ユースケース：

• 脆弱性データの強化と優先順位付け
• 迫り来る攻撃に対する状況認識を提供する
• 長期計画のための脅威の状況のマッピング

課題：

小規模なセキュリティチームが、オープンウェブやダークウェブから、特定の業界（電気通信事業）と特定の地域（スカンジナビア）にフィルタリングされた幅広いインテリジェンスにアクセスする必要がある。

解決策：

• Vulnerability Intelligence
• Splunk Enterpriseインテグレーション
• Threat Intelligence
• Brand Intelligence
• Recorded Future Insikt GroupによるリサーチおよびAnalyst-On Demandサービス

成果：

• ノルウェーの通信会社に対する実際のリスクに基づいて脆弱性をトリアージし、優先順位を付ける
• フィッシング、ランサムウェア、DDoS、その他の攻撃の早期警告
• ノルウェーの通信会社と政府機関は、時間をかけてセキュリティプログラムを強化するためのより良い決定を下すことができます

ある政府機関はインテリジェンスを活用して脆弱性に優先順位を付け、進化する通信業界の脅威の状況を追跡

ノルウェーの通信業界を保護する

ノルウェー通信庁（Nasjonal kommunikasjonsmyndighet、またはNkom）は、ノルウェーで電子通信サービスを提供する組織、主に電気通信会社を監督およびサポートする政府機関です。主要な責任の一つに、電子通信ネットワークのセキュリティと回復力の確保があります。

Ole Kristoffer Apeland氏は、Nkom EkomCERTのチーフセキュリティエンジニア兼チームリーダーです。彼が率いるチームは、ノルウェーの電気通信事業者やデジタル通信事業者と協力して、サイバー攻撃の防止や新たな脅威への備えを支援しています。

Ole氏のチームは、ノルウェーの電子通信業者や電子商取引企業を標的とする悪意のある攻撃者を特定し、データの盗難、詐欺行為、ネットワークの混乱に悪用される脆弱性を特定する任務を負っていました。チームは、よくある傾向や一般的な脆弱性スコアを超えて、スカンジナビアで発生している、または間もなく発生する可能性のある、電気通信業界固有の攻撃を特定する必要がありました。この情報があれさえすれば、Nkom EkomCERTの通信業界の顧客企業は、ビジネスに実際の脅威をもたらす特定の脆弱性に優先順位を付け、緩和することができます。

この小グループも、ノルウェーの電気通信事業者に進化する脅威の状況への可視性を提供するという、同様の課題に直面していました。フィッシング、ランサムウェア、分散型サービス拒否（DDoS）攻撃、APT（高度持続的脅威）、消費者詐欺、その他の脅威に関連する動向を監視し、ノルウェーの電気通信事業者やデジタル通信事業者がスタッフやセキュリティ技術への投資を計画するのに役立つインサイトを提供する必要がありました。

Ole氏と彼のチームは、任務を遂行するために必要な、深くリアルタイムのセクター固有のインテリジェンスを入手するためのリソースがないことに気づきました。複数の企業から提供されたインテリジェンスを評価した結果、最高のインテリジェンスとサポートを提供できる企業としてRecorded Futureを選択しました。

リスクベースのパッチ適用のための脆弱性データの強化

Nkom EkomCERTは、さまざまな技術ベンダーや、CVEデータベースなどの業界の情報源から、新たに発見された脆弱性を着実に受け取っています。Recorded Futureのインテリジェンスを使用する前に抱えていた課題は、どの脆弱性がノルウェーの電気通信事業者およびデジタル通信事業者に対し差し迫る脅威となるかを確認し、その脆弱性を悪用する攻撃を緩和するための最善のアプローチを決定することでした。

Ole氏のチームは、Recorded Future Vulnerability IntelligenceとRecorded FutureのSplunk Enterpriseとのインテグレーションを利用して、脆弱性データを充実させ、悪用の可能性に基づいて、各脆弱性にある組織に対するリスクを明確に把握できるようにしています。Recorded FutureとSplunk Enterpriseのインテグレーションによって提供されるデータエンリッチメントにより、Nkom EkomCERTは、最も重要な脆弱性への対処の優先順位を付けることができます。

「Recorded FutureのSplunkインテグレーションにより、適切な脆弱性に対して効果的に優先順位を付け、緊急に対処することができます。人の数より作業の数が多くなることが頻繁に発生するため、時間を最も有効に活用できる箇所を特定するのにこれが役立っています。Recorded FutureのSplunkインテグレーションから提供される脆弱性データのエンリッチメントにより、重要なところに労力を投入していることに確信を持てるようになりました」とOle氏は話しています。

以前、Ole氏のチームは脆弱性のエンリッチメントのために他の情報源を頼っていましたが、他のベンダーでは必要なレベルのエンリッチメントが得られないと感じていました。これをOle氏は次のように語っています。「これまで、脆弱性に関する追加のコンテキストを提供するために他のベンダーを利用したことがありますが、そのデータとサービスは当社の品質基準を満たしていませんでした。今では、長年にわたり、Recorded FutureのVulnerability IntelligenceとSplunkインテグレーションを使用しており、これが現在の業務の中心となっています。」

