戦略的脅威インテリジェンスおよびマネジメント的脅威インテリジェンスのブログで述べたとおり、サイバー脅威インテリジェンス一つの包括的専門分野のように見えるかもしれませんが、実際には、サイバー脅威インテリジェンスの総合的なプロセスやステップに対応するサブカテゴリから構成されています。その中で、戦略的脅威インテリジェンスが主要な意思決定者、CEO、取締役などの必ずしもサイバーセキュリティというテーマに熟達していない人を対象とするのに対し、戦術的脅威インテリジェンス(Tactical Threat Intelligence)は、特に技術的詳細を理解したセキュリティ担当者向けに特別に提供されるものです。
戦術的脅威インテリジェンスとは何か
戦術的インテリジェンスにより、企業内のSOCチームは、サイバー脅威にプロアクティブに対応することが出来るようになります。例えば、自社を標的とするハッカー集団が利用している、
などのIoC(*)情報を、既設のセキュリティコントロールに取り込み、モニタリング、検知、ブロックすることが可能になります。
*IoC: Indicator of Compromiseの略で脅威存在痕跡(攻撃の痕跡を表す情報)のこと。
具体的には、戦術的インテリジェンスにより、組織は以下を行えるようになります。
戦術的脅威インテリジェンス レポートの対象読者は誰か?
CIRT、SOC、NOC などのオペレータが主な対象となり、セキュリティ体制の一員としてサイバー脅威に対してプロアクティブに対応し、サイバーセキュリティの強化に向けて悪質な IP、マルウェア シグネチャおよびミューテックス、フィッシング ドメイン、ボットネット コマンド アンド コントロール センターを使って検出と対応をサポートする任務を負った人員を対象とします。
戦術的脅威インテリジェンスの収集で CYFIRMA が用いる一般的な情報源
CYFIRMA は、数十万以上に及ぶ膨大なデータソースからの情報の収集、および分析をプラットフォームとして提供しており、主には以下の情報源から戦術的脅威インテリジェンスを生成しています。
なぜ CYFIRMA の戦術的脅威インテリジェンスは優れているのか?
重要な点として、CYFIRMA のアプローチは量より質を重視しています。無関係で調査の不十分な大量の IOC を提供する一般的なIoCプロバイダーフィードとは対照的に、CYFIRMA は数こそ限られていますが、弊社のアナリストにより十分に調査され、分析された IOC、特に特定業界、組織を標的にしたハッカー集団が今現在使用しているIoCのみを提供しています。
提供されるIoCの数は通常、お客様1社あたり月数千件程度であり、特にAPT攻撃を受けている企業や組織が未知のサイバー脅威から防衛する上で、その有効性を立証しています。
事例 1: CYFIRMA の戦術的インテリジェンス サービスが米国の大手金融複合企業での新たなサイバー脅威への対応強化に貢献
最近、CYFIRMA は、高度なサイバー脅威センターを持つ米国の大手金融機関に対して、巧みな標的型サイバー脅威を迅速に特定して軽減するための支援を提供しました。CYFIRMA は、サイバー オペレーション センターへの日次の最新情報提供を開始して最新の脅威ベクトル(ファイアウォール、IDS/IPS、ウィルス対策、プロキシ、SIEM)でセキュリティ コントロールを最新状態に維持することにより、同社のセキュリティ運用チームが DDoS、マルウェア インプラント、DNS ハイジャック、データ窃盗攻撃を軽減できるようサポートしました。
事例 2: CYFIRMA の戦術的インテリジェンス サービスが日本の有名企業による複雑なサイバー脅威やデータ漏洩攻撃の特定を支援
CYFIRMAは日本を代表するテクノロジー企業に対し、日々最新のIoC情報を提供することで様々な脅威ベクトルから当該企業を防衛することに貢献しています。このお客様ではファイアウォール、IDS/IPS、ウィルス対策製品、プロキシ、SIEMなどのセキュリティ コントロールに対しIoCをフィードすることにより、未知のマルウェア感染や悪質なIPアドレスへの通信などを日々ブロック、監視しています。
作戦的/戦術的脅威インテリジェンスから何を得られるかについてご興味がありますか?
また、この 3 回シリーズの他のブログ、戦略的脅威インテリジェンス と マネジメント的脅威インテリジェンスもあわせてご覧ください。
