脅威インテリジェンスとはか?

脅威インテリジェンスのライフサイクルは、セキュリティー・チームが脅威インテリジェンスを作成・普及し、継続的に改善する反復的で継続的なプロセスです。詳細は組織によって異なる場合がありますが、ほとんどの組織は同じ6段階のプロセスの何らかの変種に従います。

ステップ 1：計画

セキュリティー・アナリストが、組織の利害関係者（経営幹部、部門長、ITおよびセキュリティー・チームのメンバー、サイバーセキュリティーの意思決定に関与するその他の人々）と協力して、インテリジェンス要件を設定します。これらには通常、利害関係者が回答を望んでいる、または回答する必要があるサイバーセキュリティーの問題が含まれます。たとえば、CISOは、注目を集めている新しいランサムウェアが組織に影響を及ぼす可能性があるかどうかを知りたい場合があります。

ステップ2：脅威データの収集

セキュリティー・チームが、利害関係者の探している答えを保持またはそれに寄与し得る生の脅威データを収集します。上記の例の続きを説明すると、セキュリティ＝・チームが新しいランサムウェア株を調査している場合、チームは攻撃の背後にいるランサムウェア集団や過去に標的にした組織の種類、以前の被害者に感染させるために悪用した攻撃ベクトルに関する情報を収集できるかもしれません。

この脅威データは、次のようなさまざまなソースから取得されます。

脅威インテリジェンス・フィード—リアルタイムの脅威情報のストリーム。この名前は誤解されることがあります。一部のフィードには処理または分析された脅威インテリジェンスが含まれていますが、その他のフィードは生の脅威データで構成されています。（後者は「脅威データ・フィード」と呼ばれることもあります。）

セキュリティー・チームは通常、複数のオープンソース・フィードと商用フィードを購読します。たとえば、異なるフィードでは、

• 一般的な攻撃のIoCを追跡
• サイバーセキュリティーに関するニュースを集約
• マルウェア株の詳細な分析を提供
• また、新たなサイバー脅威に関する会話のためにソーシャル・メディアやダークウェブを収集

これらのフィードはすべて、脅威をより深く理解するのに役立ちます。

情報共有コミュニティー—、フォーラムや専門家団体その他のコミュニティーで、世界中のアナリストが実体験や洞察、自身の脅威データを共有します。

米国では、ヘルスケアや金融サービス、石油・ガス産業などの多くの重要インフラ部門が、業界固有の情報共有・分析センター（ISAC）を運営しています。こうしたISACは、全米ISAC協議会（NSI）（ibm.com外部へのリンク）を通じて相互に調整を図っています。

国際的には、オープンソースのMISP脅威共有インテリジェンス・プラットフォーム（ibm.com以外へのリンク）が、さまざまな場所や業界、トピックを中心に組織された複数の情報共有コミュニティーをサポートしています。MISPは、NATOと欧州連合の両方から経済的支援を受けています。

内部セキュリティー・ログ—以下のようなセキュリティー・システムやコンプライアンス・システムからの内部セキュリティー・データ。

1. SIEM（セキュリティ情報と対応）
2. SOAR（セキュリティー・オーケストレーション、オートメーション、レスポンス）とは
3. EDR（エンドポイントの検知と対応）
4. XDR（拡張検知と応答）
5. 攻撃対象領域管理（ASM）システム

このデータは、組織が直面した脅威とサイバー攻撃の記録を提供し、これまで認識されていなかった内部または外部の脅威の証拠を発見するのに役立ちます。

これらの異種のソースからの情報は通常、管理を容易にするために、SIEMや脅威インテリジェンス・プラットフォームなどの集中ダッシュボードに集約されます。

ステップ3：処理

この段階では、セキュリティー・アナリストが、分析しやすいように、収集した未加工データを集約・標準化・関連付けします。これには、誤検知を除外したり、MITRE ATT&CKなどの脅威インテリジェンス・フレームワークを以前のセキュリティー・インシデントに関連するデータに適用したりすることが含まれます。

