脅威インテリジェンスツール: 特定、優先順位付け、対応

サイバーセキュリティの脅威はしばしば軍事用語で表現されます。これは偶然ではありません。.

領土防衛を任務とする軍隊のように、サイバーセキュリティチームは直面する脅威を理解する必要があります。迅速かつ有意義な対応が求められます。そうでなければ、敗北に直面することになるでしょう。.

最近の出来事は、サイバー敗北がどのようなものかをよりよく理解させてくれました。そして、それは決して美しいものではありません。 修復に数百万ドルの費用がかかるデータ侵害, 、a 政治指導者がハッキングの標的に または 政府データ 侵害された場合、そのリスクは大きくなります。サイバーセキュリティチームは、どのような悪意のある攻撃者やハッキング手法が自分たちに迫っているのか、そしてそれらに対して何をすべきかを理解する必要があります。.

サイバー敗北がどのようなものかについて、私たちはかなりよく理解し始めていますが、それは決して見苦しいものではありません。.

これに対応して、サイバーセキュリティ分野では、脅威が侵害される前にそれを特定することに重点を置いた脅威インテリジェンスが開発されました。.

脅威インテリジェンスとは何ですか?

ガートナー社によると、「脅威インテリジェンスとは、資産に対する既存または新たな脅威や危険に関する、コンテキスト、メカニズム、指標、影響、実用的なアドバイスなどの証拠に基づく知識であり、その脅威や危険に対する主体の対応に関する意思決定に役立てることができます。」脅威は迫り来ています。.

脅威インテリジェンスツールの利点

脅威インテリジェンスツールは、セキュリティ組織が脅威に先手を打つのに役立ちます。これらのツールは、デバイスログや外部の脅威インテリジェンスソースなど、複数のデータストリームからの入力を分析し、以下のような潜在的な脅威を報告します。

• ネットワーク内にマルウェアが存在する可能性, たとえば、外部の悪意のある行為者と通信していると思われる内部ホストを標的とした感染などです。.
• 電子メール攻撃 添付ファイルや悪意のあるドメインへのリンクから保護します。.
• ホストベースのマルウェア ファイル名、レジストリ キーなどを対象にしたもの.

脅威インテリジェンス ツールが必要なのは、セキュリティ アナリストが SIEM、侵入検知ツール、および関連システムによって生成される膨大な量のアラート データを支援なしで統合して解釈することは不可能だからです。.

脅威インテリジェンスツールを活用してセキュリティ運用を改善する

もちろん、大きな問題は脅威インテリジェンスをどう活用するかということです。ガートナーの定義で注目すべき重要なフレーズは、「…脅威や危険に対する主体の対応に関する意思決定を支援する」というものです。“

すべての脅威が、リソースを浪費するほど深刻な対応を必要とするほど深刻であるとは限りません。堅牢な脅威評価プロセスがなければ、過剰な負担がかかり、結果としてリスク軽減が不十分になる可能性があります。孫子は『兵法』の中で、「指揮官があらゆる場所に援軍を送れば、あらゆる場所で弱体化する」と述べています。サイバーセキュリティにも同じことが言えます。.

セキュリティの自動化とオーケストレーション

セキュリティの自動化とオーケストレーション SAO（脅威インテリジェンス分析）ソリューションは、組織が限られたリソースをより効率的に配分するのに役立ちます。SAOは、セキュリティアナリストが脅威インテリジェンスをよりスマートに活用できるようにします。これらのツールにより、サイバーセキュリティチームは脅威インテリジェンスの自動化と活用を実現し、対応能力を向上させることができます。だからこそ、SAOは脅威インテリジェンスツールセットにおいて不可欠な要素なのです。.

スイムレーンがどのように役立つか

Swimlaneは、現在および将来の脅威に関する状況認識を向上させるための統合システムを提供します。また、以下の機能により、脅威インテリジェンスサイクルの検出、評価、対応を迅速化し、その効果を高めます。

• チームが脅威に対してより迅速かつインテリジェントに対応できるよう支援
• 手作業の削減
• セキュリティ対応をキルチェーンのより早い段階に移行する
• 脅威インテリジェンスをインシデント対応および修復プロセスに統合する

Swimlaneは、SIEMソリューションやその他のセキュリティツールから、セキュリティイベント、インシデント、アラート、ケースなどのデータを統合します。そして、そのデータを脅威インテリジェンスフィードと相関させ、悪意のあるIPアドレス、ドメイン、メールアドレスからのアクティビティを特定することで、インシデント対応プロセスを自動的に開始し、マシンスピードで脅威を駆除します。.

アナリストはSwimlaneを使用してイベントの優先順位付けとトリアージを行います。疑わしいアイテム（例：バイナリ）が既知の脅威と相関関係にある場合、そのアイテムをハイライト表示して詳細な調査を行うことができます。Swimlaneは、事前に設定されたインシデント対応プレイブックを実行します。プレイブックは大部分が自動化されているため、チケットの作成、メールの送信、他のアプリケーションへの情報の切り取りと貼り付けといった、アナリストが繰り返し行う手作業にかかる時間を節約できます。.

Swimlane は、大部分が自動化されたカスタム インシデント対応プレイブックを実行し、アナリストが反復的な手動プロセスに費やす時間を節約します。.

チームに必要な脅威インテリジェンス ツールはありますか?

たとえそうであったとしても、これほど多くの異なるツールを管理するのは困難です。SAOと脅威インテリジェンスツールを統合することで、アナリストは脅威の発見と対応のためのより詳細なコンテキストを把握し、異なるシステムでは見逃される可能性のある脅威に関する洞察を得ることができるため、防御力を強化することができます。同時に、SAOは既存の脅威インテリジェンスツールの価値とROIを高めます。.

スイムレーンの脅威インテリジェンスに関するソリューションの詳細については、 インシデント対応の自動化に関する電子書籍.