脅威インテリジェンスは、「サイバー脅威インテリジェンス」(CTI)とも呼ばれ、組織を標的にするサイバーセキュリティー脅威に関する詳細な知識を含むデータです。 脅威インテリジェンスは、セキュリティー・チームが、事前対応型アプローチを進めていくのに役立ち、サイバー攻撃を未然に防ぐための効果的なデータ駆動型のアクションを実行できるようにします。 また、組織が、進行中の攻撃に対し、優れた検知と対応を実践できるように支援します。
セキュリティー・アナリストは、複数のソースから生の脅威情報やセキュリティー関連の情報を集めて、脅威インテリジェンスを作成し、データを関連付けて、分析することで、実際の脅威や潜在的な脅威を詳細に理解できるように、傾向、パターン、関係性を明らかにしていきます。 インテリジェンスの結果には以下のようなものが挙げられます。
IBMの2022年のデータ侵害時に発生するコストに関するレポートによれば、データ侵害時に発生する被害コストは435万米ドルで、そのうち最も被害の割合が大きいのは、検出のコストとエスカレーションのコストで、144万米ドルです。 脅威インテリジェンスは、攻撃をより早く検知するために必要な情報で、セキュリティー・チームを強化し、検出のコストを削減し、侵害の成功に対する影響を抑えます。
脅威インテリジェンスのライフサイクルは、セキュリティー・チームが自身の脅威インテリジェンスを生み出し、提供し、絶えず改善していく際に実践している、反復的な継続プロセスとなります。 その詳細は組織によって異なりますが、多くの場合、同じ6段階のプロセスからなるバージョンに沿っています。
ステップ1:計画
セキュリティー・アナリストは、組織のステークホルダー(経営幹部リーダー、部門責任者、ITおよびセキュリティー・チームのメンバー、サイバーセキュリティーの意思決定に関わるその他の関係者)と協力し、インテリジェンスに関する要件を設定します。 これらには通常、ステークホルダーが答えを知りたい、または答えを知る必要がある、サイバーセキュリティーに関する質問が含まれています。 例えば、CISOは、ニュースの見出しを飾れそうなランサムウェアの新しいひずみが、組織に影響を与える可能性があるかどうかを知りたいでしょう。
ステップ2:脅威データの収集
セキュリティー・チームは、ステークホルダーが探し求めている答えを含んだ、またはその答えにつながる、あらゆる生の脅威データを収集します。 上記の例で続けるなら、セキュリティー・チームが新しいランサムウェアのひずみを調査している場合、チームは攻撃の背後にあるランサムウェアウェアに関する情報、過去に標的にされた組織のタイプ、以前の被害者を脅威に感染させるために悪用された攻撃ベクトルを集めます。
この脅威データは、以下のようなさまざまなソースから取得できます。
脅威インテリジェンス・フィード—リアルタイムの脅威情報のストリーム。 この名前は誤解を招くことがあります。一部のフィードには、処理済み、または分析済みの脅威インテリジェンスが含まれる一方で、生の脅威データで構成されるフィードもあります。 (後者は「脅威データ・フィード」と呼ばれることもあります。)
セキュリティー・チームは通常、複数のオープンソース・フィードと商用フィードに登録します。 例えば、あるフィードは一般的な攻撃のIoCを追跡し、別のフィードはサイバーセキュリティー・ニュースを集約し、また別のフィードはマルウェアのひずみについて詳細な分析を提供し、さらにまた別のフィードは新興のサイバー脅威に関わる会話を見つけるためにソーシャル・メディアやダークWebを集めているかもしれません。 これらすべてのおかげで、脅威をより深く理解することにつながります。
情報共有コミュニティー—フォーラム、職能団体、およびアナリストが直接経験したこと、洞察、自身の脅威データを共有しているその他のコミュニティーです。
米国では、医療サービス、金融サービス、石油・ガス産業などの多くの重要なインフラストラクチャー・セクターが、業界固有のInformation Sharing and Analysis Center(ISAC)を運営しています。 こうしたISACは、National Council of ISACs(NSI)(ibm.com外部へのリンク)を介してお互いの調整を行っています。 国際的には、オープンソースのMISP脅威インテリジェンス共有プラットフォーム(ibm.com外部へのリンク)が、さまざまな場所、業界、トピックを中心に組織された多くの情報共有コミュニティーをサポートしています。 MISP は、NATOとEUの両方から経済的な援助を受けています。
内部セキュリティー・ログ—SIEM(セキュリティーの情報と応答)、SOAR(セキュリティー・のオーケストレーション、自動化、応答)EDR(エンドポイント検出と応答)XDR(拡張検出および応答)、攻撃領域管理(ASM)システムなどのセキュリティーとコンプライアンスのシステムからの内部セキュリティー・データです。 このデータは、組織が直面した脅威とサイバー攻撃の記録を提供するもので、以前は認識されていなかった内部脅威、または外部脅威の証拠を明らかにするのに役立ちます。
これらの異なるソースからの情報は、通常、管理を容易にするために、SIEM、または脅威インテリジェンス・プラットフォームなどの一元化されたダッシュボードボードに集約されます。
