現在、脅威と攻撃者は急速に進化しており、ほとんどの組織はそれについていくことができません。新しく洗練されたゼロデイ脆弱性も出現し、攻撃者に悪用されて企業システムを危険にさらしています。同時に、巧妙な攻撃者は、数カ月から数年にわたり企業システムに潜伏し、貴重な企業データを徐々に盗んでいきます。
脅威インテリジェンスは、高度な攻撃を阻止するためのセキュリティ対策を導入・管理しようとする企業のセキュリティチームにとって、2倍の効果を発揮します。既存の情報セキュリティ・プログラムに脅威インテリジェンスを追加することで、脅威評価を強化し、最新の攻撃を阻止するために企業環境でどのセキュリティ対策を導入すればよいかを示す、より重要なデータを提供することができます。
この記事では、脅威インテリジェンスとは何か、そして脅威インテリジェンスを企業の情報セキュリティ・プログラムにどのように組み込むことができるかについて説明します。
脅威インテリジェンスの歴史と現状
企業やサービスプロバイダーによって、脅威インテリジェンスの定義は異なります。脅威インテリジェンスを攻撃発生時の発見と定義する企業もあれば、脅威メーカーが攻撃に使用する手法と定義する企業もあります。一般的に、脅威インテリジェンスとは、企業が最新の脅威ベクトルに関する情報をさまざまなソースから収集・分析し、その情報を利用して攻撃を防御することです。
情報セキュリティ分野の専門家の多くは、電子メール・リスト、電子雑誌、インターネットが急速に普及していた旧来型の攻撃時代にキャリアをスタートさせました。当時は、こうした比較的単純な情報源を脅威のインテリジェンスに利用していましたが、それでも当時の人々は、攻撃や研究のさまざまな分野における最新の状況を知り、理解していました。これとは対照的に、最も専門的なセキュリティ専門家でさえ、絶えず発見される新しい脅威のすべてを把握しているとは考えにくい今日では、このようなことは不可能でしょう。
近年、組織はITセキュリティ・リスク管理の手法を活用して、セキュリティ管理の最適化を図るとともに、情報セキュリティ計画を適応させようとしていますが、これらの手法は、リスクを効果的に管理するために十分に洗練されていません。セキュリティ管理を最適化するための新たな手法を追加することで、特に攻撃の特定を迅速化し、インシデント対応時間を短縮することで、組織が最新の攻撃に迅速に対応できるようになります。
では、この「インテリジェンス」はどこから来るのでしょうか?組織は、脅威インテリジェンス・プログラムをゼロから構築するために、リサーチャーやアナリストで構成される独自のチームを編成するために多大なリソースを投資することもできますが、ほとんどの場合、そのような資金はありません。もう一つの選択肢は、セキュリティ・ベンダーが提供する脅威インテリジェンス・サービスに加入することです。各ベンダーにはそれぞれ得意分野がありますが、多くのベンダーは自社のポートフォリオの強みを強調する脅威インテリジェンスに重点を置こうとしているため、組織はハイブリッド型サービスや統合型サービスの採用を検討する必要があります。第三のアプローチとして人気を集めているのが、情報共有・分析センターに参加することです。このアプローチでは、業界固有の脅威データを共有し、それをローカルの分析やツールに統合します。
脅威インテリジェンスの統合
脅威インテリジェンスの情報源を選択した後、組織は脅威インテリジェンスを情報セキュリティ計画に統合する方法を見つけなければなりません。例えば、既知の悪意のあるIPアドレスをファイアウォールに入力してブロックしたり、既知の悪意のあるドメイン名をDNSでブロックしたり、悪意を持ってダウンロードされたファイルをネットワーク監視ツールで特定したり、システム管理ツールに組み込んで特定のファイルやツールを特定したりすることができます。また、感染ホストを特定するための脅威インテリジェンスリソースを統合するようにSIEMシステムを構成することもできます。その後の調査で得られた追加の脅威データを使用して、異なるシステムや他の企業と共有するシステムをさらに分析し、情報を活用することもできます。
脅威インテリジェンスの大きなセールスポイントの1つは、組織がこの情報を利用して、攻撃が開始されるとすぐに防御できることです。特定のソフトウェアやシステム、業界を標的とした攻撃について脅威インテリジェンスを監視することで、組織は脆弱なソフトウェアやシステムを使用しているかどうかを判断し、攻撃が発生する前に緩和策を導入することができます。例えば、攻撃者が脆弱なバージョンのWordPressを使用しているウェブサーバを標的とし、それを内部ネットワークへの攻撃の支点にしようとしている場合、組織は脆弱なWordPressのインストールを探し、緩和策を導入するか、あるいは最新バージョンにアップデートして、この攻撃を阻止することができます。大規模な組織では、企業ネットワークのある領域を標的とした攻撃から、ネットワーク全体に対する攻撃を調査するために使用できる脅威データを発見することができます。
内部脅威インテリジェンスの収集と管理は一見合理的に見えますが、他の多くの企業のデータを効果的に活用してこの種の作業を行うためには、組織はサードパーティのサービス・プロバイダーを利用するのが賢明です。サービス・プロバイダーは、インバウンドのインテリジェンス情報からデータを検証し、照合することができるため、組織はデータを社内ツールにインポートするだけで、攻撃の阻止と検知に集中することができます。
概要
高度な攻撃者を阻止するためには、企業の情報セキュリティ・プログラムは十分な柔軟性を持ち、意思決定プロセスを改善する新しい手法を追加する必要があります。脅威インテリジェンスをオンプレミスまたはサービス・プロバイダーから情報セキュリティ・プログラムに追加することで、組織はセキュリティ活動を最適化し、攻撃を阻止できる可能性が最も高い分野に集中することができます。脅威がより洗練され、標的型になるにつれて、組織は、あらゆる機会をとらえて、脅威に対抗するために使用される手法についての知識を深め、この知識を利用して、より効果的なセキュリティ・プログラムを構築する必要があります。
