ運用、SOCワークフロー、デジタルリスク保護戦略を導入し、脅威アクターより一歩先を行くことができます。

Key Takeaways

セキュリティにおけるサイバー脅威インテリジェンスの役割

組織は、機密情報を保護し、ビジネスの継続性を維持するために、セキュリティへのアプローチに警戒し、積極的に行動する必要があります。 そこで、 脅威インテリジェンス の出番です。 しかし、脅威インテリジェンスとは何でしょうか?

脅威インテリジェンスは、組織が組織を標的にしている、または標的にする 脅威を理解するために使用する情報 です。 このインテリジェンスは、 オープンソース(OSINT)、ソーシャルメディア、技術データ、 ダークウェブモニタリングなど、さまざまなソースから収集されます。 脅威インテリジェンスの主な目的は、サイバー脅威を防止、検出、対応するための実用的な洞察を提供することです。

脅威インテリジェンスとは?

脅威インテリジェンスは、大きく分けて 4 つのタイプに分類できます。

これらのさまざまなタイプの脅威インテリジェンスを活用することで、組織は潜在的なサイバー脅威に対する包括的で階層的な防御を構築できます。

なぜ脅威インテリジェンスが組織にとって重要なのか

脅威インテリジェンスは生データを有意義な洞察に変換し、セキュリティチームが情報に基づいた意思決定を行うために活用します。戦術、TTPs、TTPs(TTPs)脅威アクターを理解することで、組織は以下のことを可能にします。

Markets Insider Reportによると、2023年に悪用された脆弱性の数は3倍に増加し、機密データを守るためのサイバー脅威インテリジェンスの重要性が浮き彫りになっています。

効果的な脅威インテリジェンスの主要構成要素

効果的な脅威インテリジェンスは、 データ収集 と高度な分析に基づいて構築されています。 これには、収集された情報が関連性があり、正確で、実行可能であることを保証する多面的なアプローチが含まれます。 ここでは、いくつかの主要なコンポーネントを示します。

脅威インテリジェンスのユースケースは、サイバー脅威に対する組織の支援にどのように役立つのでしょうか?

脅威インテリジェンスは、進化し続ける新たなサイバー脅威の状況から組織を守るために極めて重要な役割を果たします。 脅威インテリジェンス ソリューションはさまざまな方法で使用できるため、ソリューションを選択してからそのソリューションの強みにユース ケースを適合させようとするのではなく、 脅威インテリジェンス プラットフォームを選択する前に、潜在的なユース ケースを特定することが重要です。

脅威インテリジェンスのユースケースは、インシデント対応プロセスを効率化できます。 テクノロジー調査会社のガートナーは、最近の マーケットガイドで、サイバー脅威インテリジェンスソリューションのエンドユーザーが 「ユースケース中心」のアプローチをとることで最適なソリューションを特定することを提案しています。

たとえば、あなたを標的とする脅威アクターの身元、方法、動機についての洞察を得て、将来の脅威を回避し、セキュリティを調整または更新したい場合があります。トレーニング演習で使用するためのケーススタディを作成したい場合があります。または、組織が特に脆弱な リスクに基づいて脆弱性管理に優先順位 を付けることができるように、より多くの脅威データを収集したい場合もあります—ガートナーは、ソリューションを選択する前に考慮すべき重要な可能なユースケースの長いリストを提供します。

セキュリティ運用とプログラムを改善する方法について、情報に基づいたコストのかかるセキュリティ決定を下す前に、脅威インテリジェンス プラットフォームの最も効果的な使用方法に関する Gartner の以下の 5 つの例を確認してください。

脅威インテリジェンスのユースケース

1. 脅威インテリジェンスの統合によるその他のセキュリティ技術の充実

基本的なことは、既存のセキュリティプロセスにサイバー 脅威インテリジェンス を統合することで、インシデント レスポンス(レスポンス)の意思決定が向上し、セキュリティポリシーを強化します。 ガートナーによると、サイバー脅威インテリジェンスは最近、セキュリティ情報・イベント管理(SIEM)、ファイアウォールや統合 脅威管理システム、侵入検知・防止、安全なウェブゲートウェイや安全なメールゲートウェイ、エンドポイント保護、ウェブアプリケーション保護、分散サービス拒否、 脆弱性管理、 セキュリティオーケストレーションなど、ほとんどのセキュリティ技術分野に広く取り入れられ始めています。

組織のセキュリティプログラムに脅威インテリジェンスをまだ含めていない場合は、 すでに使用しているものを確認し、脅威インテリジェンスがどのように効果を高めるかを確認することから始めるのが良いでしょう。 多くの脅威インテリジェンスソリューションは、すでに使用しているセキュリティ製品と摩擦なく統合できる機械可読インテリジェンスを提供しており、オープンソース標準を使用するソリューションが増えているため、プラットフォーム間でのデータ共有がこれまで以上に容易になっています。

2. セキュリティチームの脆弱性の優先順位付け

効果的な 脅威インテリジェンスプログラムの 最適な使用法の1つは、組織が脆弱性を評価するための簡単な指標を作成するのに役立つデータを収集し、分析を実行することです。 この指標は、解決できる問題と、利用可能な時間とリソースを考慮して、最も大きな違いを生む解決策との間の重複の尺度である必要があります。