ステップ3:処理
この段階で、セキュリティー・アナリストは、データを分析して洞察を得やすくするために収集してきた生データを集約し、標準化し、関連付けます。 これには、誤検出のフィルタリングや、以前のセキュリティー・インシデントに関わるデータに対するMITREのATT&CKなどの脅威インテリジェンス・フレームワークの適用が含まれます。
多くの脅威インテリジェンス・ツールによって、この処理は、人工知能(AI)や機械学習を使用して自動化されており、複数のソースからの脅威情報を関連付け、データにおける初期の傾向やパターンを特定します。
ステップ2:分析
分析は、生の脅威データが真の脅威インテリジェンスになるポイントです。 この段階では、セキュリティー・アナリストは、傾向、パターン、およびステークホルダーのセキュリティー要件に応えるために利用できるその他の洞察をテストし、検証します。
例えば、セキュリティー・アナリストが、ランサムウェアの新しいひずみと結びつきのあるギャングが、その組織の業界内の別の事業を標的にしていることを見つけた場合、チームは、ギャングが悪用しそうな、その組織のITインフラストラクチャーの特定の脆弱性や、こうした脆弱性を軽減したり、除去するセキュリティー管理やセキュリティー・パッチを特定します。
ステップ5: 拡散
セキュリティー・チームは、洞察と推奨事項を適切なステークホルダーと共有します。 新たに特定されたIoCをターゲットとした新しいSIEM検出ルールの策定や、新たに特定された疑わしいIPアドレスからのトラフィックをブロックするためのファイアウォールのブラックリストの更新などのアクションは、こうした推奨事項に基づいて行われます。 多くの脅威インテリジェンス・ツールは、SOARやXDRなどのセキュリティー・ツールとデータを統合・共有し、アクティブな攻撃に対して自動的にアラートを生成したり、脅威に優先順位を付けるためにリスク・スコアを割り当てたり、その他のアクションをトリガーします。
ステップ6: フィードバック
この段階で、ステークホルダーとアナリストは、要件が満たされているかどうかを判断するために、最新の脅威インテリジェンス・サイクルを検討します。 新たな疑問が生じたり、新しいインテリジェンス・ギャップが特定されたりすると、ライフサイクルの次の展開が通知されます。
脅威インテリジェンスのライフサイクルは、関与するステークホルダー、一連の要件、およびそのライフサイクルの指定のインスタンスの全体的な目的によって、さまざまなタイプのインテリジェンスを提供します。 脅威インテリジェンスには、大きく分けて3つのカテゴリーがあります。
戦術的脅威インテリジェンスは、進行中のサイバー攻撃を検知して対応するために、セキュリティー・オペレーション・センター(SOC)によって使用されます。 これは通常、共通のIoC、例えば、コマンド・サーバーとコントロール・サーバーに関連付けられるIPアドレス、既知のマルウェアやランサムウェア攻撃に関連するファイルのハッシュ、またはフィッシング攻撃に関連付けられるEメールの件名に焦点を当てています。
インシデント対応チームが誤検出をフィルタリングし、本物の攻撃を傍受するのに加えて、戦術的脅威インテリジェンスは、脅威ハンティング・チームが、巧妙で持続的な脅威(APT)やその他のアクティブだが隠れた攻撃者を追跡するためにも使用されています。
運用上の脅威インテリジェンスは、組織が将来の攻撃を予測して防止するのに役立ちます。 これは、既知の脅威アクター(例えば、使用される攻撃ベクトル、悪用される脆弱性、標的にされる資産など)のTTPsと行動を詳細に説明していることから、「テクニカル脅威インテリジェンス」と呼ばれることもあります。 CISO、CIO、およびその他の情報セキュリティーの意思決定者は、運用上の脅威インテリジェンスを使用し、組織を攻撃しそうな脅威アクターを特定し、セキュリティー管理や、特定の攻撃の阻止を狙いとした他のアクションによって対応します。
戦略的脅威インテリジェンスは、グローバ脅威インテリジェンスと、その中の組織のロケーションについての、高レベルのインテリジェンスです。 戦略的脅威インテリジェンスは、CEOやその他の経営幹部など、IT部門の外部の意思決定者が、組織が直面しているサイバー脅威について理解できるようにするものです。 戦略的脅威インテリジェンスは通常、地政学的状況、特定の業界におけるサイバー脅威の傾向、または組織の特定の戦略的資産がどのように、またはなぜ標的にされる可能性があるかなどの問題に焦点を当てています。 ステークホルダーは、組織のリスク管理に関するより広範な戦略と投資をサイバー脅威の全貌に照らし合わせるために、戦略的脅威インテリジェンスを使用します。
グローバル・セキュリティー・インテリジェンスの専門家が業界最高レベルの分析能力でサイバー脅威プラットフォームの簡素化と自動化を支援します。
ビジネスの変革とリスク管理を、サイバーセキュリティー・コンサルティング、クラウド、マネージド・セキュリティー・サービスの世界的な業界リーダーとともに実施します。
X-Forceの攻撃型と防御型のサービスは、脅威の研究、脅威インテリジェンス、脅威の修復に支えられています。