あなたのチームは時間内に次のゼロデイを受け入れますか?
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
脅威ハンティングとは、組織のネットワーク内で未知のサイバー脅威を能動的に探索・排除するプロアクティブなセキュリティー手法です。
脅威ハンティングが重要なのは、組織が、気付かれない可能性のあるランサムウェア、内部脅威、その他のサイバー攻撃に対するセキュリティー態勢を強化する上で役立つためです。
自動化されたセキュリティー・ツールと用心深いセキュリティー・オペレーション・センター(SOC)・アナリストは、重大な被害が発生する前にほとんどのサイバーセキュリティーの脅威を検知できますが、一部の高度な脅威はこれらの防御をすり抜ける可能性があります。
悪意のある人物がシステムに侵入すると、発見されるまでに数週間、あるいは数カ月も潜伏することがあります。IBMのデータ侵害のコストに関する調査レポートによると、データ侵害が発生したことを特定するには平均で194日かかることが明らかになっています。その間、攻撃者はデータを抜き取り、認証情報を盗んでさらなるアクセスのロックを解除します。
これらの潜在的な脅威はどの程度の損害を与える可能性があるでしょうか。データ侵害のコストに関する調査レポートによると、データ侵害により企業にかかる平均コストは488万米ドルに上ります。最初のアクセスから封じ込めまでの時間が長ければ長いほど、組織にかかるコストは増大する可能性があります。
効果的な脅威ハンティングには、セキュリティー・チームがこれらの隠れた脅威を積極的に探すことが含まれます。その結果、組織は侵入をより迅速に発見し、軽減策を展開できるため、攻撃者がもたらす損害を軽減できます。
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サイバー脅威ハンターは熟練したサイバーセキュリティーの専門家です。通常、彼らは企業のIT部門内のセキュリティー・アナリストであり、組織のオペレーションをよく知っていますが、外部のアナリストである場合もあります。脅威ハンティング・チームは、セキュリティー自動化を使用して、脅威が深刻な問題を引き起こす前に、脅威を検索、記録、監視、無効化します。
脅威ハンティング・プログラムはデータに基づいています。具体的には組織の脅威検知システムやその他のエンタープライズ・セキュリティー・ソリューションによって収集されたデータセットです。
脅威ハンティングのプロセスでは、脅威ハンターがこのセキュリティー・データを徹底的に調べ、隠れた マルウェア、ステルス攻撃者、および自動化システムが見逃した可能性のあるその他の疑わしいアクティビティーの兆候を探します。
脅威ハンターは何かを発見すると、すぐに行動を起こし、脅威を根絶し、防御を強化して、同じことが再び起こらないようにします。
脅威ハンターは、観察、セキュリティー・データ、またはその他のトリガーに基づいて仮説を立てます。仮説は、潜在的な脅威をより詳細に調査するための出発点となります。
調査は通常、構造化されたハンティング、非構造化されたハンティング、または状況に応じたハンティングの3つの形式のいずれかで行われます。
MITREのATT&CK (Adversary Tactics Techniques and Common Knowledge) フレームワークなどの正式なフレームワークは、構造化されたハンティングをガイドします。これらのフレームワークでは、定義済みの攻撃の指標(IoA)と、既知の脅威アクターの戦術、技法、手順(TTP)を検索します。
非構造化ハンティングは、構造化ハントよりも反応的です。多くの場合、組織のシステムで侵入の兆候(IoC)が発見されたことがきっかけで開始されます。その後、ハンターはIoCの原因と、それがネットワーク内にまだ残っているかどうかを探します。
状況別ハンティングは、組織の固有の状況への対応です。通常、これは内部のリスク評価またはIT環境の傾向と脆弱性の分析の結果によって推進されます。
エンティティー別ハンティングは、ネットワーク内の重要な資産とシステムに特に焦点を当てています。脅威ハンターは、これらのエンティティーにリスクをもたらす可能性のあるサイバー脅威を特定し、進行中の侵害の兆候を探します。
インテリジェンス・ベースのハンティングは、脅威インテリジェンス・ソースからのIoCに基づいています。脅威ハンターは、セキュリティー情報およびイベント管理(SIEM)システムなどのツールを使用して、ハッシュ値、IPアドレス、ドメイン名、ホスト・アーティファクトなどの既知のIoCを監視します。IoCが発見されると、ハンターはアラートの前後のネットワークの状態を調べて、潜在的な悪意のあるアクティビティーを調査します。
仮説ベース・ハンティングは、MITRE ATT&CKなどのフレームワークに記録されている既知のIoAに基づいて行われます。仮説ベースのハンティングでは、攻撃者が特定のTTPを使用して特定のネットワークにアクセスできるかどうかを調査します。動作が特定されると、脅威ハンターはアクティビティー・パターンを監視して、その動作を使用する脅威を検知、識別、隔離できます。
仮説ベースのハンティングはプロアクティブな性質を持っているため、広範囲に及ぶ被害が発生する前に、高度な持続的脅威(APT)を特定して阻止するのに役立ちます。
カスタム・ハンティングは、組織の状況(過去のセキュリティー・インシデント、地政学的問題、標的型攻撃、セキュリティー・システムからのアラートなど)に基づいています。カスタム・ハンティングでは、インテリジェンス・ベースと仮説ベースのハンティング手法の特性を組み合わせることができます。
セキュリティー・チームは、脅威ハンティングを支援するためにさまざまなツールを使用します。最も一般的なツールには次のものがあります。
SIEMは、ビジネス・オペレーションに支障をきたす前に、組織が脅威や脆弱性を認識して対処するのに役立つセキュリティー・ソリューションです。SIEMは、攻撃を早期に検知し、脅威ハンターが調査しなければならない誤検知の数を減らすのに役立ちます。
EDRソフトウェアは、リアルタイム分析とAIを活用した自動化を使用して、従来のエンドポイント・セキュリティー・ツールを回避するサイバー脅威から組織のエンド・ユーザー、エンドポイント・デバイス、IT資産を保護します。
脅威インテリジェンスは、「サイバー脅威インテリジェンス」とも呼ばれ、組織がサイバーセキュリティーの脅威を防止し、戦うために使用できる詳細で実行可能な情報です。
脅威インテリジェンスは、ネットワークを標的とした最新の脅威と、より広い脅威のランドスケープに関する洞察を組織に提供します。
脅威ハンターは、脅威インテリジェンスを使用して、システム全体にわたって悪意のある行為者を徹底的に検索します。つまり、脅威ハンティングは、脅威インテリジェンスの終了点から始まります。脅威ハンティングは、脅威インテリジェンスの洞察を、既存の脅威を根絶し、将来の攻撃を防ぐために必要な具体的なアクションに変換します。
IBM IAMサービスでセキュリティーとコンプライアンスを強化し、ハイブリッドクラウド環境全体のアイデンティティー管理を合理化します。
IBMのグローバルかつベンダーに依存しない脅威対応サービスで、セキュリティ・プログラムを最適化しましょう。
IBM Verifyで安全なID基盤を構築することで、アクセスを簡素化し、認証を改善し、自信を持って拡張できます。