脆弱性を優先する従来のアプローチは、最善のセキュリティ アプローチは「あらゆるもの、常に、あらゆる場所にパッチを適用する」という姿勢から来ています。 この目標を達成すると、理論的には、完全に侵入不可能なシステムにつながりますが、それは信じられないほど高い基準を設定します。 したがって、このアプローチに従う組織は必然的に妥協し、「最大」の問題を最初に追求します。

しかし、一般に信じられていることとは反対に、「最大」の問題(実際にどれだけの損害をもたらすかに基づく)は、ゼロデイ脅威や巧妙な新しいエクスプロイトのような問題ではなく、悪用され続けている同じ古い脆弱性であり、まさに非常に多くの組織が脅威ハンティングで新しい脅威を優先しているため、ファンダメンタルズの改善に焦点を当てるのではなく、新しい脅威を優先しています。

脅威アクター は、あなたと同じように、あるいはそれ以上に、時間や利用可能なリソースによって制限されています。 彼らは当然、結果を提供し続ける限り、最も単純でリソース消費の少ないエクスプロイトを使用する傾向があります。

ガートナーは、過去10年間に発見された脆弱性を分析した結果、 新しいCVE がほぼ安定した割合で発見され、同じ期間にエクスプロイトの数が指数関数的に増加していることを発見しました。 これは、新しいエクスプロイトの大部分が古いエクスプロイトのバリエーションであったことを示しており、組織の最優先事項は、新しい脅威を心配するのではなく、既知の脆弱性にパッチを適用することであることを明確にしています。

3. オープンウェブ、ディープウェブ、ダークウェブのモニタリング

脅威インテリジェンスソリューションは、インターネット上のオープンソースとクローズドソースの両方から脅威データを収集する必要があります。

要するに、オープンソースはインターネット上のすべての人に公開されています。 これには、検索エンジン(サーフェスウェブと呼ばれることもあります)でインデックスされるすべてのデータが含まれます。 これは約45億6000万ページで構成されていますが、インターネットの公開部分は、オンラインの全データの約4%しか占めていません。

残りの96%は、ディープウェブとダークウェブに分かれています。 そのデータの約90%を占めるディープウェブとは、安全なログインやペイウォールの背後に閉じ込められ、検索エンジンのクローラーの手の届かないところにあるインターネットの部分を指します。 この情報のほとんどは、科学、学術、または政府のレポート、財務記録や病歴などの個人情報、および民間企業のデータベースが含まれます。

インターネット上の全データの残りの6%を占めるダークウェブは、暗号化と匿名性を提供するTorなどのブラウザを介してのみアクセスできるWebサイトで構成されています。 これに限ったことではありませんが、多くのウェブサイトでは違法な商品やサービスのマーケットプレイスを提供しています。

脆弱性とそのエクスプロイト は、ダークウェブとディープウェブの両方のスペースで、脆弱性を安全に保つことを望む当事者と脅威アクターの両方によって一般的に議論され、取引されています。 そのため、これらの 脅威インテリジェンスソースから 脅威データを収集して、そこにある脅威をより包括的かつ最新の状態に保つことが不可欠です。

これらのスペースへのアクセスにはより多くのスキルが必要であり、リスクも高いため、特定の脅威インテリジェンスソリューションの主な価値の1つは、彼らがあなたのためにそれを行うことです。 ガートナーのマーケットガイドによると、これらのスペースに効果的に侵入し、効果的かつタイムリーな分析を提供するには、長年の経験が必要であり、最も効果的な脅威インテリジェンスプログラムには、どのアルゴリズムでも再現できない専門家による分析が付属しています。

4. ブランドモニタリング

脆弱性やエクスプロイトに関する議論は主にインターネットの閉ざされた部分で行われますが、特に ソーシャルメディアチャネル上の新たなサイバー脅威 に対して、情報源を監視する実行可能な 脅威インテリジェンスプラットフォーム を選ぶことには依然として大きな価値があります。この分野で脅威を特定すること自体がスキルであり、組織のブランドと脅威アクターがそれを悪用しようとする多様な方法を認識する必要があります。

これらの脅威は公共の場に現れ、より広範な監視の対象となるため、より巧妙で、ソフトウェアの悪用ではなくソーシャルエンジニアリングの手法に依存することが多く、認識するにはある程度の専門知識が必要です。

たとえば、 ブランド監視を含む脅威インテリジェンスソリューションは 、スタッフが受け入れた偽のソーシャルメディアプロファイルや悪意のあるソーシャルメディアプロファイルを探したり、スタッフのプロファイルを模倣したり、ソーシャルメディアプロファイルに投稿された悪意のあるリンクを特定したり、知的財産の損失や盗難を評価したりする場合があります。

ソーシャルメディアやブランドモニタリングを通じて特定できるサイバー攻撃には、フィッシング、偽旗スキーム、ドメイン詐欺、活動家や「トローリング」攻撃などがあります。 専門的に開発された脅威インテリジェンスソリューションは、オープンソースのツールやアドホックなアプローチよりもはるかに効率的で、誤検知も少なくなります。