多くの脅威インテリジェンス・ツールは、人工知能（AI）と機械学習を使用して、複数のソースからの脅威情報を関連付け、データ内にある初期の傾向やパターンを特定することで、こうした処理を自動化します。

ステップ4：分析

未加工の脅威データが真の脅威インテリジェンスになるには、分析が要です。この段階では、セキュリティー・アナリストが利害関係者のセキュリティ要件に回答し、推奨を行うために使用できる傾向やパターンその他の洞察をテストし、検証します。

例えば、セキュリティー・アナリストは、新しいランサムウェア株に関連するギャングが、組織の業界内の他の企業を標的にしていることに気づくとしましょう。次にチームが、組織のITインフラにある、ギャングがエクスプロイトする可能性が高い特定の脆弱性と、それらの脆弱性を軽減または排除し得るセキュリティー制御やパッチを特定します。

ステップ5：普及

セキュリティー・チームが、洞察と推奨事項を適切な利害関係者と共有します。これらの推奨事項に基づいて、新たに特定されたIoCを標的とする新しいSIEM検知ルールを確立したり、新たに特定された不審なIPアドレスからのトラフィックをブロックするためにファイアウォール・ブラックリストを更新したりするなどのアクションが実行されることがあります。

多くの脅威インテリジェンス・ツールは、SOARやXDRなどのセキュリティー・ツールとデータを統合して共有し、アクティブな攻撃に対するアラートを自動的に生成したり、脅威の優先順位付けのためのリスク・スコアを割り当てたり、その他のアクションをトリガーしたりします。

ステップ 6：フィードバック

この段階では、利害関係者とアナリストが最新の脅威インテリジェンス・サイクルを振り返り、要件が満たされているかどうかを判断します。新たな疑問が生じたり、新たなインテリジェンスのギャップが特定されたりすると、ライフサイクルの次のラウンドに反映されます。

脅威インテリジェンスのライフサイクルは、利害関係者や設定された要件およびライフサイクルの特定のインスタンスの全体的な目的に応じて、さまざまな種類のインテリジェンスを生成します。脅威インテリジェンスには、大きく次の3つのカテゴリーがあります。

戦術的脅威インテリジェンスは、セキュリティー・オペレーション・センター（SOC）が進行中のサイバー攻撃を検知して対応するために使用されます。通常、一般的なIoCに焦点を当てます。例えば、コマンド・アンド・コントロール・サーバーに関連付けられたIPアドレス、既知のマルウェアやランサムウェア攻撃に関連するファイル・ハッシュ、フィッシング攻撃に関連付けられたEメールの件名などが挙げられます。

戦術的脅威インテリジェンスは、インシデント対応チームが誤検知を除外し、本物の攻撃を阻止するのに役立つばかりででなく、脅威ハンティング・チームが高度な持続的脅威（APT）やその他のアクティブだが隠れた攻撃者の追跡にも使用されます。

運用上の脅威インテリジェンスは、組織が将来の攻撃を予測して防止するのに役立ちます。これは、既知の脅威アクターのTTPと行動（攻撃者が使用する攻撃ベクトル、エクスプロイトする脆弱性、標的とする資産など）を詳細に示しているため、「技術的脅威インテリジェンス」と呼ばれることもあります。

CISOやCIOその他の情報セキュリティー意思決定者は、運用上の脅威インテリジェンスを使用して、組織を攻撃する可能性のある脅威アクターを特定し、特に攻撃の阻止を目的としたセキュリティー制御やその他の措置で対応します。

戦略的脅威インテリジェンスとは、グローバルな脅威の状況と、その中での組織の位置づけに関するハイレベルなインテリジェンスです。戦略的脅威インテリジェンスは、CEOやその他の幹部などのIT以外の意思決定者が、組織が直面しているサイバー脅威を理解できるようにします。

戦略的脅威インテリジェンスは通常、地政学的な状況や特定の業界におけるサイバー脅威の傾向、組織の特定の戦略的資産がどのように、あるいはなぜ標的にされるのかなどの問題に焦点を当てます。利害関係者は、戦略的脅威インテリジェンスを使用して、サイバー脅威の状況に合わせてより広範な組織リスク管理戦略と投資を調整します。