仕事に来て、コンピューターの電源を入れて、会社のウェブサイトが機能していないこと、商品が税関で立ち往生して倉庫に到達できないことを想像してください。 そして、コンピューターのスクリーンセーバーでも、なじみのない誰かが面白い写真を配信しました。 会計士があなたのところに来て、すべての資金が口座から引き出されたことを知らせ、あなたの個人データはその存在でインターネット全体を喜ばせます。 一杯のコーヒーを飲んで窓に行くと、道路を横切って隣の会社がすでにあなたのかつてユニークな製品をリリースしています。 それで、あなたの美しい妻は、より成功した競争相手と一緒に飛び去りました。 この時点で、理解が得られます-あなたはハッキングされました。
しかし、あなたは警告されました-TIを置く必要がありました。 しかし最初に、それがどのように機能し、保護するかを見てみましょう。
脅威インテリジェンス-攻撃の可能性を予測し、防止するために、実際の脅威に関するデータを取得して分析することがタスクであるサイバーインテリジェンス。
脅威のインテリジェンスは、次の段階で構成されています。単一システム内のさまざまなソースからの脅威に関するデータの収集と蓄積、得られた知識の強化、分析、および適用。
データの収集と蓄積
脅威データは、次のシステムを使用して収集されます。
検索ロボット -インターネット上の既存のサイトに関する情報を収集するシステム。
サンドボックス -マルウェアを検出および分析するために疑わしいコードを安全に実行するための隔離された環境。
ボットネットネットワークの監視 -攻撃者の管理サーバーの制御下にあるコンピューターのネットワーク。
ハニーポット -攻撃者に餌として割り当てられたネットワークセグメントで、組織のメインの安全なネットワークから分離されています。
センサーは、さまざまなデバイスから有用な情報を収集するエージェントプログラムです。
また、データベースにはリークのデータベースが補充されます。これは、オープンソースに違法に侵入した機密情報です。 これには、システムおよびサービスからの資格情報、電子メールアドレス、クレジットカード情報、パスワードを使用できます。
OSINTオープンソースから、フィード(構造化された分析データ)が送信されます-悪意のあるファイルの配布元のIPアドレスとドメイン、そのサンプルとハッシュに関するデータ。 フィッシングサイトのリストとフィッシングメールの送信者のメールアドレス C&C(コマンド&コントロール)サーバーのアクティビティ。 システムバージョン、サービスバナー、および脆弱性のインベントリおよび検出を目的としてネットワークがスキャンされるアドレス。 ブルートフォース攻撃が行われるIPアドレス。 マルウェア検出用のYara署名。
有用な情報は、分析センター、CERT、独立した研究者のブログのサイトで見つけることができます:発見された脆弱性、それらの検出のルール、調査の説明。
標的型攻撃を調査するプロセスのアナリストは、悪意のあるファイルのサンプル、ハッシュ、IPアドレスのリスト、ドメイン、不正なコンテンツを含むURLを受け取ります。
このシステムは、ソフトウェアで検出された脆弱性に関するデータと、パートナー、ベンダー、顧客からの攻撃も受信します。
情報はSZIから収集されます:ウイルス対策、IDS / IPS、ファイアウォール、Webアプリケーションファイアウォール、トラフィック分析ツール、イベントログツール、不正アクセスに対するセキュリティシステムなど。
収集されたすべてのデータは単一のプラットフォーム内に蓄積されるため、脅威に関する情報を充実、分析、広めることができます。
データの充実
特定の脅威について収集された情報は、コンテキスト情報-脅威の名前、検出時間、ジオロケーション、脅威のソース、状況、目標、攻撃者の動機によって補完されます。
また、この段階で、エンリッチメントが行われます-データエンリッチメント-既知の攻撃に対する技術的な性質の追加属性を取得します。
- URL
- IPアドレス
- ドメイン
- Whoisデータ
- パッシブDNS
- GeoIP-IPアドレスに関する地理情報
- 悪意のあるファイルとそのハッシュのサンプル
- 統計および行動情報-攻撃を行うための手法、戦術、手順
分析
分析段階では、次の基準に従って、1つの攻撃に関連するイベントと属性が組み合わされます:領土の場所、期間、経済セクター、犯罪グループなど。