5. 脅威指標の調査、強化、対応

もちろん、すべての攻撃を防げるわけではなく、多くの脅威インテリジェンスソリューションの価値の1つは、オペレーショナル脅威インテリジェンスを通じてインシデント対応の速度と精度を向上させる能力です。 ガートナー社はこのガイドで、予防に重点を置くのではなく、 脅威の検出と対応の両方を等しく含む、よりバランスの取れたアプローチに移行することを提唱しています。

このフレームワークの一部には、上記で詳述したように、脆弱性の優先順位付け方法を再考することが含まれています。 また、ファイルやオブジェクトを送信するためのオンデマンドアクセスを許可し、疑わしいファイルハッシュ、ドメイン名、アドレスなどの侵害の兆候を探し、それらを一部のソリューションが保持している大規模なデータセットと比較することで、組織のデータを充実させる脅威インテリジェンスソリューションがあると役立つ場合もあります。

一部のソリューションには、脅威をプロアクティブに追跡する能力さえあります。 インシデント対応は、定義上、事後対応型のプロセスですが、より高度なソリューションでは、脅威が実際に組織に対して実装される前に、脅威を探ることができます。

脅威ハンティング は、システムを最新の状態に保ち、自社のネットワークを綿密に監視するなど、セキュリティスタンスの基本をすでに維持している成熟した組織を必要としますが、それを効果的に実行できる組織には、非常に貴重な追加のセキュリティレイヤーを提供します。

脅威インテリジェンス評価のフレームワーク

また、Gartner のマーケット ガイドでは、さまざまな脅威インテリジェンス サービスを、次の 2 つのスケールで分類して評価する簡単な方法も提供しています。

Threat Intel の使用例:時間枠別またはリスクの種類別の例

セキュリティ強化のためのサイバー脅威インテリジェンスの導入

脅威インテリジェンスを組織のサイバーセキュリティ戦略に組み込むことは、進化するサイバー脅威に先手を打つために重要です。 脅威インテリジェンスソリューションの導入は、サイバーセキュリティ体制(またはセキュリティチーム)を強化し、ますます巧妙化するサイバー脅威から身を守りたいと考えている組織にとって非常に重要です。

脅威インテリジェンスは、脅威を予測、特定、対応するために必要な実用的な洞察を提供し、セキュリティチームが常にサイバー攻撃者の一歩先を行くようにします。 組織は、インシデント対応の強化、プロアクティブな脅威ハンティング、脆弱性管理など、さまざまなユースケースで脅威インテリジェンスを活用することで、資産をプロアクティブに保護し、リスクを軽減し、より安全なデジタル環境を確保できます。

脅威インテリジェンスがサイバーセキュリティ戦略とセキュリティチームをどのように強化できるかについては、Recorded Futureにデモをリクエストしてください

この記事は2018年1月23日に公開され、2024年6月25日に最終更新されました。

よくある質問

脅威インテリジェンスの4つのタイプとは何でしょうか?

脅威インテリジェンスの4種類は以下の通りです:

  • 戦略的: 新興トレンド、地政学的出来事、主要な脅威アクターに関するハイレベルな洞察を提供し、長期的な計画の指針となります。
  • 戦術的:脅威アクター / 敵対者戦術、TTPs、TTPs(TTPs)の詳細を守備戦略の参考にします。
  • 運用中: 即時かつ実行可能なキャンペーン、インシデント、または攻撃に関する情報。
  • 技術的な面: 情報漏洩/侵害(IOC)の特定の指標、例えばIPアドレス、ドメイン名、ファイルハッシュ、マルウェアの署名など、検知や防止に用いられます。

脅威インテリジェンスの5つの段階とは何ですか?

脅威インテリジェンスの5つの段階は以下の通りです:

  • 方向性/計画:組織目標に沿った情報収集の要件と目標を定義する。
  • コレクション: 内部情報源、OSINT、ソーシャルメディア、ダークウェブの監視から生データを収集します。
  • 処理/分析:パターン、傾向、関連する脅威を特定することにより、生データを意味のある洞察に変換する。
  • 情報共有:利害関係者、SOCチーム、またはセキュリティ意思決定者と実用的な情報を共有する。
  • フィードバック/レビュー:有効性を評価し、要件を精緻化し、インテリジェンスサイクルを継続的に改善する。

脅威インテリジェンスプラットフォームとは何ですか?

脅威インテリジェンスプラットフォーム(TIP)は、オープンウェブ、ディープウェブ、ダークウェブフィードを含む複数の情報源からの脅威データを収集、分析、配信し、セキュリティチームに実用的なインサイトを提供します。

脅威インテリジェンスはどのようにSOCワークフロー統合を支援しているのか?

CTIにより、SOCチームは以下のことが可能になります。

  • アラートトリアージと相関の自動化
  • 優先度の高い脅威を迅速に特定する
  • Enhance threat ハンティング とインシデント レスポンス 効率