マクニカ
APT/インシデントレスポンス 2023.07.24

組織のリスク把握に不可欠な脅威インテリジェンスとは?

3 行でわかる本記事のサマリ

  • 脅威インテリジェンスは、攻撃者の動機・ターゲット・攻撃手法に関する情報で、セキュリティリスクを把握し対策するために活用される。
  • 脅威インテリジェンスを活用すると、どの攻撃が自組織に着弾しやすいかなどがわかり、セキュリティ対策の方向性を明確化できる。
  • CrowdStrikeの脅威インテリジェンスソリューション「Falcon X」は、戦略的から戦術的まで包括的な情報を提供する。

目次

  1. 脅威インテリジェンスとは?
  2. 脅威インテリジェンスが重要である理由
  3. CrowdStrikeで提供する脅威インテリジェンス
  4. まとめ

1. 脅威インテリジェンスとは?

脅威インテリジェンスとは攻撃者に関する動機、ターゲット、攻撃手法の情報のことです。攻撃者の動きを把握しながら自社へのセキュリティリスクを下げるために活用をされます。サイバー攻撃は日々、高度化・変容をしているため、最新の脅威に対抗しながら、継続的に事業活動を推進していくためには「自組織にとってのリスクはなにか」という観点を短期的にも中・長期的にも考えていく必要があります。上記の答えを導き出す判断材料として脅威インテリジェンスは有効性を発揮します。

脅威インテリジェンスの「レベル」

一言で「脅威インテリジェンス」と言っても、そのインテリジェンスを活用する主体や役割が異なれば、それに応じて有効に働くインテリジェンスも異なってくるため、「Strategic」「Operational」「Tactical」の3つの種類で分類分けがされております。

脅威インテリジェンス_1.png

 ◇Strategic Intelligence
組織のセキュリティ戦略策定に活用をされる脅威インテリジェンス。
CISOなど組織の意思決定者が、自組織がどのような投資を実施するのかを判断するために必要な情報となり、セキュリティトレンドや攻撃者グループの動向等の情報が含まれます。

◇Operational Intelligence
攻撃や侵害に対してより迅速かつ効果的な対策を講じるためのインテリジェンス。
例えば「特定の攻撃者グループのTTP」などが該当します。これを活用することによって、防御方法を策定し、侵害時の対応のスピードを迅速化させる、被害影響を最小限に抑えることが狙いとなります。

◇Tactical Intelligence
SOC担当者や運用者等が活用するインテリジェンス。
マルウェアのハッシュ値などの攻撃者の攻撃に関する詳細なデータが該当し、これを自組織のセキュリティツール等に読み込ませることで、サイバー脅威に対する予防や検知をさせるために活用されます。

上記のように段階に応じて、活用するインテリジェンスを役割毎に明確化しながら、自組織のセキュリティを高めていくことが昨今の脅威への対抗の鍵となります。

2. 脅威インテリジェンスが重要である理由

脅威インテリジェンスを活用するメリットはその活用される主体によってさまざまではありますが、「自組織のリスクの把握」においては特に重要な役割を果たします。
昨今、EDR製品等、攻撃が組織内に侵入したあとのセキュリティを多くのお客様にてご検討・ご導入されておりますが、そもそもなにが脅威で攻撃対象領域はどこかという「特定」をすることはセキュリティ対策のポイントとして注目され始めております。

例えば攻撃者グループの特性やそのTTP(攻撃手法)に関するインテリジェンスの活用例を挙げるとすると、仮にそういった情報がない場合、「どういう特性の攻撃者が、どういう手法の攻撃を、どれくらいの可能性で自組織に行うのか」という判断ができないため、なにが自組織にとってのセキュリティ上の欠陥なのかという問いに対する答えを導き出すことができず、結果として対策の方向性を見出すことが難しくなります。

脅威インテリジェンスを活用した場合は、どの攻撃が自組織に着弾しやすく、それがどういった手法なのかという情報を基に自組織のリスクを把握することができるため、対策の方向性が明らかとなり、セキュリティ対策への投資の有効性も高くなります。

またインテリジェンス収集の副次的な効果として組織メンバーのセキュリティに対する知識の習得につながり、実際にインシデントが発生をした場合も精度の高い情報に基づいた対処が可能となります。

3. CrowdStrikeで提供する脅威インテリジェンス

エンドポイントプラットフォーマーのCrowdStrikeでもFalcon Xという脅威インテリジェンスソリューションを提供しております。
組織戦略の判断材料となるStrategicなインテリジェンスから日々のセキュリティオペレーションにかかわるTacticalなインテリジェンスまでを包括的にカバーしているソリューションとなっております。

脅威インテリジェンス_2.png

Falcon Sandbox/Falcon MalQueryが技術的な情報を提供するものとなっており、例えばFalcon Sandboxでは怪しいファイルがあった場合には、Falcon Platform上のSandboxに該当のファイルを解析させ、そのファイルが悪性か否かを確認することが可能です。※レポート機能も有
また仮に解析した検体が悪性と判定された場合、IOC情報をダウンロードすることができ、他セキュリティ製品等にご活用いただくことも可能となります。

またCrowdStrikeでは全世界150以上の攻撃者グループの動向を監視しており、攻撃者グループのキャンペーンの分析を行っております。Falcon IntelligenceではCrowdStrikeが長年収集してきた膨大なデータベースから、サーバ攻撃者のプロファイル・攻撃オペレーションに関する情報やレポートを提供します。
また専門のアナリストもアサインされているため、自組織のインテリジェンスの活用に関してプロアクティブにアドバイスをもらうことも可能です。

4. まとめ

「彼を知り己を知れば百戦殆からず」
「孫子・謀攻編」に見える格言ですが、ここ数年のセキュリティ市場においても同様のことが言えるかと思います。
攻撃者の手法は日々変化、高度化しております。
一方で、具体的な攻撃者の特性や手法については詳細までは明らかになっているケースも少なく、またオープンソースの情報を100%活用していくことも信頼性の観点から難しいかと思います。
自組織にとっての敵や自組織のリスクを、信頼できるベンダーの脅威インテリジェンスを活用することによって明らかにしていくアプローチが、昨今のセキュリティには不可欠と言えるのではないでしょうか。
今回ご紹介したCrowdStrikeの脅威インテリジェンスに興味のある方は、下記資料やサイトをご確認頂き、自組織のセキュリティ対策に是非ご活用ください。

関連資料
▼【ホワイトペーパー】グローバルインシデント対策
グローバルインシデント.pngのサムネイル画像
資料請求はこちら.png

▼お問い合わせ
クラウドストライク製品担当
フォーム:https://go.macnica.co.jp/CS-Inquiry-Form.html
メール :crowdstrike_info@macnica.co.jp
製品HP:https://www.macnica.co.jp/business/security/manufacturers/crowdstrike/

メルマガ登録バナー(セキュリティ).jpg

RSSで購読する
ランキング
カテゴリ
タグ
月別アーカイブ