さまざまなイベント間の接続が決定されます-相関関係。
フィードを使用する場合、フィードのソースは業界の仕様に応じて選択されます。 特定の会社に関連する攻撃の種類。 セキュリティシステムのルールでカバーされないリスクをカバーする属性とIOCの存在。 次に、フィードの値が決定され、次のパラメーターに基づいて優先順位が付けられます。
- フィードデータソース-このソースがOSINTソースからのデータのアグリゲーターであり、独自の分析を提供しない可能性があります。
- 関連性-提供されるデータの適時性と「鮮度」。 2つのパラメーターを考慮する必要があります。攻撃が検出されてから、脅威データを含むフィードが広がるまでの時間は最小限に抑える必要があります。 ソースは、脅威情報が最新であることを保証する頻度でフィードを配信する必要があります。
- 一意性-他のフィードで見つからないデータの量。 フィードが提供する分析の量。
- 他のソースでの発生。 一見、複数のソースからのフィードに属性またはIOC(侵害の指標)が見つかった場合、その信頼レベルを上げることができるように思えるかもしれません。 実際、フィードの一部のソースは同じソースからデータを引き出すことができるため、情報を検証できません。
- 提供されたコンテキストの完全性。 攻撃の目的、経済のセクター、犯罪グループ、使用されたツール、攻撃の期間など、情報がどの程度適切に分類されたか
- フィードのデータに基づくSISのルールの品質(誤検知の割合)。
- データユーティリティ-インシデント調査におけるフィードデータの適用可能性。
- データを提供するための形式。 プラットフォームへのロードの処理と自動化の利便性が考慮されます。 Threat Intelligence用に選択されたプラットフォームは、必要な形式をサポートしていますか?データの一部が失われています。
フィードからのデータを分類するには、次のツールが使用されます。
- タグ
- 分類法は、攻撃、脅威の伝播、データ交換などによって分類されたライブラリのセットです。たとえば、ENISA、CSSA、VERIS、Diamond Model、Kill Chain、CIRCL、MISPには独自の分類法があります。
- クラスタリングは、脅威と攻撃の静的な兆候によって分類された一連のライブラリです。 たとえば、経済のセクター。 使用されたツールとエクスプロイト。 TTP(Tacticks、Techniques&Procedures)、ATT&CK Matrixに基づいた、システムへの侵入、運用、統合の段階と方法。
アナリストは、攻撃者の戦術、手法、および手順を特定し、システムへの侵入モデルにデータとイベントを課し、攻撃のチェーンを構築します。 保護されたシステムの複雑なアーキテクチャとコンポーネント間の関係を考慮して、攻撃の一般的な見解を策定することが重要です。 複数のホストおよび脆弱性に影響を与える多段階攻撃の可能性が考慮されます。
申込み
実行された作業に基づいて、予測が実行されます。業界の詳細、地理的位置、時間枠、可能なツール、および破壊的な結果の程度を考慮して、考えられる攻撃の方向が特定され、体系化されます。 特定された脅威は、実装中の潜在的な損傷に応じて優先順位が付けられます。
脅威インテリジェンス情報を使用すると、インターネット上に落ちた組織の機密データの漏洩を検出し、ブランドリスクを制御できます-ダークネットフォーラムでの攻撃計画の議論、フィッシング会社でのブランドの不正使用、企業秘密の開示、競合他社によるその使用
収集された知識ベースは、SISの攻撃検出ルールを作成し、SOC内の脅威に迅速に対応し、インシデントを調査するために使用されます。
スペシャリストは、脅威モデルを更新し、変更された条件に関連するリスクを再評価します。
おわりに
このような統合アプローチにより、情報システムに侵入しようとする段階で攻撃を防ぐことができます。
SOCサービスを提供する場合、セキュリティの脅威に関する情報を収集および分析するためのプラットフォームは、FSTECの要件に含まれます (段落24)。 さらに、Threat Intelligenceは、国家SOPCAの枠組み内で脅威に関する情報の交換を支援できます。
脅威データの収集、分析、使用にサイバーインテリジェンスの専門家の経験を活用することで、ISユニットは自社の情報保護を適切な最新レベルに引き上げることができます。