脅威インテリジェンスのユースケースと例

脅威インテリジェンスの一般的な例:

• セキュリティ侵害インジケーター（IoC）
• 戦術、手法、手順（TTP）
• 攻撃者の属性
• 脆弱性情報
• 脅威インテリジェンス フィード

これらは、単独で使用しても、組み合わせて使用しても、システムと機密データを保護するための予防的かつプロアクティブなアプローチとして機能します。

IOC は、環境内で潜在的なセキュリティ インシデントが発生していることを示すフォレンジック アーティファクトです。これには、悪意のある IP アドレス、ファイルハッシュ、ドメイン名、URL などが含まれ、攻撃者がシステムに存在する場合の検出に役立ちます。セキュリティ ツールが最近の攻撃キャンペーンから IOC を特定した場合、その痕跡が環境内のどこかに現れていないかをすぐに調査できます。

TTP は、脅威アクターがどのように活動し、アクセス、ラテラル ムーブメント、目標達成のためにどのような手法を使用するかを記述します。これらのパターンを理解することで、特定の IOC が変化した場合でも攻撃の行動を認識できます。特定の脅威グループが通常、スピアフィッシングを使用して初期アクセスを獲得することがわかっている場合は、これらの動作に関する検出ルールを構成できます。

アトリビューション インテリジェンスは、攻撃の背後にいる脅威グループを特定し、その典型的な標的、動機、能力を明らかにします。このコンテキストは、組織が特定のグループの標的範囲内にあるかどうかを評価するのに役立ちます。アトリビューションは、攻撃者の目的が、知的財産の窃取、ランサムウェアのデプロイ、永続的なアクセスの維持など、何であるかを把握するのにも役立ちます。

脆弱性インテリジェンスは、攻撃者が悪用する可能性のあるソフトウェアの弱点に関する詳細を提供します。これには、CVE データ、エクスプロイトの可用性、脅威アクターが実際に標的としている脆弱性に関する情報が含まれます。脆弱性インテリジェンスは、攻撃者がキャンペーンでどの欠陥を使用するかを示すことで、理論上のリスクとアクティブな脅威を区別するのに役立ちます。

フィードは、セキュリティ ベンダー、政府機関、情報共有コミュニティなどの複数のソースから、脅威データを継続的に提供します。これらのフィードにより、手作業で調査しなくても、新たな脅威に対する防御を最新の状態に保つことができます。フィードの焦点はさまざまです。多くの脅威タイプを幅広くカバーするものもあれば、フィッシング ドメインやランサムウェア インフラストラクチャなどの特定の分野に特化したものもあります。

ユースケース中心のアプローチを採用することで、脅威インテリジェンスは抽象的なものではなく、実用的なものになります。脅威データをインシデント対応や脆弱性の管理などの特定のセキュリティ機能にマッピングすると、セキュリティ成果に対する影響を測定し、リソースをどこに投資するかについてより適切な意思決定を行うことができます。

脅威インテリジェンスを使用すると、脅威が環境に到達する前に特定してブロックできます。攻撃者のインフラストラクチャと手法を事前に把握することで、防御を構成して境界で攻撃を阻止できます。たとえば、脅威グループが特定の命名パターンに従ってドメインを登録していることがインテリジェンスによって明らかになった場合、DNS フィルタリングでそのパターンをブロックできます。

インシデントが発生すると、脅威インテリジェンスによって、直面している状況に関するコンテキストが提供されます。攻撃範囲を迅速に特定し、関連するインジケーターを特定して、攻撃者の目的を把握することで、脅威をより迅速に封じ込めることができます。たとえば、エンドポイントで不審な PowerShell の実行を検出した場合、類似の攻撃に関するインテリジェンスから、次に何を調べるべきかがわかります。たとえば、攻撃者が通常、ラテラル ムーブメント、データの引き出し、認証情報の窃取を試みるかどうかなどです。

インテリジェンスは、環境内にすでに存在する隠れた脅威の検索をガイドします。業界に関連する既知の TTP と IOC に焦点を当てることで、自動検出を回避する高度な攻撃を検出できます。たとえば、自社が属する業界を標的とする脅威グループが、管理ツールを使用した環境寄生型の手法をよく使用している場合、それらのツールの異常な使用を検出できます。

Google Security Operations の高度な脅威インテリジェンスは、セキュリティ侵害インジケーターと攻撃者の行動を保存するだけではありません。Mandiant の新たな脅威インテリジェンスを含めて、脅威の状況についての Google の理解を活用し、この知識を組織固有の環境に適用します。システムが脅威データをセキュリティ テレメトリーと自動的に関連付け、手動分析なしで関連する脅威を特定します。イベント、アラート、アセット、ユーザーを関連付けて一貫したストーリーを導き出す、優先順位付けされた実践可能な成果が得られるため、最新の脅威に対して先手を打つことができます。

要件主導型アプローチでは、組織の実際のニーズに基づいて脅威インテリジェンスを収集して使用する方法を構築します。このプロセスは、脅威インテリジェンスのライフサイクル全体にわたって、関連するすべての関係者の指定されたニーズを明示的に満たしています。まず、脅威プロファイルから始めます。これは、お客様のセクター、業界、地域で最も関連性の高い脅威に関するコンテキストを提供します。ステークホルダー分析により、インテリジェンス要件とユースケースが生成されます。これは、収集計画と収集アセットの開発に役立ちます。これらの要素を組み合わせて、関係者の要件、形式、報告頻度を満たす出力を生成するサービスラインを形成します。

このアプローチには、連携して動作する複数のコンポーネントが含まれます。計画と方向付けは、必要なインテリジェンスとその理由を明確にします。収集は、関連するソースから元データを収集します。処理は、そのデータを構造化された形式に変換します。分析は、処理されたデータを実用的な分析情報に変換します。普及は、その分析情報を意思決定者やセキュリティ チームに届け、それに基づいて行動できるようにします。このフレームワークは、脆弱性の管理から脅威ハンティング、セキュリティ アーキテクチャの計画まで、複数のユースケースにわたって適用できます。

脅威インテリジェンスは、特定の環境やセキュリティ上の課題に適用することで、その価値を最大限に発揮します。Google Threat Intelligence は、500 を超える脅威アクターのモニタリングから得られた分析情報と自動検出機能を組み合わせ、業界や地域に関連する優先順位付けされたインテリジェンスを提供します。これらの機能をセキュリティ運用に統合することで、脅威データの収集から攻撃の防止へと移行できます。

Google の脅威インテリジェンス ソリューションの詳細