前回のブログでは、脅威インテリジェンスを活用するために以下の流れがあると紹介しました。
0. 自組織の脆弱性を認識する
1. 脅威を認識する
2. 脅威を理解する
3. 脅威の影響、リスクを考える
4.脅威の特定、影響度と優先度の決定、対策の検討
5. 活用・提供
今回はフェーズ0とフェーズ1の詳細を見ていきます。
0. 自組織の脆弱性を認識する
脆弱性というとパッチを適用するようなシステムに関するものが想起されますが、ここでいう脆弱性はもう少し幅広い意味を持っています。組織にとって脆弱性となり得るものはシステムのみならず社会環境、属する業界、人、組織、プロセスなどが含まれます。
例えば、日本の企業というだけで、地政学的に日本に関心を持つ国家支援型ハッカーグループの標的とされます。重要インフラ事業者はもちろんのこと、業界において画期的な技術を持っている企業や発言にニュースバリューのある経営者などは攻撃者の注目を集めやすい存在です。また、攻撃者はターゲット企業を直接狙うだけではなく、ターゲット企業のサプライチェーンの中でシステム管理の弱いところや技術開発においてITリテラシーの低い管理者がいる場合、そこが脆弱性となり得ます。
企業において、サプライチェーン全体や開発委託先まですべての脆弱性を管理・監督することは困難ですが、以下の観点から脆弱性認識を取り組んでいただくことを推奨します。
・まずは自組織において、どんな点が脆弱性となりそうかを書き出してください。その際には、システム的な側面のみならず、自社を取り巻く環境から人やプロセスなど幅広い観点で捉えていくことが重要です。
・この活動は、危機管理室やリスク管理部門などの活動と重なる部分もありますので、そのような部門と連携することでより網羅的な情報になります。
・組織内の情報だけではなく、外部からの視点も重要です。外部から見た場合に、自組織が属する国や業界がどう見えているのか客観的視点で把握するためにニュースや業界分析レポートに目を通してみてください。攻撃者もそういった情報を定期的に確認することでターゲットとする国・業界・企業を選定しています。また国内のみならず、海外のニュースやメディアで自国や業界のトピックがどう取りあげられているかを確認することが、より攻撃者視点で役に立つ可能性があります。
1. 脅威を認識する
脅威を認識する方法は以下の4つの方法があります。
①自社で発生したインシデントを調査する
②外部ソース(主に一般的な公開情報)から目立った脅威を認識する
➂国内や同業他社のインシデントを認識する
④外部機関からの情報提供をうける
①自社で発生したインシデントを調査する
セキュリティ機器からアラート上がるなどセキュリティインシデントが発生した場合、そこにはもちろん脅威が存在します。ここで詳細なインシデントレスポンスを行うことで脅威を特定することができる場合がありますが、ひとつの痕跡からでは脅威の特定に至らないことの方が多いのが現実です。
例えば、社内からしC2サーバーへの通信を検知したアラートが上がった際に、C2サーバーのIPアドレスは特定できたとしても、そのIPアドレスを利用したハッカーグループを特定することは難しい場合もあり、また、ハッカーグループがどのような意図を持って攻撃を実行したのか把握することができません。ただし、直近上がったアラートだけではなく、過去数か月からの情報や他のセキュリティ機器のログを含めてインシデントレスポンスを行うことで脅威がある程度特定できることがあります。
自社で発生したインシデントから脅威を認識するためには、ひとつのアラートに対処するだけではなく、多面的に状況を分析することが大切です。
②外部ソース(主に一般的な公開情報)から目立った脅威を認識する
世の中には脅威情報を提供するOSINT(Open Source Intelligence)ツールが存在します。それらを利用して収集した情報を分析し脅威を認識することも可能です。
ただ、OSINTで得られる情報はすべて正しいわけでもなく、情報提供者の主観に基づく結論であったり、時間軸が間違っていたりとノイズが発生します。OSINTで情報を得る際には、分析する人の能力に大きく依存します。また一人の分析によって導かれる結論は往々にして的外れなものになることがありますので、複数人での対応が望ましいです。
③ 国内や同業他社のインシデントを認識する
これは日々情報を収集することで比較的容易に実行できます。ニュースサイトによっては他のニュースサイトの記事を転載している場合もあります。その場合、転載元に関する情報も記載されていますので、記事を辿って大本のニュースサイトや情報サイトなど複数の情報源を設定して1日1回確認するなどの活動をすることで徐々に鮮度の高い情報を得ることができるようになります。
④外部機関からの情報提供をうける
我々のような脅威インテリジェンスベンダーから脅威情勢について定期的に情報提供を受けることで脅威を認識するハードルを下げることができます。①~③、特に②③を自組織内の人員だけで実施するにはそれ相応の人数、スキル、工数が必要となります。脅威インテリジェンスベンダーはこの部分も含めて日夜活動していますので、専門家に任せるのも一考でしょう。
次回は、「2.脅威を理解する」以降のフェーズについて詳細にご説明していきたいと思います。
CYFIRMAでは組織のセキュリティ戦略から戦術面まで活用できる、包括的な脅威インテリジェンスを提供しています。ご興味のある方は、どうぞお気軽にお問い合わせください。
CYFIRMAが独自で毎週発行している「Weekly Security Update」のメールマガジンです。
その週にあった出来事をピックアップし、さらにサイファーマならではの情報も交えてご紹介しています。
ハッカーの会話をモニタリングしているからこそ、通常では得られない様な情報もいち早く手に入れる事ができますので、
ご興味のある方は下記よりお申込下さい。
※同業他社の方はお断りする場合がございます、ご了承下さい。
脅威インテリジェンスとは何かという初歩的な内容から、MITRE ATT&CKフレームワークの活用方法、
毎月の脅威トレンド報告などなど、旬な話題を取り入れ、かつ弊社独自目線も取り入れた内容となっており、
弊社サービス紹介というよりも、脅威インテリジェンスをどう考えるか、どう活用するかという部分で
皆様のヒントとなるよう運営しております。是非お気軽にご参加下さいませ!!!
✧その他、ご不明な点がございましたらこちらからご連絡下さい。