Recorded Futureが提供する、Splunkインスタンス内で直接アクセスできるエンリッチメントに頼るだけでなく、Recorded Future Intelligence Platform内のVulnerability Intelligenceも活用して真のリスクを評価しています。インテリジェンスを活用することで、Ole氏とそのチームは、以前に悪用された脆弱性の例、攻撃の種類と脅威アクターとの関連性、リスクスコアなど、それぞれの脆弱性の背景を把握することができます。Ole氏のチームの主な焦点は、通信会社で一般的に使用されている製品の脆弱性を特定し、構成組織に通知することです。潜在的に重要な脆弱性が特定されると、チームはRecorded Futureの情報を使用して、時間的な指標、特に脆弱性のライフサイクルにおける段階に基づいて、その脆弱性を評価します。

脆弱性ライフサイクルを使用する

脆弱性はライフサイクルを経て進化します。まず「発見」や「公表」の段階（エクスプロイトが理論的な段階）、次に「概念実証コード」の開発（悪用は可能だが攻撃にはすぐに使用できないことを実証する）です。その後、「実用的なエクスプロイトコード」が登場（熟練した攻撃者が利用できる）し、「エクスプロイトキット」（技術的スキルの低い攻撃者でも容易に脆弱性を悪用できる）がダークウェブなどで入手可能になります。そして最終的に「現実世界（in-the-wild）」での攻撃が活発化する段階へと至ります。

このタイムラインの後半の段階にある脆弱性は、悪用される可能性が高く、直ちに修正する必要があります。初期段階にあるものは将来のリスクを表していますが、対処の必要性は、優先度の高い脆弱性よりも後です。

Recorded Futureから得るインテリジェンスにより、Nkom EkomCERTは進化の段階に基づいて脆弱性を評価できます。Nkom EkomCERTはこれらの評価をノルウェーの電気通信事業者や政府機関と共有し、脆弱性をトリアージして、近い将来に悪用される可能性が最も高い脆弱性に優先順位を付けられるようにしています。

迫り来る攻撃に対する状況認識を提供する

電気通信事業者は、ネットワークへのDDoS攻撃、APT、フィッシング、ビジネスへのランサムウェア攻撃、顧客に対する詐欺キャンペーンなど、さまざまなサイバー脅威にさらされています。Nkom EkomCERTの責務のひとつは、ノルウェーの電気通信事業者が次の脅威の波に備えることができるよう、これらの分野における活動に関する警告を早期に提供することです。

Ole氏のチームは、迫り来る攻撃や進行中の攻撃の兆候を発見するためにRecorded Futureを活用しています。早期に警告を提供するために、Recorded Futureは次のことを行います。

• フィッシングキャンペーンやランサムウェア攻撃など、テレコム組織やスカンジナビアの企業に対する脅威に関する「チャッター」を数百のダークウェブフォーラムで検索。
• ダークウェブ市場を監視して、顧客向けアプリケーションを標的とするAPTや、ネットワークへのDDoS攻撃に使用される可能性のあるコードやエクスプロイトキットがないかを監視する。
• コードリポジトリとダークウェブ市場を監視して、ノルウェーの電気通信事業者とその子会社が使用しているインターネットドメインに関連する盗まれた認証情報を探し、アカウント乗っ取りや認証情報盗用攻撃を警告する

現在、電気通信事業者は多種多様なサービスを提供しているため、Nkom EkomCERT向けのRecorded Futureのデータは、携帯電話や固定電話サービス、メッセージングおよびコラボレーションアプリケーション、インターネットサービス、ストリーミングメディアおよびエンターテイメントなど、幅広い業界セグメントとテクノロジーを網羅しています。

長期計画のための脅威の状況のマッピング

Nkom EkomCERTは、ノルウェーの電気通信事業者やその他の政府機関に対する脅威の状況を把握する上で重要な役割を果たしています。この役割を果たすために、Ole氏のチームはRecorded Futureの情報を活用して、悪意のある行為者の進化し続ける活動を監視し、フィッシング、ランサムウェア、分散型サービス拒否（DDoS）攻撃、APT、消費者詐欺、および電気通信業界に関連するその他の脅威に関するリアルタイムの可視性を提供します。オープンウェブとダークウェブの情報源を網羅するRecorded Futureの幅広く詳細な情報と、攻撃のコンテキストおよび分析を組み合わせることで、Nkom EkomCERTとノルウェーの電子通信業者およびデジタル通信業者は、自社の業務に最も影響を与える可能性の高い脅威を予測し、対策を講じることができます。

Ole のチームは、Recorded Future の顧客に Analyst-On demand サービスと標的型脅威リサーチを提供するベテラン脅威研究者のチームである Recorded Future Insikt Group の分析と洞察も幅広く活用しています。Nkom EkomCERT のサイバーセキュリティの専門知識は、Recorded Future の情報と洞察によって強化され、ノルウェーの通信会社と政府機関がリソースを割り当て、セキュリティプログラムを長期にわたって強化するための賢明な決定を下すのに役立っています。

Recorded FutureがNkom EkomCERTの成功をどのようにサポートしているか

Ole氏のチームは、Recorded Futureから得た情報によって、ノルウェーの電気通信業界にガイダンスを提供する能力が大幅に強化されたと感じています。チームは、Recorded Futureの以下の機能を特に高く評価しています。

• 基本的な脆弱性データをコンテキストと時間的メトリクスで強化
• 迫り来る攻撃の兆候を探るために、数百のオープンウェブとダークウェブのサイトを体系的に監視
• 電気通信事業者、およびスカンジナビア地域に特化した情報を作成する
• インテリジェンスを継続的に更新して状況認識を維持
• 重要なサイバーセキュリティ動向に関するデータと、それがNkom EkomCERTとその構成組織にどのように適用されるかについてのインサイトを提供する。
• 迅速なサポートと専門家による支援を提供する